情報セキュリティマネジメント試験 平成29年秋(2017)午後 ③スマートデバイスの業務利用

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • 利用者認証について
  • モバイルワーク利用規定の作成
  • モバイル端末利用申請書の作成
  • モバイルワークにスマートデバイスを利用した場合のリスクと対策を考える
  • 紛失・盗難の場合の業務データ消去に関する件
  • モバイルワークより収集したデータからクレームが発生した場合の対処



はじめに、架空の会社の X 社の説明

J 社は、従業員数 150 名の消費者向け化粧品販売会社である。J 社は、自社で構築した EC サイトを通して商品販売をしている。J 社は、取引先訪問中など、いつでも、どこでも、仕事ができる制度(モバイルワーク)を主に営業企画部の従業員を対象にして 1 年前から導入している。現在、モバイルワークを利用する従業員は 20 名おり、ノートパソコンを一人1台貸与している。モバイルワークを使用するための利用規定を示す。

モバイルワーク利用規定

モバイルワーク使用で認められているソフトウェア

J 社では、取引先や社外の関係者とのファイル共有のために B 社のファイル共有サービスを用意している。B 社のファイル共有サービスは法人向けのクラウドサービスである。モバイルワーカが社外からインターネットにアクセスする場合は、必ず、J 社の DMZ 上の VPN サーバからプロキシサーバを経由してアクセスする。プロキシサーバには利用者認証機能はあるが、その機能は現在利用していない。一方、J 社からインターネット上の Web サイト及びファイル共有サービスへのアクセスは、ホワイトリスト方式によって制御している。B 社のファイル共有サービスには、アクセス元に対する IP アドレス制限機能が実装されているが、その機能は現在使用していない。現在、モバイルワーカからは、ノートパソコンからタブレットに変更して欲しいとの要望があった。

情報セキュリティ上のリスクと対策

K 部長は、スマートデバイスを人数を限定して試験的に利用するように報告を指示した。

スマートデバイスの一般的な機能

モバイルワークにスマートデバイスを利用した場合の情報セキュリティ上のリスクと対策について検討し報告するように指示を受けた。そこで下記のリスク対策案を作成した。

モバイルワークにスマートデバイスを利用した場合のリスクと対策案

モバイルワーカーは、VPN サーバの利用者認証を使ってログインする。よって、不正利用や内部ネットワークへの侵入を低減できる。

スマートデバイスの紛失・盗難による情報漏洩及び消失については、遠隔操作でロックを掛けたり、内部記憶媒体や外部記憶媒体の全領域を初期化することができる。初期化しても大丈夫なように普段から J 社の内部ネットワークのファイルサーバーに業務データを保存して置く。

マルウェア感染のリスクに対しては、J 社が指定したアプリストアにあるソフトウェアを利用する

知識不足による誤操作対策には、営業企画部は、実際に手順を検証を行い、スマートディバイス及びB 社アプリの利用マニュアルを作成する。又、正しい設定、利用手順、注意事項などについて定期的に教育を実施する。

上記リスクで、利用者による OS の改造(Jailbreak,root化)リスクの対策は、出荷時のセキュリティ設定を解除されるのを防止する。

対策の実現に向けた調査

主任が調査したところ上記の対策を実現するクラウドが複数からサービスされていたので、下記のMM 1及び MM 2 の候補を報告した。

MM 1及び MM 2 の機能

モバイル端末利用申請書には、国際移動体装置識別番号を含める。
スマートデバイスの盗難・紛失時に、この国際移動体装置識別番号を使って遠隔ロックや初期化などの操作を行う。

2 つを比較すると、MM 1 は、スマートフォンに保存されている全てのデータを保存対象にすることによって情報漏洩を防ぐ、MM 2 は、スマートデバイスの業務フォルダ内に保存されるデータを保護対象にすることによって情報漏洩を防ぐ。又、幾つかの課題があることに気づいたので、そこでその課題と解決案を下記の通りまとめた。

課題と解決策

MM1 を利用した場合、収集した端末データを運用担当者が閲覧した場合、モバイルワーカからプライバシー侵害のクレームが発生した。これに対しての解決策は、モバイルワーク利用前に書面で同意を得て置くことが大切です。

スマートデバイスの紛失・盗難時に、運用担当者が NM1 の機能を実行すると機能によっては、業務データと私的データの両方のデータが消える。又、スマートデバイスのロックを解除するためのパスワードが変更されるので、スマートデバイスを発見した場合、モバイルワーカ本人はロックを解除できず、利用することができない。という問題もある。

許可されていない個人所有のスマートデバイスが使用される可能性があるこれの対策として、モバイル端末利用申請書に個人所有のスマートデバイスの電話番号及び、国際移動体装置識別番号の記入欄を追加する。

J 社が許可したアプリだけを使うようにする。の対策として、モバイル端末利用申請書だけでは、申請書に記入した情報を実際に使う端末との確認が取れないので、担当者が目視で現物を突き合わせした後に B 社のアプリを配布するようにする。

後日、検討した案は承認され、モバイルワークに好評であり、情報セキュリティインシデントも起きていないことから、モバイルワークでのスマートデバイスの全社利用へと発展した。



 

関連する用語

Jailbreak (ジェイルブレイク、 脱獄 )
ユーザー権限( Root )に制限を設けているコンピュータ( 携帯電話)に対して、 セキュリティホール ( 脆弱性 )を突いてその制限を取り除き、開発者が意図しない方法でソフトウェアを動作できるようにすること。
スマートデバイスの利用者が出荷時のセキュリティ設定を解除できるようになってしまう。

スマートディバイスのロック
パスワードによって認証されないとスマートディバイスの操作ができないようにする機能

国際移動体装置識別番号
IMEI とも言う。「国際移動体装置識別番号(端末識別番号)」を意味する。携帯電話やデータ通信カードが 1 台ずつ持っている識別番号です。原則として、各端末は 1 台 1 台、異なる番号になっています。15 桁の数字からなっていて、装置を製造したメーカーと機種を示す番号、生産国、固体に割り振られたシリアル番号、IMEIが正しい内容であることを検証するためのチェックデジットが含まれています。




学習の確認

  • 利用者認証について
  • モバイルワーク利用規定の作成
  • モバイル端末利用申請書の作成
  • モバイルワークにスマートデバイスを利用した場合のリスクと対策を考える
  • 紛失・盗難の場合の業務データ消去に関する件
  • モバイルワークより収集したデータからクレームが発生した場合の対処