前回、モバイルセキュリティポリシーの重要性を記載しましたが、今回は、そのモバイルセキュリティポリシーについて記載すべき重用な項目について記載します。
外せない要素
モバイルセキュリティポリシーには、以下の項目を記載すべきだとされています。なお、これらは各企業の戦略などにより異なりますが、一般的な要素となります。
- 簡単な説明
- 許容するデバイスの使用方法
- セキュリティ要件
- 利用できるデバイスの種類等
- 免責事項、従業員の責任
- 企業所有デバイス使用時の注意点
簡単な説明
これは、どのような規定にも重要なものです。ポリシーの目的や要件を満たさなかった場合の対処を記載します。
当社は、従業員に私有端末を業務で使用する機会を認める。但し、従業員が利用の手順やポリシーに違反した場合、私有端末をしようする権利を取り消す権利を有する。
許容するデバイスの使用方法
従業員が業務用の出っとワークや企業所有のデータにアクセスするときに執るべき行動について説明します。ここには次のような内容が含まれます。
- 従業員は、アプリケーションを最新の状態に保つ必要性がある。
- 画面ロックやデータの暗号化等セキュリティ機能を使用する。
- 違法となるサイトやコンテンツに当該端末からアクセスしてはならない。
- 従業員は、運転中はもちろんのこと、機械の操作中など危険な操作を行う際に当該端末を使用してはならない。
セキュリティ要件
企業が、アプリケーションやデータなどを保護できるように端末の管理するツールに関する要件を記載します。端末を業務上に使用したりデータをやり取りする際に、IT管理部が必要とするセキュリティ攻勢についても説明します。主な内容としては、次のようなものがあります。
- IT管理部門は、業務上使用する端末のファームウェア及びOSを常に最新の状態に保ち、端末に対しマルウェア対策等が実施されていることを確認する。
- IT管理部門は、強力なパスワードを使用するように働きかける。
- IT管理部門は、業務上使用する端末に海賊版やライセンス違反等違法なソフトウェアをインストールすることを禁止する。
利用できるデバイスの種類等
IT管理部門は安全であるとみなされるデバイスのみを従業員に利用することを許可します。そのためには、利用を許可する端末の種類やOSのリストを記載する必要があります。
免責事項、従業員の責任
私有端末を業務上使用する時に遭遇する可能性があるリスクなどについて説明します。また、セキュリティポリシー等に違反した場合に、企業が懲戒解雇を含む処分を行う可能性があることを強調し、違反させないようにします。
企業所有デバイス使用時の注意点
私有端末ではない、企業所有の端末については、私有端末以上に厳格な規則を適用します。これには、企業が管理や制御を行うほかに、アプリケーションやコンテンツ等のアクセス制限などを含まれます。また、故意に端末を損傷させた場合は、従業員に費用負担が生じる恐れがあること等を記載する必要があります。
まとめ
モバイルセキュリティポリシーの策定は、企業が生産性を高めて、コストを削減することに有用です。一般的には、企業への入社時に教育をします。しかしながら、IT管理部門は、端末の使用状態を確認し、必要に応じこれらのポリシーを更新する必要があります。また、定期的にこれらの教育を行うことも非常に重要です。