IBM iのモバイル・イニシアチブにおけるスピード対ニーズ
コーポレート・コミュニケーションとデータに対するモバイルの利用がIBMミッドレンジの企業で広がっているので、この分野に新たに参入した企業は既存の参入者から非常に多くを学ぶことができます。我々は自分の誤りから学びますが、他人の誤りから学ぶときは痛みがはるかに少なくて済みます。
セキュリティーと社員教育は何かが起きるまで軽視あるいは無視される関心事です。もし一部の産業界で法規制の順守が無かったら、セキュリティーの軽視はもっと酷かったと思われます。IT部門は情報の信頼できるソースでなければなりません。IT部門の人間はあらゆることを考え、すべての不測の事態に対する予防措置を取るべき一人です。
IBMの資金提供によってPonemon Istituteが昨年行った調査結果が公開されました。それによれば、Fortune 500社を含む大企業の約40%が自社のモバイル・アプリケーションにセキュリティーを設定していません。製品の迅速な市場化とユーザー・エキスペリエンスは最優先事項です。モバイルには多くの戦略が有りますが、それらは深く考えられていません。BYOD(従業員が私物の機器を社内に持ち込む)の人気がネットワークとアプリケーションを安全対策の施されていない無防備な状態にしてしまい、企業がマルウエアに侵される危険性が高まっています。
同調査によれば、55%の組織が職場におけるモバイル・アプリケーションの使用容認を定めるポリシーを備えていません。そして、67%の企業が従業員に非検査のアプリケーションを自分たちの機器にダウンロードすることを許しています。但し、銀行のように厳しく管理されている環境ではこのようなことはありません。
ミッドウエスタン金融機構のIT 管理者Amy Hoerleは従業員のモバイル使用については厳重に監視されていると述べています。
Hoerleは「金融機関として、監査人及びモバイル機器を使う従業員に実施しているセキュリティー規則のチェックリストに対応しなければならない」と述べています。BYODは当然許されないことが判っています。モバイル使用の必要が有る従業員は社有の機器が貸与されています。「ユーザーは登録された後にメールが許され、個人の機器から企業メールやカレンダーを使用することはできない。監査人はこれが我々のポリシーであることを確認し、またこのポリシーが実行されていることを確認する。我々にはユーザーと我々の機器を監視することができている」と述べています。
セキュリティー・ポリシーはパスワードの規定にも及んでおり、パスワードは限られた日数ごとに変更しなければならず、パスワードは文字、数字、記号の組み合わせが義務付けらて、簡単に見破られることを防いでいます。またユーザーはDropboxなど、クラウドベースの共有ソフトをアップロードすることが禁じられています。 モバイル機器管理(MDM)ソフトウエアはセキュリティー違反を監視して、メールとカレンダーの使用を終了する前にトラブルが発生していることを警告します。
Hoerleは、一般的でない大規模のモバイル・イニシアチブに比べて、自分の職場環境で従業員がモバイル機器を使うことは極めて基本的なことと考えていますが、セキュリティーを優先させています。
従業員はIBM iのアプリケーションを使用しておらず、モバイル機器は社内ネットワークに接続していません。社内開発はありません。必要なアプリケーションはソフトウエア・パッケージで購入しています。
「我々はセキュリティー意識が極めて強い。複数のモバイル機器を導入しようとしている企業に向けた私のアドバイスは、モバイルの厳格な機器管理を実行すること」と述べています。
しかしながら、現実はいくらか異なっています。特に厳密に監査される業界以外の企業でいえることです。
Hoerleの見解によれば、BYODは、会社が義務付けた機器の使用よりも一般的になっており、モバイル・イニシアチブは多くの場合セキュリティーを優先するプランよりもスピードと利便性に重点が置いたプランになっています。
BYODのデプロイは避けなければならないということではありません。しかしながら、BYODを許可する前に留意しなければならない事項が有ります。
例えば、
- それは誰の電話か?
- もし電話が無くなった場合、誰のデータがその電話に保管されているのか?
- 電話が業務に使われて、もし企業規定に違反している場合、会社はその電話を取り上げる正当な権限を有しているか?
- その電話には個人の情報と企業の情報を保管することになるのか?
- もし企業の電話であれば、その会社はその電話に存在する全てに会社の所有権を主張でき、もし問題が発生すればその電話を取り上げることができる。ユーザーはこれらの規則に従わなければならない。
これらの留意事項を論議することによって優先事項とリスクを考慮した答えが導き出されます。それはこのモバイル・イニシアチブをいかに早く完成させるか、とは異なる論議ではないでしょうか?
Hoerleは「モバイルに関しては違った観点から考える必要がある。個人対企業の論議は脇に置いてよい。その理由は、ユーザーのポケットや財布に滑り込み、個人的作業及び専門的作業の双方にいとも容易に移行しているのがまさにこの小さな機器だから」と述べています。
立案の段階では、どれくらいの管理を求めるか、どれくらいのデータが使用できるか、そしてどれくらいのアクセスが提供されるかを決めてください。もしネットワークへのアクセスが要求されれば、それはどのように監視されるのか、そしてメールの監視が要求されるか否かを説明してください。
機器の標準化が、AppleやAndroidのユーザーが自分たちの選択した機器ではない機器の導入に脅かされて一歩も譲らない主張を展開し、論議と評価は特定の機器に対する強い偏見で彩られることを予想してください。
Hoerleは「目標を定めてください。モバイルは素晴らしい。モバイルはいまやIT分野の流行語です。しかしながら、なぜそれを行おうとしているのか、何を得なければならないのかを知らなければ窮することになるでしょう」と忠告しています。