情報セキュリティマネジメント試験 ③スマートデバイスの業務利用     平成29年秋(2017)

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • 利用者認証について
  • モバイルワーク利用規定の作成
  • モバイル端末利用申請書の作成
  • モバイルワークにスマートデバイスを利用した場合のリスクと対策を考える
  • 紛失・盗難の場合の業務データ消去に関する件
  • モバイルワークより収集したデータからクレームが発生した場合の対処

はじめに架空の会社の X 社の説明

J 社は、従業員数 150 名の消費者向け化粧品販売会社である。J 社は、自社で構築した EC サイトを通して商品販売をしている。J 社は、取引先訪問中など、いつでも、どこでも、仕事ができる制度(モバイルワーク)を主に営業企画部の従業員を対象にして 1 年前から導入している。現在、モバイルワークを利用する従業員は 20 名おり、ノートパソコンを一人1台貸与している。

モバイルワーク利用規定

  • モバイルワークの利用を希望する従業員は、モバイル端末利用申請書に所属部門、従業員 ID、氏名、申請理由、モバイルワーク利用期間を記入し、所属部門長の承認を得た後、情報システム部に提出すること。
  • モバイルワーカは、モバイル端末のセキュリティ設定のうり、情報システム部が指定したものを変更しないこと。
  • モバイルワーカは、モバイル端末で社外から内部ネットワーク及びインターネットにアクセスする場合、会社が用意した VPN 経由で、VPN サーバに接続し、自らの利用者アカウントを用いてログインすること。
  • モバイルワーカは、業務データをモバイル端末に保存したままにせず、内部ネットワークのファイルサーバに保存すること。
  • モバイルワーカは、取引先とのファイル共有に会社が用意したファイル共有サービスだけを使用すること
  • モバイルワーカは、モバイル端末を紛失した場合、速やかに運用担当者に連絡すること
  • 運用担当者は、モバイルワーク利用期間が終了したモバイル端末を速やかに初期化すること。

J 社では、取引先や社外の関係者とのファイル共有のために B 社のファイル共有サービスを用意している。B 社のファイル共有サービスは法人向けのクラウドサービスである。モバイルワーカが社外からインターネットにアクセスする場合は、必ず、J 社の DMZ 上の VPN サーバからプロキシサーバを経由してアクセスする。プロキシサーバには利用者認証機能はあるが、その機能は現在利用していない。一方、J 社からインターネット上の Web サイト及びファイル共有サービスへのアクセスは、ホワイトリスト方式によって制御している。B 社のファイル共有サービスには、アクセス元に対する IP アドレス制限機能が実装されているが、その機能は現在使用していない。現在、モバイルワーカからは、ノートパソコンからタブレットに変更して欲しいとの要望があった。

情報セキュリティ上のリスクと対策

K 部長は、スマートデバイスを人数を限定して試験的に利用するように報告を指示した。

スマートデバイスの一般的な機能

a)ネットワーク接続
・無線 LAN 又は、携帯電話を利用できる。
b)アプリの利用
・アプリを配布するマーケット(アプリストア)からアプリを選んでスマートデバイスに導入できる。
c)記憶媒体へのデータ保存
・内臓されている記憶媒体にアプリや写真などのデータを保存できる。
・機種によっては、データをマイクロ SDカードなどの外部媒体にも保存できる。
d)SIM カードの使い分け
・機種によっては、携帯電話事業者の SIM カードを使い分けることができる。

モバイルワークにスマートデバイスを利用した場合の情報セキュリティ上のリスクと対策について検討し報告するように指示を受けた。そこで下記のリスク対策案を作成した。

モバイルワークにスマートデバイスを利用しTが場合のリスクと対策案

モバイルワーカーは、VPN サーバの利用者認証を使ってログインする。よって、不正利用や内部ネットワークへの侵入を低減できる。

スマートデバイスの紛失盗難による情報漏洩及び消失についても、遠隔操作でロックを掛けたり、内部記憶媒体や外部記憶媒体の全領域を初期化することができ、情報漏洩は防止できる。
初期化しても利用規定の中で J 社のファイルサーバーに業務データを保存する。としているので大丈夫。

マルウェア感染のリスクに対しては、J 社が指定したアプリストアにあるソフトウェアを利用する。

上記リスクで、利用者による OS の改造(Jailbreak,root化)リスクは、出荷時のセキュリティ設定を解除されるのを防止する。

対策の実現に向けた調査

G 主任が調査したところ上記の対策を実現するクラウドが複数からサービスされていたので、下記のMM 1及び MM 2 の候補を報告した。

MM 1及び MM 2 の機能

モバイル端末利用申請書には、国際移動体装置識別番号を含める。
スマートデバイスの盗難・紛失時に、この国際移動体装置識別番号を使って遠隔ロックや初期化などの操作を行う。

2 つを比較すると、MM 1 は、スマートフォンに保存されている全てのデータを保存対象にすることによって情報漏洩を防ぐ、MM 2 は、スマートデバイスの業務フォルダ内に保存されているデータを保護対象にすることによって情報漏洩を防ぐ。又、幾つかの課題があることに気づいたので、そこでその課題と解決案を下記の通りまとめた。

課題と解決策

MM1 を利用した場合、収集した端末データを運用担当者が閲覧した場合、プライバシー侵害のクレームが発生した。これに対しての解決策は、モバイルワーク利用前に書面で同意を得て置くことが大切です。

関連する用語

Jailbreak (ジェイルブレイク、 脱獄 )
ユーザー権限( Root )に制限を設けているコンピュータ( 携帯電話)に対して、 セキュリティホール ( 脆弱性 )を突いてその制限を取り除き、開発者が意図しない方法でソフトウェアを動作できるようにすること。
スマートデバイスの利用者が出荷時のセキュリティ設定を解除できるようになってしまう。

学習の確認

  • 利用者認証について
  • モバイルワーク利用規定の作成
  • モバイル端末利用申請書の作成
  • モバイルワークにスマートデバイスを利用した場合のリスクと対策を考える
  • 紛失・盗難の場合の業務データ消去に関する件
  • モバイルワークより収集したデータからクレームが発生した場合の対処