はじめに

日常業務や私生活においてモバイル端末を使用する機会は多いと思いますが、そんなモバイル端末を紛失した経験はありますでしょうか。2014年の米Lookoutの調査では、4人に1人の日本人がモバイル端末を紛失したことがあるという調査結果が出ています。
毎日持ち歩くものだからこそ、紛失してしまうリスクはつきものです。今回は、アメリカのソフトウエア会社であるシマンテック(現在はノートンライフロック)が実施した「意図的にモバイル端末を紛失させたら、その後どうなったのか」という実験の例を見ていきながら、モバイル端末にどういう対策を講じるべきかということを考えていきたいと思います。

2012年に行われたシマンテックの実験

シマンテックはスマートフォン50台を意図的に紛失させ、発見者がそのスマートフォンをどのように扱うかということを調査する実験「ハニースティックプロジェクト」を実施しました。実験の詳細は下記の通りです。
50台のスマートフォンを主要な5都市に故意的に落とします。都市はニューヨーク・ワシントン・ロサンゼルス・サンフランシスコ・カナダの5都市で実施しました。場所はエレベーターやショッピングセンター・フードコートなど人通りの多い公共の場所です。それぞれのスマートフォンには、データに対して行われた操作がリモートで監視できる機能を追加した上で、紛失させました。

結果としてスマートフォンを見つけた人のうち、持ち主に返そうとした人は半数という結果でした。具体的に発見者がどのような行動をしたかというと下記の通りです。

  • 発見者の5割がリモートで監視している機能のソフト(リモート管理アプリ)を実行しようとした。
  • 発見者の6割が「保存したパスワード」というファイルにアクセスしようとした。
  • 発見者の6割がソーシャルメディアや電子メールを見ようとした。
  • 発見者の8割が企業情報といったものにアクセスしようとした。(給料情報や人事情報など明確な名前のついたファイルなどの情報)

この実験からわかるのは、発見者は持ち主を割り出そうとした可能性も十分ありますが、端末の発見者が持ち主の名前以外の情報に対して「好奇心」を持ったということです。そして半数以上の人がデータにアクセスしたということがわかります。2012年なので、少し昔のデータではありますが、紛失したスマートフォンからアクセスできるデータがどれだけ危機にさらされているのかがわかる結果となっています。

どういう対策を講じるべきか

紛失したスマートフォンのデータがどれだけアクセスされやすい状況にあるのかということが実験結果からわかりました。
では、紛失したスマートフォンからデータをアクセスされないようにするためにどのようにしたらいいでしょうか。2つの対策を見ていきましょう。

・リモートワイプ機能を有効にする

リモートワイプ機能とは、持ち運び端末に記録されているデータを通信回線を通じた遠隔地の指示により消去する機能のことです。最近では、端末管理サービス(MDM)が提供されるようになり、その中の機能の一部として導入されているケースが多くあります。
注意すべき点は、紛失した際はすばやく管理者の方に伝えるということです。MDMの場合は、リモートワイプの対策を導入したのに、端末の紛失をしてしまった従業員が長期間届け出を行わず、結果としてリモートワイプを長期間適用できなかったとなれば本末転倒です。MDMの場合に限らず、端末の紛失をした際には、速やかに届け出を行うことをルールにし、早い段階での報告を徹底するように周知しましょう。

・生体認証かパスワードをかける

こちらは普段から実践されている方も多いと思いますが、生体認証かパスワードをかけると言った対策が有効です。一般的にパスワードよりも生体認証のほうが安全性が高い認証方式であると言われております。パスワードに関する記事は、他のコンサルタントが書いているので、ぜひご覧になってください。
URL:https://www.lrm.jp/iso27001/blog/security/7206/

おわりに

身近なものだからこそ、紛失してしまうリスクはつきものです。普段持ち歩くものだからこそ、事前に対策をした上で使用することが大切です。

出典

Security Next『スマホ 約4人に1人が紛失を経験-89%が回収』
https://www.security-next.com/053760
Security Next『スマホを置き忘れたらどうなるのか-シマンテックが50台で実験』
https://www.security-next.com/28666

50台のモバイル端末を意図的に紛失したら、どうなるか?

カテゴリー: 情報セキュリティ

はじめに

日常業務や私生活においてモバイル端末を使用する機会は多いと思いますが、そんなモバイル端末を紛失した経験はありますでしょうか。2014年の米Lookoutの調査では、4人に1人の日本人がモバイル端末を紛失したことがあるという調査結果が出ています。
毎日持ち歩くものだからこそ、紛失してしまうリスクはつきものです。今回は、アメリカのソフトウエア会社であるシマンテック(現在はノートンライフロック)が実施した「意図的にモバイル端末を紛失させたら、その後どうなったのか」という実験の例を見ていきながら、モバイル端末にどういう対策を講じるべきかということを考えていきたいと思います。

2012年に行われたシマンテックの実験

シマンテックはスマートフォン50台を意図的に紛失させ、発見者がそのスマートフォンをどのように扱うかということを調査する実験「ハニースティックプロジェクト」を実施しました。実験の詳細は下記の通りです。
50台のスマートフォンを主要な5都市に故意的に落とします。都市はニューヨーク・ワシントン・ロサンゼルス・サンフランシスコ・カナダの5都市で実施しました。場所はエレベーターやショッピングセンター・フードコートなど人通りの多い公共の場所です。それぞれのスマートフォンには、データに対して行われた操作がリモートで監視できる機能を追加した上で、紛失させました。

結果としてスマートフォンを見つけた人のうち、持ち主に返そうとした人は半数という結果でした。具体的に発見者がどのような行動をしたかというと下記の通りです。

  • 発見者の5割がリモートで監視している機能のソフト(リモート管理アプリ)を実行しようとした。
  • 発見者の6割が「保存したパスワード」というファイルにアクセスしようとした。
  • 発見者の6割がソーシャルメディアや電子メールを見ようとした。
  • 発見者の8割が企業情報といったものにアクセスしようとした。(給料情報や人事情報など明確な名前のついたファイルなどの情報)

この実験からわかるのは、発見者は持ち主を割り出そうとした可能性も十分ありますが、端末の発見者が持ち主の名前以外の情報に対して「好奇心」を持ったということです。そして半数以上の人がデータにアクセスしたということがわかります。2012年なので、少し昔のデータではありますが、紛失したスマートフォンからアクセスできるデータがどれだけ危機にさらされているのかがわかる結果となっています。

どういう対策を講じるべきか

紛失したスマートフォンのデータがどれだけアクセスされやすい状況にあるのかということが実験結果からわかりました。
では、紛失したスマートフォンからデータをアクセスされないようにするためにどのようにしたらいいでしょうか。2つの対策を見ていきましょう。

・リモートワイプ機能を有効にする

リモートワイプ機能とは、持ち運び端末に記録されているデータを通信回線を通じた遠隔地の指示により消去する機能のことです。最近では、端末管理サービス(MDM)が提供されるようになり、その中の機能の一部として導入されているケースが多くあります。
注意すべき点は、紛失した際はすばやく管理者の方に伝えるということです。MDMの場合は、リモートワイプの対策を導入したのに、端末の紛失をしてしまった従業員が長期間届け出を行わず、結果としてリモートワイプを長期間適用できなかったとなれば本末転倒です。MDMの場合に限らず、端末の紛失をした際には、速やかに届け出を行うことをルールにし、早い段階での報告を徹底するように周知しましょう。

・生体認証かパスワードをかける

こちらは普段から実践されている方も多いと思いますが、生体認証かパスワードをかけると言った対策が有効です。一般的にパスワードよりも生体認証のほうが安全性が高い認証方式であると言われております。パスワードに関する記事は、他のコンサルタントが書いているので、ぜひご覧になってください。
URL:https://www.lrm.jp/iso27001/blog/security/7206/

おわりに

身近なものだからこそ、紛失してしまうリスクはつきものです。普段持ち歩くものだからこそ、事前に対策をした上で使用することが大切です。

出典

Security Next『スマホ 約4人に1人が紛失を経験-89%が回収』
https://www.security-next.com/053760
Security Next『スマホを置き忘れたらどうなるのか-シマンテックが50台で実験』
https://www.security-next.com/28666

Author: 山岸 七海
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする