Keenadu バックドア事案で明らかになったのは、中堅企業の調達現場では 情シスの目が届かないところで安価な中華 OEM Android 端末が次々と購入されている という現実である。営業部門が展示会用に買った受付タブレット、店舗が POS 用に買い増した端末、総務がデジタルサイネージ用に買った Android TV box など、調達ルートは多岐にわたる。
本記事では、中堅企業が社内規程として「中国製タブレットの購入禁止ポリシー」を導入する際のテンプレートを提示する。情報セキュリティ規程の改訂例、稟議承認フロー、調達基準ひな形を、そのまま社内文書として転用できる形で公開する。
なぜ「禁止ポリシー」が必要か
技術的な検知(MDM のコンプライアンスポリシー)だけでは、調達段階で問題のある端末が社内に持ち込まれることを防げない。調達されてから情シスが検知して隔離する というリアクティブな運用には以下の弱点がある。
- 隔離するまでの数日から数週間、社内ネットワークに感染端末が接続される
- 業務データが既に端末に保存されている可能性
- 該当部門との交渉、代替機調達、廃棄処理などの後処理コスト
- 社内の責任所在が曖昧(情シスが悪いのか、調達した部門が悪いのか)
これらを解決するには、調達段階で禁止する プロアクティブなガバナンスが必要となる。情報セキュリティ規程に明文化することで、調達部門・購買部門・各事業部門の責任範囲を明確化し、稟議プロセスでチェックポイントを設けることができる。
情報セキュリティ規程 改訂条文テンプレート
以下は中堅企業で利用可能な規程改訂のテンプレート例である。自社の現行規程に合わせて文言を調整して利用されたい。
第 X 条(モバイル端末の調達)
このテンプレートのポイントは以下の三つである。
- 包括的な定義: スマートフォンだけでなくタブレット、ハンディ、Android TV box まで対象に含めることで「サイネージは規程外でしょう」という抜け穴を塞ぐ
- ホワイトリスト方式: 認定デバイスのみ許可する形にすることで、新興 OEM への対応コストを下げる
- 承認プロセス: 情シス事前承認制を明文化し、調達ルートを一本化
稟議承認フローの設計
規程を作っただけでは現場で守られない。稟議システム(Workflow、ServiceNow、Senses、X-point など)に組み込むことで、技術的に強制する仕組みが必要となる。
稟議書テンプレート項目
モバイル端末調達の稟議書に以下の項目を必須化する。
| 項目 | 入力例 | チェックポイント |
|---|---|---|
| 調達目的 | 営業部門の外勤用、店舗 POS、受付端末等 | 業務上の妥当性 |
| 調達数量 | 50 台 | 数量の妥当性 |
| 機種候補 | メーカー名、型番、OS バージョン | 認定デバイスか |
| 調達単価・総額 | 単価 5 万円 × 50 台 = 250 万円 | 予算枠 |
| 業務利用範囲 | 社内システムアクセスの有無、保存データの種別 | リスク評価 |
| 認定証明 | Android Enterprise Recommended の URL | エビデンス確認 |
| 廃棄計画 | 利用期間、廃棄方法、データ消去手順 | ライフサイクル管理 |
承認ルートの設計
調達金額や業務リスクに応じて承認者を変える。中堅企業の典型的な設計例は以下の通り。
| 金額帯 | 承認者 |
|---|---|
| 10 万円未満 | 部門長 + 情シス担当 |
| 10 万円から 100 万円 | 部門長 + 情シス課長 + 経理課長 |
| 100 万円から 500 万円 | 役員 + 情シス部長 + 経理部長 |
| 500 万円以上 | 取締役会または経営会議 |
調達基準ひな形(ダウンロード用)
調達担当者が現場で参照できる「OK / NG 基準シート」のひな形を以下に示す。社内ポータルに掲載する形で運用する。
モバイル端末調達 OK / NG 基準
OK(調達可能)
- iPhone(Apple 正規流通)
- iPad(Apple 正規流通)
- Samsung Galaxy(Knox 認証取得モデル、Enterprise Edition 含む)
- Google Pixel(公式販売チャネル)
- Sony Xperia(Android Enterprise Recommended 認定モデル)
- SHARP AQUOS(Android Enterprise Recommended 認定モデル)
- Lenovo ThinkPad / ThinkPlus / ThinkSmart(B 法人モデル、認定取得済み)
- 国内通信キャリア(NTT ドコモ、au、ソフトバンク、楽天モバイル)が法人向けに販売する Android 端末
NG(調達禁止)
- ノーブランド・無名 OEM の Android タブレット
- Amazon、AliExpress、楽天市場等の個人輸入サイト経由で販売される中華系タブレット
- Google Play Protect 認定取得実績のないメーカー
- メーカー公式サイトに法人向けセキュリティパッチ提供ロードマップが明記されていない機種
- IPA、JPCERT/CC が注意喚起を発している機種・メーカー
事前協議(情シス相談必須)
- 上記いずれにも該当しない機種
- 過去に社内で利用実績があるが、最新世代でない機種
- 海外拠点で現地調達するケース
ガバナンス上の留意点
留意点 1: 既存端末への遡及適用
新規購入を禁止しただけでは、既存の社内端末は残ったままとなる。規程に 「既存の非適合端末は X 年以内にリプレース」 という移行条項を含めることで、計画的な置き換えを担保する。中堅企業の現実的な移行期間は 12 ヶ月から 24 ヶ月程度。
留意点 2: 海外拠点の取り扱い
中堅企業でも海外拠点を持つ企業は少なくない。海外拠点では現地調達が前提となるが、本社規程と同等のホワイトリストを適用することを明記する。特に中国国内拠点で iPhone / Pixel が入手困難な場合は、代替として Samsung Galaxy(Knox 認証)を指定するなど、地域別の代替案を準備する。
留意点 3: 監査ログの保管
稟議システム上で承認された案件、却下された案件、例外承認された案件のログは、5 年以上の保管 を規程に明記する。Pマーク、ISMS、SOC2 などの認証取得・更新時に証跡として求められる。
留意点 4: 経営層への報告ルート
重大なサプライチェーンリスクが発覚した場合(例: 調達済みの全社共通端末から Keenadu のようなバックドアが検出された場合)の経営層への報告ルートを規程に組み込む。CSIRT / CISO への即時報告、取締役会への次回開催時報告、外部開示の必要性判断などのフローを明記する。
規程運用開始後の効果測定
ポリシー導入後は、以下の指標で効果を測定する。
| 指標 | 測定方法 | 目標 |
|---|---|---|
| 規程適合率 | 過去 3 ヶ月の調達稟議のうち適合機種の割合 | 95% 以上 |
| 例外承認件数 | 情シスが特例承認した件数 | 月 5 件以下 |
| 既存非適合端末リプレース進捗 | リプレース完了端末数 / 対象端末数 | 月次で公開 |
| インシデント件数 | 中華 OEM 起因のセキュリティインシデント件数 | ゼロ |
関連記事
- Keenadu バックドアの確認方法と対策(pillar 記事)
- Keenadu 企業一括チェック手順|情シス向け実務ガイド
- MDM で中国 OEM 製 Android タブレットを検知する
- サプライチェーン攻撃検知ツール比較
参考資料・出典
- 独立行政法人情報処理推進機構(IPA)「情報セキュリティ管理基準」
- JPCERT コーディネーションセンター「サプライチェーンリスク対策ガイドライン」
- 経済産業省「サイバーセキュリティ経営ガイドライン」
- 個人情報保護委員会「個人情報の保護に関するガイドライン」
- Google「Android Enterprise Recommended」プログラム
- 各国内通信キャリア法人向けカタログ
サプライチェーン攻撃対策のご相談
社内規程の改訂は、規程文言の作成だけでなく、稟議システムへの組み込み、調達部門・各事業部門との合意形成、既存端末の移行計画策定まで含めた一連の作業が必要です。GXO 株式会社では、中堅企業向けに、規程改訂テンプレート提供、稟議フロー設計支援、ガバナンス可視化ダッシュボード設計、サプライチェーン攻撃対策の包括ヒアリングを無料でご提供しています。社内規程の整備にお悩みの場合は、お気軽にご相談ください。