[情シス担当者の新たな悩み スマートフォン&タブレットのセキュリティ脅威と対策]に参加してきました

うん、私服でPC出してメモしてるのは私一人だけでした
40人ぐらいいたと思うんだけどなぁ^^;
さすがにこのようなシステム管理者系セキュリティセミナーに参加する皆様は
そもそも業務端末の持ち出しとかすごい大変なんだろうなぁ^^;

以下、めも

JSSEC 日本スマートフォンセキュリティ協会

スマートフォン&タブレットの業務利用に関するセキュrティガイドライン

iOS、Android,BB,WP7 (WP8はこれからつくるよ
会社資産 or BYOD

「PCへの対策は中心としたセキュリティはきっちり実施してきた、はず。」
これをすり抜けて利用されているスマホが、実は業務効率を上げていないか?

現状では残念ながら、スマホはパソコンと同じセキュリティは保てないよ

目的をきっちり決める必要がある
「フリックしてみたい」「クラウド使ってみたい」はNG
「スマホで何するの?」

—-
→BYODを導入するにしても、その目的が大事
BYODを利用するスコープを定義し、そのスコープに対して企業からのアプリケーション提供や
セキュリティ導入がされるべき。

BYOD端末に対してすべてのコントロールを企業が取ろうとすべきではない
—-
スマホにたいして、
データがどこに保存されているか知ってる?
アプリケーションの導入はダウンロードが標準:そこは信頼できるサイトなの?信頼できる販売元なの?
マルウェアって?感染経路は?
不正なアプリケーションが出回っている

モバイルPCとスマートフォンとどう違うの?
・OS管理者権限
PC:Administrator、スマホ:rootとれる、ガラケー:出来ない

考察1
アプリケーション利用時のモデル
マーケットからDLする
DLしたときにパーミッションの確認がでてくる
→自分で許可してるんだよ

考察2
デバイスの紛失
SIM入れ替え
外部サービスのIDが連動している→スマホが盗難されると全部ばれるよ
覗き見、ショルダーハック どやリングしてる場合は無いよ

考察3
脆弱性 OS、デバイスが多いので、パッチ適用がされない可能性がある
信頼できないマーケット、アプリケーション:パーミッションは注意
企業が検証したもの飲みを提供するマーケットを準備する方法もある。
利用者による改造:root化

ポイントはデータの流れと保存場所
アドレス帳など、アプリケーションによってコピーされることもある

利用シーンからの考察
最近のスマホのアドレス帳は電話番号だけでなくSNSのアカウントやその人とのやり取りすらアドレス帳に日もついて管理されている
外部サービスとも連携している

スマホは過般媒体として利用することは推奨できません
だったら自社クラウドサービスでも使えば(目代

SNS
不正な情報、間違った情報、不用意な書き込み、GPSや写真による場所の特定も脅威

指定サービス以外の利用禁止、ルール策定、メディアリテラシ向上策等必須

不正なAPが増加している
認めたAP以外接続できないよ運にする

デザリングは止めたほうが良い

意図しない情報発信
→カレログ

スマートフォンのサービスモデル
個人裁量型のツールである
OSやデバイス提供元による違うのある
PCと違う点がある

アカウントの管理はどうする?BYODとして持ち込んだスマホを会社利用するには?
GoogleID、AppleID、MicrosoftID を個人の管理にしていいの?

社内ルールの見直しが必要

導入運用時の配慮店
プライバシー侵害に配慮し、誓約書などによる同意を推奨

スマートフォンは色々なデータの出口がある
インターネット、BT、マイクロSD、USB、etc

禁止しても、完全に禁止にしたい
ガイドラインと啓蒙活動が大事

利用目的を決めて、範囲を指定し、利用範囲を限定することで企業利用を円滑に進めたい

標準化されていないツールなので柔軟な対応が必要

ポリシー作成していいても監査(定期的なテストの実施)をしていないのが実情

リモートワイプについて
中国国内では、C2DM通信をブロックしているので、
中国での盗難には対応できない。
盗難された端末をリモートワイプ信号がくる前に(電源を投入せずに)中国国内に持ち込まれると、李m-とワイプ出来ない可能性が高い

Comments are Disabled