Weitere ähnliche Inhalte
Ähnlich wie 20111213 (20)
Kürzlich hochgeladen (12)
20111213
- 1. ©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
2011年12⽉13⽇
ペリージョンソン コンサルティング 株式会社
モバイルワーク導⼊時の
『リスク』と『対策』
Risks and measures
When “Mobile Work ” is introduced
ー もしかして、従業員が勝⼿にモバイルワークを始めていませんか? ー
- 2. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
目次
私物端末のチェックは可能か?
端末⽀給か?BYODか?
ITセキュリティの重要性と限界
マネジメントシステム構築の必要性
Ⅱ.勝⼿モバイルワークへの対処法
・・・ 4
・・・ 5
・・・ 6
・・・ 7
・・・ 9
・・・10
・・・11
・・・12
Ⅲ.講演のまとめ
・・・14モバイルワークは『毒』か『薬』か?
Ⅰ.モバイルワークに関する考察
モバイルワーク(テレワーク)の導⼊率
スマートデバイスの普及予測
フリーミアム戦略の脅威
ITセキュリティへの対応状況
- 3. ©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
Perry Johnson Consulting, Inc. of Japan
Perry Johnson Consulting, Inc. of Japan
Ⅰ.モバイルワークに関する考察
- 4. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
モバイルワーク(テレワーク)の導入率
-4-
出所:総務省『平成22年通信利⽤動向調査』をもとに作成
導⼊率 ≠ 。その認識のズレがセキュリティリスクを⾼める
会社建物から離れたところに居ながら、通信ネットワークを活⽤することにより、
あたかも会社建物内で勤務しているような作業環境にある勤務形態の事。
総務省が定義するテレワークとは?
導⼊している=12.1%
導⼊していないが、具体的導⼊予定あり=3.5%
導⼊していないし、具体的導⼊予定もない=82.8%
無回答=1.6%
(N=2119)
実施率
- 5. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
229 348
494
630
12184
17 23
42
65
86
108
0
250
500
750
1000
2010 2011 2012 2013 2014 2015
スマートデバイスの普及予測
-5-
が、スマートデバイスを保有する時代の到来
スマートフォンの出荷台数
タブレットPCの出荷台数
=個⼈ =法⼈
526 755 1061 1418
1846
337
128
124
119
104
8873
0
1000
2000
3000
2010 2011 2012 2013 2014 2015
(万台)
(万台)
出所:MCPC『スマートフォン/タブレットPC市場の中期予測について』(2011年5⽉25⽇発表)をもとに作成
従業員の⼤半
- 6. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
フリーミアム戦略の脅威
-6-
とは無関係に、既にモバイルワークを実施している可能性が⾼い
従業員が会社の許可を得ることなく、私物端末等を⽤いてWEBメールやストレー
ジサービスなど、勝⼿にクラウドサービスを業務に利⽤する事。
勝⼿クラウド・野良クラウドとは?
プレゼン資料を
Dropboxへ♪
Dropboxで
仕事の続きしよう♪
オフィスで・・・ オフィスの外で・・・ ⾃宅で・・・
スケジュール管理も
Googleで楽チン♪
会社の導⼊意思
- 7. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
2.7
2.9
3.5
6.8
8.3
8.8
9.1
10.1
12.5
14.4
14.6
18.6
22.0
28.2
29.4
32.9
36.6
45.4
53.9
62.6
80.9
0 10 20 30 40 50 60 70 80 90
無回答
特に対応していない
その他の対策
不正侵⼊探知システム(IDS)・不正侵⼊防御システム(IPS)の設置・導⼊
Webアプリケーションファイアウォールの設置・導⼊
回線監視
セキュリティ管理のアウトソーシング
ウィルス対策対応マニュアルを策定
認証技術の導⼊による利⽤者確認
データやネットワークの暗号化
セキュリティ監査
外部接続の際にウィルスウォールを構築
プロキシ(代理)サーバ等の利⽤
アクセスログの記録
社員教育
セキュリティポリシーの策定
OSへのセキュリティパッチの導⼊
ファイアウォールの設置・導⼊
ID・パスワードによるアクセス制御
サーバにウィルス対策プログラムを導⼊
パソコンなどの端末にウィルス対策プログラムを導⼊
ITセキュリティへの対応状況
-7-
は従来の⽅法では制御できず、締め付けはむしろ逆効果に
出所:総務省『平成22年通信利⽤動向調査』をもとに作成
(N=2108・複数回答可)
(%)
勝⼿モバイルワーク
- 8. ©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
Perry Johnson Consulting, Inc. of Japan
Perry Johnson Consulting, Inc. of Japan
Ⅱ.勝手モバイルワークへの対処法
- 9. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
私物端末のチェックは可能か?
-9-
クラウドサービスを しない限り、勝⼿モバイルワークは根絶不能
法律的にチェックは可能か?
⾃発的協⼒によるチェックは可能か?
所持品検査は、それを実施する合理的な必要性があり、⼈権侵害とならない相当な
⽅法でなければ認められない 。
(⻄⽇本鉄道事件・最⾼裁第2⼩・昭43・8・2判決・労判152・34 )
私物端末に会社の情報資産が⼊ってるかどうかチェックする程度の理由で
強制的に調べる事はできない。
そもそも、システム統制に反発するような形で勝⼿モバイルワークを⾏なっている
ケースが多く、チェックに協⼒するメリットがない限り、実態把握は困難。
正式に導⼊
- 10. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
端末支給か?BYODか?
-10-
が⼿薄い中⼩企業においては、端末⽀給が望ましい
端末⽀給 BYOD
※BYOD(Bring Your Own Device)=従業員の私物端末を所属企業の統制の下、業務に活⽤する事
必要 基本的にいらない端末費⽤
メンテナンス バラバラなので⾯倒機種を揃えれば楽
プライバシー
通信費⽤
置き忘れ対策
定額制であれば安く済む端末毎に新たに発⽣
リモートワイプが可能
履歴管理が問題
リモートワイプは困難
問題なし
システム管理体制
- 11. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
ITセキュリティの重要性と限界
-11-
全ての操作には が介在するため、IT単独のセキュリティには限界
「機密性」アクセス権をもつ者のみが情報にアクセスできるようにする事
→IDとパスワードによる個⼈認証・指紋認証など
「完全性」情報やその処理⽅法が正確かつ完全である事を保護する事
→デジタル署名など
「可⽤性」必要な時に情報資産にアクセスできる事
→サーバーの⼆重化やバックアップシステムなど
モバイルワークの導⼊
アクセス可能端末の増加
ITセキュリティの重要性が増す
情報セキュリティの3要素
「⼈間」
- 12. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
マネジメントシステム構築の必要性
-12-
完璧な情報セキュリティは存在しない=PDCA+ が重要
どう⼯夫してもソーシャルエンジニアリングなどによる悪意には対抗できない
★外出作業時におけるセキュリティポリシーの策定
→公共の場でモバイル設備を使⽤する際の⼿引、置き忘れ対策など
★⾃宅作業時におけるセキュリティポリシーの策定
→作業内容・時間の確認。作業環境によっては家族もリスクという認識
ITセキュリティ 物理的セキュリティ ⼈的資源管理 プロセス管理
情報セキュリティ
「何が情報資産か」を定義し、ハードウェア・ソフトウェア・⽂書・⼈材・
パートナーなど組織に関するあらゆる資産に対してリスクアセスメントを実施
漏洩時のリカバリ
- 13. ©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
Perry Johnson Consulting, Inc. of Japan
Perry Johnson Consulting, Inc. of Japan
Ⅲ.講演のまとめ
- 14. http://www.pjcinc.jp
©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
モバイルワークは『毒』か『薬』か?
-14-
ただし・・・
⽤法・容量を誤ると、⼀瞬で「毒薬」に変わる
よく効く薬ほど、副作⽤も⼤きい
モバイルワークは、「disaster(災害)」に対して劇的に効く唯⼀の「薬」
致命傷(事業継続の断念等)を負う可能性
モバイルワークは導⼊すべきだが、導⼊するなら に御注意を!
漏洩した情報の半減期は半永久的
失われた信⽤は⼆度と取り戻せない
では、飲めばいいのか? 導⼊すればいいのか?
この薬を常備せず、次に重篤な発作(disaster)が起こった場合・・・
情報漏洩
- 15. ©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.©2011 Perry Johnson Consulting, Inc. of JAPAN, All Rights Reserved.
Thank you for your attention.
ご清聴、ありがとうございました。
アンケート⽤紙へのご記⼊よろしくお願い致します。
モバイルワーク導⼊の御相談は下記担当者まで。
ペリージョンソンコンサルティング(株) モバイルワーク導⼊⽀援チーム
電話番号:0120-49-8218 / 03-5774-9800
航空機を使った前代未聞のテロ事件「9.11」
あの災禍を契機としてアメリカではモバイルワークが⼀気に普及し、弊社も本格導⼊に⾄りました。
PJCは、外資系企業ならではのリスク管理⼿法で、皆様のモバイルワーク導⼊を⽀援致します。