クラウドにセキュリティ企業はどう挑む？
【ラック編】

株式会社ラック 取締役常務執行役員の西本逸郎氏

　クラウドを利用する際の懸念とされるセキュリティの問題。最近はクラウドを推進させるスマートフォンのセキュリティも問われるようになっている。企業がスマートフォンを利用するにあたって、どのような心構えや対策が必要なのか。株式会社ラック 取締役常務執行役員の西本逸郎氏に聞いた。

　西本氏は、企業システムのクラウド移行への道のりは長いが、それとは別にスマートフォンが地殻変動を起こしていると見る。「実際、クラウドを使いこなしているという企業はまだ皆無に等しいが、スマホは企業ユーザーが個人で使い始めており、多いところでは社員の5割にのぼる。おそらくクラウドよりスマホが先行する形になるだろう」。

　スマートフォンではオンラインストレージ、スケジュール、ソーシャルメディアなどが業務に関連して使われているという。ここでポイントとなるのが「IT部門では勝手にスマホが使われて困るという声が挙がっている」（同氏）ことだ。

　従業員がスマホを使うことについて、企業は何をどう考えればいいのか。西本氏は「恐れず使うべき」と語る。

■スマホのリスクと企業が検討すべき3点

　スマートフォンのセキュリティリスクにはどんなものがあるだろう。前提として「iPhoneは、バージョンアップごとに脆弱性は掃除されるだろうし、それはAppleが自身のビジネスとしてやっていくことなので、あまりつべこべいうものでもない。スマホのセキュリティを考える必要があるのは、主にAndroidだ」（同氏）。

　Androidのリスクとしては、「ソーシャルメディアからの内部情報漏えい」「マルウェアの問題」「端末の紛失」が挙げられるという。これらについて同氏は次のように語る。

　「内部からの漏えいはこれまでにもあった問題。スマホだからというものではなく、対策としては教育で十分」。

　「マルウェアについては、アプリ自体がJava製で改変も容易なため、アプリのマネジメントが重要となる。ただ、正規マーケット以外からのダウンロードに気をつけることである程度防げるので、こちらも本当は社内教育で済む話。あるとすれば、アプリをインストールする時に出る警告の内容が不十分といえる。現状では、各アプリが実際にどういうデータをどう扱っているのかはブラックボックス。スマホは常にインターネットにつながるため、データをひそかに外部へ送ることもできてしまう。今後、表記の仕方やセキュリティ上の統一ルールが必要になると思われるが、それはアプリ開発者側での話だ」。

　「企業においては、端末の紛失がおそらく最も怖いことだろう。端末紛失時、第三者にSDカードを抜き取られると、その中のデータは簡単に盗まれてしまうし、リモートワイプも機能しなくなる。SDカードはあまり上書きをせず、HDDよりもデータの復旧が簡単なことからも、弱点になり得る」。

　これらを踏まえ西本氏は、企業は最初に「端末を落としても大丈夫か」「ソーシャルメディアをどう利用させるか」「変なアプリが入ったりしないか」の3点を検討すべきと提案している。

■スマホをセキュリティで固めるのには否定的

　だが、西本氏が最も懸念するのは、「端末紛失時にすべて個人情報流出事故として取り扱って報告・謝罪しなければならないとなると大変」ということだ。

　「もちろん、プライバシー情報が漏れるような情報流出は避けねばならない。しかし、例えば一般の企業でメールアドレスが流れたくらいであれば、そう大騒ぎすることではない。PCの世界では大騒ぎした結果、ノートPC持ち出し禁止などという話になってしまった。そんなことをしている国はほかにはない。もしスマホでも同じ道をたどってしまうとすると、日本だけグローバルから取り残されて、再び“失われた10年”のような状況になってしまう。それだけは避けなければならない」（同氏）。

　つまり、スマートフォンのセキュリティ問題というよりも、それによりスマートフォンの軽快さが損なわれる可能性に警鐘を鳴らしているのだ。スマホをPCのようにガチガチのセキュリティで固めてしまうのにも否定的である。

　「セキュリティが心配であれば、用途や機能を制限した“スマホインジェイル”の状態からスタートするのがいい。そのためのサービスも各社から出始めている。そこから始め、少しずつソーシャルメディアの使用などへ範囲を広げて、やがて全体でのコラボや自社アプリケーションとの連携を図っていく。スマホは常にインターネットにつながっており、PCよりも管理しやすい側面もあるので、こうした対応が可能だろう」。

　「ただ、それはスマホ本来の使い方ではない。そこまで管理するのかどうか、そこまで管理しないとスマホは使ってはいけないのか、というと話は別だ。例えば、Twitterでつぶやけないようにするといった入り方でもいいが、そうしたルールもいずれは撤廃する必要がある」（同氏）。

　重要なのは「スマートフォンをどういう業務で使うか」だという。

　「まず使いたいのはメールだと思うので、例えば、その内容が暗号化されているか。仮想デスクトップのように使うのであれば認証をどうするか。いずれにせよ、落とした場合の備えが必要だ。もっと言えば、落とした場合に個人情報保護法の観点でアクションが必要なのか、そのあたりが鍵となる。ここが担保されていえば、話は簡単」（同氏）。

　例えば、Evernoteを使っていて、そこに個人情報を入れてしまえば、SDカードにも自動で同期されてしまう。端末内にデータが入ってくる場合に気をつける必要があるが、それも今後はSDカードを暗号化するようなアプリが出てくるはずで、そういったものをうまく使っていけばいいという。

　ただし、金融など重要な機密情報を扱う業務に対しては、「そういう業務にそもそもスマホは必要ない。ガチガチにセキュリティを固めなければいけない業務は、今まで通り、PCを使うべき。それだけの話だ」としている。

■事故は起きることを前提に

　スマートフォンのユーザーが増えれば、必然的に、紛失事故も増えていくだろう。もちろん、ないに越したことはないが、「なくさないよう気をつける」という心構えだけでは限界がある。そこで「落としたときでも大丈夫な使い方を心がけるべきだ」（同氏）と指摘する。

　その上で「事故はあってはいけないものだが、起きてしまうものは起きてしまう一面もある。本当にセンシティブな情報漏えいはまずいが、今の日本ではメールアドレスが漏れただけでも必要以上に大騒ぎする傾向がある。そのためにスマホがけしからんとなるのは大間違い。今後、情報セキュリティ事故に対する意識を変えていく必要があるだろう。もちろん、事後対応が不十分だったらガツンといかなければいけない。そのためにも、企業は事故は起きることを前提に、事後対応の体制を整えるべきだ」と語る。

■利用者側の意識も重要

　また、スマートフォンを業務に使う場合は、使う側の意識が重要になるという。「例えば、SIMロックフリーの端末を中国で購入して勝手に使うとなると、それは怖い。また、仮想化で1台に複数の電話番号を持たせる技術もある。今後もびっくりするようなさまざまな技術が出てくるはずで、すべてをセキュリティ技術で防ぐのはそもそも難しい。そうすると使う側での責任が問われる。使うなら使う人が意識する必要があるし、そのためにも企業内での教育が重要になると感じている」（同氏）。

■待たれる企業活用ガイド、JNSAらが準備中

　企業がスマートフォンを活用する際、「端末を落としても大丈夫か」「ソーシャルメディアをどう利用させるか」「変なアプリが入ったりしないか」の3点を気をつけるべきとしつつも、全体的には「スマホの利用を止められない、と管理者は悩むことはない」と、スマホ利用に積極的な西本氏だ。

　とはいえ、コンプライアンスやガバナンスの観点でどのように使っていくべきか、企業には何かしらのガイドが必要だろう。同氏によれば「現在、JNSAでガイド策定が進められている」という。

　この取り組みを受けて、ラックは2011年1月20日に「スマートフォンセキュリティフォーラム（仮称）」の準備会が発足した。セキュリティ専門家が集まるJNSAだけでなく、キャリア、機器メーカー、アプリ開発者、SIer、エンドユーザー、関連団体、政府も含めて、より広範な協調を促すのが目的で、2月23日に第一回準備会が開催された。正式に同フォーラムが発足するのは4月からとなるが、水面下ではガイドの議論や策定が進められており、「近いうちにベータ版のガイドも公開される見込み」（同氏）という。

　「まだ具体的な内容はこれから検討することだが、PCのセキュリティとは違ったものにしていかなければならない」（同氏）とのことで、セキュリティをガチガチに固めるためのガイドではなく、いかに企業でスマホをスマホらしく使えるかといった方向性で検討が進められているという。

　発起人となったのはラック、JNSA、KDDIの3社だ。KDDIはキャリアとして、またアプリマーケットの運営者として参加している。安全なアプリマーケットの整備も、スマホ普及には欠かせない要素である。ラックはガイドラインの手直しや普及のほか、同フォーラムを通じて、アプリの権限表記ルールや脆弱性、背後のWebサーバーの安全性に関するチェックリストを作っており、各々のマーケットで採用してもらえるよう調整を進めている。もちろん他のキャリアにも参加に向けて働きかけている。

　業務上においてもスマートフォンは確かに便利だ。一方で運用ルールをどうするか悩んでいる企業も多いだろう。そうした企業の一助に、いち早いガイドラインの策定が待たれる。