リスクアセスメントとセキュリティポリシー策定：Androidセキュリティの今、これから（最終回）（1/3 ページ）

爆発的な勢いで普及し始めたAndroid端末は、大きなポテンシャルを秘める一方で、セキュリティという課題にも直面しています。この連載では一般ユーザー、ビジネスユーザーと、あらゆるAndroidユーザーを対象に、Androidのセキュリティについて解説していきます。（編集部）

[Android セキュリティ部，＠IT] PC用表示関連情報

LINE

Hatena

大前提はリスク評価とセキュリティポリシー

　ビジネス用途でAndroid OS搭載端末（以下、Androidという）を活用するときの、あるいはすでに社員が使い始めてしまったときのセキュリティ対策について、第3回では脅威とその対策の概要を紹介し、第4回ではMDM（Mobile Device Management）の側面から対策を解説しました。

　最終回の今回は、Androidをビジネスで利用する際の大前提となる、リスクアセスメントとセキュリティポリシーの策定を中心に説明します。

　多くの企業ではすでに、モバイル利用シーンも想定した、何がしかのセキュリティポリシーを運用していることでしょう。もし、暗黙の了解という形で従業員がAndroidを利用している場合には、早急にセキュリティポリシーを作成することをお勧めします。特に、Androidは発展途上であるため、何らかの技術を導入するだけで、問題がすべて解決するわけではありません。

　この記事では、すでにセキュリティポリシーを策定し、PDCAサイクル（注1）の中で運用しているという前提に立ち、Androidの導入に当たって既存のセキュリティポリシーを見直すという想定で、どんな作業が必要になるかを記述していきます。初めての情報セキュリティ体制構築は目的としていませんので、ご注意ください。

　また以下は、主に、情報システム管理者がAndroidの選定や運用を行う場面にフォーカスして記述していきますが、Androidのアプリ開発やシステム開発に従事する方にも役立つものとなれば幸いです。

注1：セキュリティ対策と同時に重要な点は、P（策定）D（導入）C（評価）A（改善）サイクルを定期的に継続して行うことです。これは、新しい技術などの出現に応じて、セキュリティを維持していくために必要なプロセスです。

■記事の構成

　この記事では、リスクアセスメントを説明するに当たって、ある仮想の企業を想定し、リスクアセスメントの全体像を説明します。この仮想企業をモデルとして、リスクアセスメントで利用する評価値を定め、リスク対応を分類していきます。

　また、Androidをビジネス利用する際に検討する指針として、経済産業省が制定した「情報システム安全対策基準」（注2）に準じた安全対策基準サンプルを参考例として提示します。この安全対策基準サンプルはあくまでも参考例であり、このまま適用できる企業は少ないと思いますが、情報システム管理者の一助となれば幸いです。

注2：経済産業省の情報システム安全対策基準（PDF）を利用しています。

最初のステップ、リスクアセスメント

　リスクアセスメントとは「組織状況の確定、リスクを特定、解析、評価、対応を決定するプロセス全体」を指し、セキュリティリスクを評価することです。

　情報システム管理者の中には、「Androidは新しい技術であるため、正しくリスクアセスメントを行うのは困難である」と考える方もいることでしょう。しかし、Androidだからといって、特別な考えやアプローチは不要です。最も重要なことは、各企業におけるAndroid導入リスクを特定し、正確に解析、評価を行うことです。

　情報システム管理者がリスクアセスメントを正確に実施すれば、「どのような技術的・物的・人的な対応を行うことで、どのぐらいの費用対効果が得られるか」が理解できることでしょう。

　ISO31000のリスクマネジメントの全体フローは図1（注3）の通りです。詳細は、ISO31000の情報セキュリティガバナンス導入ガイダンスなどを参照してください。

図1　リスクマネジメントの全体フロー

　ISO31000はリスクマネジメントの標準化として制定されています。ここでは、リスクアセスメント部分のみ焦点を当て概略を記載します。

注3：経済産業省「情報セキュリティガバナンス導入ガイダンス（PDF）」P.53参照。