is702
ニュース

職場に持ち込まれるIoTデバイスの多様化に合わせ、BYODの見直しを

2019/06/05

トレンドマイクロは6月4日、公式ブログで「職場で利用されるIoTデバイス:セキュリティリスクとBYOD環境への脅威」と題する記事を公開しました。

従業員が職場に持ち込むスマホやタブレット、ノートパソコンに対して、企業ネットワークで把握し管理する「BYOD(Bring Your Own Device)」が定着しつつあります。一方で近年、電子書籍リーダやゲーム機、スマートウォッチ等のウェアラブルデバイス、さらには小型のIoT家電など、個人のIoTデバイスが職場に持ち込まれるケースが増えています。

企業や組織においては、新しいBYODの方針および手順を確立し、こうしたIoTデバイスにおいても、脆弱性を利用する脅威、ハッキング、標的型攻撃、情報漏えいといったセキュリティリスクに対処する必要があります。トレンドマイクロでは、それぞれの脅威について、以下のようなベストプラクティスを推奨しています。

【脆弱性を利用する脅威】
・従業員個人のデバイスをITチームおよびセキュリティチームが登録できるように、従業員に対して企業ネットワークへのデバイスの接続を許可する前に、従業員のための研修を実施すること
・登録する際、関連するすべてのデバイスおよびシステム情報を記録すること
・デバイスに適切なセキュリティ設定を構成すること
・正規のベンダや開発者からの修正プログラムや更新プログラムをそれぞれのデバイスに定期的にインストールするよう従業員に促すために、継続的な意識を向上させるプログラムを実施すること

【ハッキング】
・従業員は、自分のIoTデバイスの特定機能、特に隠れている可能性のある機能やコンポーネントについて、よく理解すること
・従業員の個人用デバイスを正しく登録するように従業員に義務付けること
・実際の仕事で使用するネットワークとは別に、企業は従業員の個人用デバイスを接続するためのネットワークを設定すること
・不正な活動やネットワークからエンドポイントへの攻撃を検出してブロックする多層的なセキュリティソリューションを採用すること

【標的型攻撃】
・ネットワークにおいてインターネットに露出したデバイス、オープンポート、その他の攻撃経路をスキャンするツールとして、企業はShodanやWhatsMyIPなどのWebサイトやサービスの利用を検討すること
・ネットワークのスキャンによってセキュリティ上の欠陥が発見された場合、必要な対応をすること
・デバイスの露出に対する予防策を含め、従業員の間でセキュリティを優先する考え方を促進するための啓発プログラムや学習コースを企業側が実施すること

【情報漏えい】ITチームとセキュリティチーム
・デバイスのセキュリティ設定を有効にして、定期的にネットワークアクセスとストレージ設定を確認すること

【情報漏えい】従業員
・職場に持ち込むデバイスについてITチームとセキュリティチームに報告し、自分のデバイスで利用可能な多要素認証とデータ暗号化機能を使用すること
・デバイスが紛失または盗難にあった際には、ITチームとセキュリティチームに知らせること

IoTの継続的な普及に合わせ、各企業や組織においてもBYODに必要なセキュリティを構想し、具体的な方針と手順に落とし込むことを検討しましょう。



BYOD環境におけるリスクと脅威のイメージ図

BYOD環境におけるリスクと脅威のイメージ図