セミナー・教育｜株式会社 エスケイワード コンサルティング事業部

セミナー情報セキュリティセミナー　第40回開催レポートについて

セッション１のモバイル端末活用〜 最新事例による活用とそのリスク対策について 〜では
『今後のスマートフォン活用が推進される事例』
『モバイル端末　セキュリティ要求事項例』
『紛失した場合のシミュレーション手順』
『社員教育用　携帯紛失に備えて〜らくらく簡単　無料で設定スマホ紛失対策〜』
『スマホ紛失でも困らない５つのおきて』
を講演いたしました。

スマートフォンに代表される、モバイル端末の活用に関しては、もはやビジネス上では必須となっていますが、ある統計によると5人に1人以上がスマートフォンの紛失を経験しているとの事です。さらに紛失しても、４割の確率で戻ってこないとも言われています。

また、実際にこういう事例はないでしょうか？

私物端末は原則使用禁止のルールで会社として原則管理していないが、実際は私物の端末を使用して業務をしていてその中に会社のデータが入っているケースがある。

このようなケースで、もし業務で使用している機密性の高い情報が入った状態でモバイル端末が紛失した場合情報漏えい事件として大きく取り扱われてしまう可能性もあります。これらのリスクについて、企業側が追い付いていないかもしれません。

では、モバイル端末のセキュリティ対策としてどのような事が要求されているでしょうか？

• 組織側で端末情報を把握し台帳管理の実施
• HDDやメモリー用域（SD等の外部も含めて）の暗号化対策
• インターネット接続方法（wifiルータ・公衆wifi・携帯電話回線）
• 業務データの取り扱いのルール整備（一般・社外秘・機密性等の区分）
• 業務で利用させるアプリケーションの種類と入手方法のルール整備
• 情報資産にアクセスする手段のルール整備
• ウイルス対策
• 最新OS・アプリケーションのアップデート対策とルール
• 物理的に紛失しない対策（ワイヤー・ストラップ・置忘れ防止タグ）
• 導入・申請のルールと教育
• 紛失時の対応フロー
• MDM（データ消去・遠隔ロック等の端末管理）
• アクセスコントロール（不正な端末の接続があった場合検知する）
• DLPシステム（不正に情報が外部に出た場合検知する）

しかし、これらを全て実施するとなると、IT管理者様のご負担も増えますし、なかなかルールが定着しないかもしれません。

そこで、以下の3段階で実施する方法もあります。

• すぐに実施してほしい事として、端末紛失のリスクを周知して、最低限の対策方法（携帯ロック　端末場所アプリ　ウイルス対策　パスワード保管等）の教育を実施
• その次のステップでモバイル端末活用ニーズの理解とリスクアセスメント実施し、モバイル対策策定（BYOD・CYOD・COPE等）
• 更に次のステップとして紛失時の対応フローの策定と訓練を実施

先ずは、教育を実施して、ITリテラシーを上げた上で、対策を講じるのも有効策ではないでしょうか？

セッション2では、新米情報セキュリティ管理者のための、情報セキュリティ管理方法を学ぶ〜ISMS（ISO27001）を活用して〜第4回目『クラウドサービス、ソーシャルメディア、オンラインストレージ編』を講演いたしました。

モバイル端末と、クラウドサービス、ソーシャルメディア、オンラインストレージが組み合わせて、業務活用されている為、ISO27001の規格から内容を学びました。

師走のご多用の中、多くの皆様にご参加頂きありがとうございました。

---

さて、次回情報セキュリティセミナーですが第41回目の開催は2017年1月18日18：30より開催いたします。

テーマは毎年恒例の新春企画『2017年　IT・セキュリティ10大予測』です。

今回も2017年のIT動向やセキュリティの脅威状況を予測し、新たに予想されるリスクとその対策を学びます。
また、ISO27001の規格に『4.1組織及びその状況の理解』がありますが、組織として、内部と外部の状況を理解し、課題を決める事となっています。
今回のセミナーでは、具体的に外部環境の把握として、国際・国内（地域）、法令、技術（IT動向）、経済や市場の動向等それらの環境から生じる課題を整理していきしょう。これらの情報を参考にして、2017年の事業計画と対策を検討していただければ幸いです。

次回も皆さまのご参加をお待ちしております。