19-2-16. 第16章. 物理的管理策

• 16-1. 物理的管理策を参考とした対策基準・実施手順の策定
• 16-2. 各種テーマごとの対策

主なキーワード

物理的管理策、BYOD、MDM

要旨

16-1. 物理的管理策を参考とした対策基準・実施手順の策定

• 対策基準の策定
  ISO/IEC 27001:2022附属書Aの物理的管理策（14項目）を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
  対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。
• 実施手順の策定
  管理策（対策基準）をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介しています。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引きの内容を参考に、自社に適した実施手順を策定しましょう。

16-2. 各種テーマごとの対策

テーマごとに、概要や関連する管理策、運用手順などについて説明しています。

BYOD（Bring Your Own Device）
BYODとは、個人が私物として所有している端末（PCやスマートフォンなど）を業務に使う利用形態のことです。BYOD導入に向けたポイント、運用手順を説明しています。

メリット

• コスト削減
  企業は、端末の調達や管理にコストがかかりません。故障した際の修理費用や老朽化した端末の入れ替えも基本的には個人負担となります。
• 使い慣れた端末の業務利用
  従業員は、自分の使い慣れた端末を使用でき、操作方法や設定などを新たに覚える必要がないため作業効率があがります。また、仕事用とプライベート用に分けて端末を複数台持つ必要がなくなります。

デメリット

• シャドーIT
  ルールの整備や技術的な対策を講じないと、シャドーITが増加してしまう恐れがあります。
• セキュリティリスク
  個人の端末では、業務に関係ないWebサイトやアプリケーションを利用されるため、ウイルス感染や不正アクセスといった被害にあう可能性が高くなります。

MDM（Mobile Device Management）
MDMとは、企業で保有しているモバイル端末 (スマート フォンやタブレットなど) を一元管理できるシステムのことです。MDMの導入に向けたポイント、運用手順を説明しています。

MDMを導入する際のポイント

利用者の意見を反映した社内ルールの策定、およびMDMの選定
MDMは情報セキュリティの向上や業務効率化に役立ちますが、いくつか注意点があります。たとえば、紛失・盗難されたデバイスがネットワークに接続されていない場合には、初期化などのリモート制御ができません。また、MDMによる制限が厳しくなりすぎると、使い勝手が悪くなり利用者から不満がでる可能性があります。利用者の意見を聞きながら、社内ルールの策定やMDMの選定を進めることが重要です。

訴求ポイント

認識していただきたい実施概要

• リスクアセスメントの結果をもとに必要な物理的管理策を選択し、対策基準を策定すること。
• 対策基準は、基本方針とともに公開可能なものとして策定すること。
• 決定した対策基準をもとに、具体的に実践するための実施手順を策定すること。
• 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。
• BYOD、MDMの概要および運用手順を理解すること。