中小企業・中堅企業における情報セキュリティ対策--スマホ、そして「無料」と称する"コスト"

突然の夏日到来ですが、みなさまは、いかがお過ごしのことでしょうか。

さて、今回はハンドブックの2章「パソコン・スマホ・IoT機器のより進んだ使い方やトラブルの対処の仕方を知ろう」についての説明です。

ハンドブックの章立ては以下の通り
  1. パソコンのセキュリティ設定
  2. スマホのセキュリティ設定
  3. IoT機器のセキュリティ設定
私は、今回は「スマホのセキュリティ設定」および、本章のコラムにある「「無料」ということの対価は何か」を選んで、お話ししたいと思います。

スマホはキャッシュカード並みにしっかり管理すべき

ほとんどの方は、銀行のキャッシュカードをお持ちだと思います。ちなみに、前回お話しした「認証」=自分で自分であることの証をすること=の観点に立てば、キャッシュカードは多要素認証です。
と言うのも、
  • 自分しか持っていないものを見せることによって認証する=カード
  • 自分しか知らないことを伝えることによって認証する=暗証番号
で、残高照会や口座からの引き下ろしができるからです。

さて、スマホです。業務でスマホを使っている場合、表題の通り、それを
キャッシュカードと思って、管理してください、と申し上げます。

では「キャッシュカードと思って」とは具体的に何かと言うと、まずは基本中の基本は
  • 他人に貸さない
  • 他人に見せない
  • 紛失/盗難したら、遠隔(リモート)ロック/ワイプ(後述)する
です。リモートロックとは遠隔地から文字通りロックをかけること、リモートワイプとは、遠隔地からスマホのデータを消すことです。

キャッシュカードの場合は銀行に連絡すれば銀行が対象のキャッシュカードを利用禁止にしますが、スマホの場合は、銀行のように管理しているところがないため、紛失した/盗難された場合、自分でロック/ワイプをかけるのです。

これらは会社から支給された業務用スマホであっても、業務と私用双方で使っているスマホであっても同じです。

まず「他人に貸さない」「他人に見せない」。
「会社支給の業務用なら、業務データしかないから、いいじゃないか」と思われるかもしれませんが、前々回申し上げた通り、情報漏洩はサイバー攻撃によるものだけでなく、「内部不正による情報漏洩」や「不注意による情報漏えい」があります。

「スマホを他人に貸す」「他人に見せる」という行為は、このようなリスクを高める行為です。スマホに入っている情報は、他人が見てはならない機密情報かもしれまんし。

また、一般にスマホは「一台のコンピュータを皆で利用する」前提になっていません。
最初にスマホで認証したら、その後は、誰もがどのアプリ、データでも使える・見ることができます。
また、前回申し上げた多要素認証をスマホを使って行っている場合は、ワンタイムパスワードやSMSによる認証等がそのスマホで行えますので、下手したら、他人にシステムを使う権限を渡すことにもなりかねません。

従って、「他人に貸す」「他人に見せる」行為は厳に慎むべきです。

次に「リモートロック/ワイプ」について。
私はこのブログでは、設定の方法等については触れませんが(それを書くと、ページがいくらあっても足りませんので。インターネット検索すれば、どこにでも書いていますので、勉強も兼ねて、一度、自分でお調べください。分からなければご教示いたします)、iPhone/iPad、Androidとも、それぞれ方法があります。

これもキャッシュカードのたとえで、その必要性をお分かりいただけるかと思います。

ロックにすべきかワイプ(データ消去)すべきかは状況によりますが、一般にロックは「早期に見つかる可能性が高い場合」(例.どこに置き忘れたかおおよそ見当がついて、しかも早期に戻る場合)、ワイプは盗難や、どこに置き忘れたか全く見当がつかない場合、とお考え下さい。
また、スマホに入っている情報の機密性の高さ、も判断の一要素です。

なお、スマホにGPS位置情報機能が搭載されている場合(今はほぼ全てに搭載されていると思いますが)、電源が残っていて、この機能をONにしておけば、スマホを探すこともできます。

そして・・・先の3つのポイント=他人に貸さない・他人に見せない・紛失/盗難したら、リモートロック/ワイプするを出発点として、以下が必要になります。

スマホには必ずロックをかける。できれば生体認証

スマホには必ずロックをかけましょう。他人(悪い奴含む)に使われない、見られないために。
そこで強力で簡単なのは指紋認証や顔認証のような生体認証です。ですので、購入する際は生体認証付が望ましいです。

次に、自動ロック(スリープ)設定をしてください。これは、スマホを使い終わってロックするのを忘れても、例えば使い終わって5分後にスマホ自体が自動でロックする機能です。5分と書きましたが、これは設定で変更できます。ただし、長すぎるのはリスクが高いから、ご自身の使用状況にもよりますが、短めの時間で設定してください。

公衆Wifiは使わない

現在はサービスの一環として、いろんなお店で無料の公衆Wifi(無線LAN)を提供しているお店も多いですが、原則として、公衆Wifiは使わないことをお勧めします。

理由は、通信データを盗聴される恐れがあるからです。今は、簡単に通信の盗聴などもできてしまいますから。公衆Wifiのリスクとしては
  • 通信の暗号化がされていない、あるいは暗号化強度が弱い
  • 皆が使える前提上、悪意ある者がWifiスポットにマルウェアや盗聴アプリなどをしこむリスクがある
  • パスワードが広く周知されているので、暗号化されていても意味を持たない(すぐに解読できる)
です。

正直、外出先の業務で使う場合にyoutubeなどの通信量を多く使う動画を見る必要性は、あまりないと思います。せいぜい、チャットやメール,業務アプリによる通信ではないでしょうか?
もちろん、公衆Wifiの脆弱性をカバーする対策もありますが、公衆Wifiを使うために、通信暗号化などのお金や手間をかけますか?

であれば、リスクがある公衆Wifiを使う必要はなく、docomoやauなどのキャリア回線、あるいはMVNO(これもキャリア回線)などのLTEを使うほうがセキュリティ上安全です。

他にもスマホ自体の暗号化等がありますが、まずは、スマホについては、私が書いたことを基本にして、使っていただきたいと思います。

「無料」のコスト

「無料のコスト」って、言葉自体が、矛盾していますね(苦笑)。
ただ、何故、この話をするかというと、中小企業・中堅企業でITを使っている場合に、つい「無料」という言葉に惹かれて、使い続けてしまう、ということが多いから、敢えて、それに対して注意喚起させていただくためです。

その意味で、まずはハンドブックに書かれたコラムの記事を要約させて頂きます。
  1. どんなものでも、サービスが提供されるときは必ずコスト(費用)がかかっている
  2. コストを回収できないビジネスは誰も行わない。実は、無料のサービスの対価の大半は「私たちの情報」である
  3. また、当初は無料にして、その後有料化するという方式がある
  4. 個人情報なども収集しない「善意の無料サービス」もあるが、それはビジネスとして成立しないので、セキュリティ対策がおろそかになる
1は説明する必要はないでしょう。
2はGoogleなどが典型的ですね。私もGmailだけでなく、Googleが無料で提供するアプリを個人的に<会社としては使っていない>、頻繁に使っていますが、私の個人的なメールの中身や、作成したドキュメントなどは、全てGoogleから見られており、私の趣向に適った広告が、ガンガン送られてきたり、Web検索でも出てきます。

つまり、私のメールやWebの閲覧履歴などを私の行動履歴として情報収集=私においては私の行動情報のGoogleへの提供、をしたうえで、ガンガン広告が表示される、つまり、Googleは私からはお金を取らないけど、広告主からお金を取る、というビジネスモデルですね。

これらを業務で使う問題点は、情報の収集も問題ですが
(もし私が業務として使っていれば、「会社代表としての小西敏朗のお客さまとの情報」が収集・利用されるのですから)、
そのサービスが、突然終了してしまう
リスクです。

Googleなどは、情報収集の目的で、多くの無料サービスを提供していますが、その反面、多くのサービスも、急に終了させたりしています。
何故、サービスを終了させるかと言うと、思うように情報等が収集できない=ペイできない、サービスだからです。

もちろん、ユーザは無料なので文句は言えませんね。
でも、もしそれを「無料だから」という理由で業務に使っていたとすると、突然終了するといわれたら、困ってしまいますよね、特にそこに、データを多く蓄積している場合などは。

3も、しばしば耳にする話です。あるいは、突然の大幅値上げなど。

4については、最近では「宅ふぁいる便」の不正アクセスによる情報漏洩などがありました。

これは大阪ガスグループのIT企業が運営する大容量のファイル転送サービスで、同時3名まで、最大10ファイルまで無料で送ることのできるものでした。

これはニーズも高かった=と言うのは、ファイルを送るのにメールであれば送信容量制限がありますが、このサービスだと、それを超えた大きさのファイルを送ることができたからです。
ですので、企業においても、このサービスを使っているところは多かったのです。

で、後になって「実はパスワードが暗号化されていなかった」などが明らかになるのですが、これは
ビジネスとして成立しないので、セキュリティ対策がおろそかになる
の典型例だと思います。

ITにも「補修」(「保守」といいます)は必要です。だから保守のためのコスト=保守費が必要です。保守の理由はいろいろありますが、例えば機器の老朽化で機器変更をしたり、機能の追加を行うなどですが、その機能の追加の中に「セキュリティの強化」もあるのです。

前回申し上げた「OSやソフトウェアを最新に」も、これを最新に保つためにはコストが必要な訳です。で、いわゆる「無料」サービスは、無料であるが故、そこまで手が回らない、ということになるのです。

はじめに書いた「"無料"のコスト」とは、こういったことです。
まとめると、無料で提供されるサービスとは、
  • そのコスト(対価)として情報を提供している
  • 突然サービスが打ち切られて、その後の対応にコストがかかる
  • 後でコスト(対価)を求められる
  • 事故が発生してリスク(危険性)であったものが実害としての被害コストになる
のいずれかだということです。

まあ、「ただより高いものはない」といいますが、中小企業・中堅企業の皆さまには、これを十分、ご理解していただきたいと考えます。

もちろん、上記を踏まえたうえで
「それでも、無料サービスを使うのだ」
と判断されることは、一つの経営判断だと思いますので、それについては、私がとやかく申し上げる話ではございません。

ということで、次回はハンドブックの「第3章. 被害に遭わないために、加害者的立場にならないために」について、ポイントをお伝えしたいと思います。

では、また次回、よろしくお願い申し上げます。