スマートデバイスを取り巻く脅威と管理術

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

スマートデバイスを取り巻く脅威と管理術

2013/03/19


 昨年の移動電話国内出荷台数2797万台のうちスマートフォンは1575万台、その比率は56.3%にのぼる(JEITA・3月公表資料)。昨年後半はさらにスマートフォン比率が高まっており、スマートフォンユーザがどんどん増えている状況だ。個人利用目的での購入が多いのはもちろんだが、業務利用率も増えている。BYOD(Bring Your Own Device)のキーワードとともに企業で個人所有端末の業務利用を許可するケースが見られ、成功や失敗の噂を聞くことも多くなった。このトレンドに乗り、スマートデバイスを業務効率化に使いたいと思う企業は多いようだがセキュリティの大きな壁がある。モバイルPCの場合のようなセキュリティポリシーが踏襲できないことが大きな問題だ。しかし何か道具を使えばこの壁は乗り越えられるのではないかと考える方に向け、今回は、スマートデバイスの業務利用に関してセキュリティ面での課題と解決策を考えていく。

スマートデバイス

BYODの仕組みはできたのにセキュリティポリシーの問題で白紙に!
…難しいスマートデバイス利用

 スマートフォンの企業利用率が4割を超えているとの調査が報道されているなか、BYODを実施したものの「社内ポリシーが遵守しきれない」との理由でとり止めた企業もある。企業でのスマートデバイスの普及は山あり谷ありだが徐々に広がりを見せているのは確かだ。
 しかしその広がりに対して不安を表明する人も多い。会社が「個人端末の業務利用を許可した」といっても、すべての会社がリスク対策を済ませたわけではなく、会社がリスクを容認せざるを得ないほど利用者の希望が強かった、あるいは業務効率アップのメリットよりもリスクが小さいと評価したというケースもあることだろう。今まで黙認していた管理されていないIT利用を公認しただけであれば、個人端末の業務利用者がさらに増えリスクが大きくなるかもしれない。

■スマートデバイスへのウイルス感染リスク
 そのリスクの1つは「ウイルス感染」だ。ウイルスの多くはスマートデバイスのOSに内在する脆弱性を利用して情報窃取を行うものだ。例えば2011年半ばに発見された「ドロイドドリーム」は、Android OSの脆弱性を悪用して通常の操作ではできないはずのファイルの読み書きができる能力を持っていた。「ドロイドドリーム」は動画アプリを装って端末へのインストールを誘って感染し、電話番号、端末識別番号、SIM情報、アドレス帳の内容などを読み取ることができた(図1)。またネットワーク通信の権限も奪取し、インターネット上の外部サーバに情報を送信することを可能にしていた。アプリを起動すると、まずは端末内の情報を収集し、それを外部サーバ(攻撃者のサーバ)に送信してから動画再生を行うという動きをするものもあった。

図1 ドロイドドリームに感染したAndroid端末の動作イメージ
図1 ドロイドドリームに感染したAndroid端末の動作イメージ
資料提供:CA Technologies

 また別のボット型ウイルスでは外部から操作指令を受け付けてアドレス帳データやSMSの送信、地図やWebページの表示を行うものがあり、さらに海外では電話発信を行う事例も報告されている。

■スマートデバイスの不正な利用
 もう1つのリスクは「利用権限のない人による不正利用」だ。これは端末の所有者や正当な利用者以外の人が拾得した端末や盗み出した端末を使ってさまざまな操作を行うことだ。端末内部に記憶された個人データやメールアドレスその他の情報を窃取するばかりでなく、社内システムに接続してアクセスできる限りのデータを取り出される可能性がある。
 特に社内システムへの接続にVPNを利用していて、認証にID/パスワードだけを使用している場合、会社側では不正な通信とは認識できない。通信経路はVPNなので安心だが、端末上からID/パスワードにより自動接続できるのではかえってリスクが高くなる可能性がある。
 
■既存のセキュリティポリシーとの乖離
 こうしたリスクはモバイルPCでも同様にあるのだが、PCの場合は普及率が高くセキュリティ対策が何段階もとられているため、それを前提としたセキュリティポリシーが存在している。しかし「小さなPC」であるスマートデバイスの場合は従来からの携帯電話の延長上の端末と見なされ、セキュリティ対策が徹底されてはおらず、セキュリティポリシーもスマートデバイスを前提に策定されていないという事情がある。したがって「PCでは利便性を犠牲にしても安全に利用できる対策をとった上で社内システムが利用できるのに、スマートデバイスは対策に不備があっても社内システムを利用できるのでは会社としてセキュリティポリシーが徹底されていないことになる」という議論は当然のことと言えるだろう。この議論の結果、スマートフォンの業務利用を取りやめた企業もある。


1

スマートデバイスのリスク対策

 スマートデバイスのリスクには、セキュリティツールの導入により解決可能なものもあれば、ユーザ個人のレベルでリテラシを高めて対策をすべきものもある。次にまとめてみよう。

1-1

ユーザ個人のリテラシ向上を図る対策

 標的型攻撃がさかんに行われている今、まず必要なのはウイルス感染についての知識をユーザ個人にもってもらい、不正なアプリを導入させようとするメールやSNSからの「誘い」にのらず、怪しいアプリは最初から導入しない、導入した場合でも正しい対処ができるように意識と知識を高めること。
 個人で注意すべきポイントについて、IPAが挙げている「スマートフォンを安全に使うための6箇条」の項目をベースに次に紹介する。

■「スマートフォンを安全に使うための6箇条」(IPA)
(1)スマートフォンをアップデートする

 スマートフォンに新しいアップデートがあれば早急にアップデートを実行する。OSに脆弱性が発見されるとベンダは修正プログラムを公開する。それを適用するための自動更新機能を利用するとよい。

(2)スマートフォンにおける改造行為を行わない

 iOSでは「脱獄」、Androidでは「ルート化」と呼ばれている改造を行うと脆弱性を作り出すことになる。正規のアプリマーケット以外にアプリの流通経路がいろいろある。海賊版アプリなどを利用したい場合に改造を行う人がいるが、それはウイルスを呼び込む窓口になる。改造した端末だけに感染するウイルスもある。改造は絶対にしないルールを徹底すべきだ。

(3)信頼できる場所からアプリケーション(アプリ)をインストールする

 上記と関連するが、アプリは正規のマーケット経由で導入すべきだ。iOS端末ならAppleの「App Store」、Android端末ならGoogleの「Google Play」などのアプリ審査や不正アプリ排除を行っているマーケットから入手する。かつては正規ルートでもウイルス配布を本当の目的にしたアプリが提供されたこともあったので万全とは言えないが、不正規ルートから入手するよりリスクは大きく低減できる。
 なおAndroid端末の設定画面で「提供元不明のアプリ」項目のチェックを外しておくとアプリはGoogle Play経由だけに制限できるのでこれを標準設定にしておくとよい。安全の確認がとれた提供元からのアプリの場合は一時的にこのチェックを外して、導入後に元に戻すようにする。

(4)Android端末では、アプリをインストールする前に、アクセス許可を確認する

 ウイルスが仕込まれたアプリの特徴として、アプリにふさわしくないアクセス許可をユーザに求める場合がある。例えば動画再生アプリが電話発信の権限を求めるとしたらいかにも不自然だ。しかし一見関連がわからなくても実際には正規な機能が必要としている権限である場合もある。レビュー記事やアプリ開発者の他のアプリの評判を参照したり、開発者やアプリ名をWebで検索するなどして評判を確認したりすると判断材料になる。

(5)セキュリティソフトを導入する

 アンチウイルスソフトに関してはユーザはPCで慣れていると考えてよい。スマートデバイスにもアンチウイルスソフトがあり、導入して適正に利用しなければ危険だと認識できるように教育することが大事だ。

(6)スマートフォンを小さなパソコンと考え、パソコンと同様に管理する

 これに関しては次項で詳しく述べる。

セキュリティ情報局にご登録頂いた方限定で「スマートデバイスを取り巻く脅威と管理術 」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


スマートデバイス/スマートデバイスを取り巻く脅威と管理術 」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「スマートデバイス」関連情報をランダムに表示しています。

スマートデバイス」関連の製品

ネットワークが切れる、遅い――モバイルワーカーのストレスをMPMで解決 【NetMotion Software】 モバイルPC 盗難・紛失対策サービス 【日立ソリューションズ】 エンドポイントセキュリティ管理ソリューション ISM CloudOne 【クオリティソフト】
ネットワーク管理 MDM IT資産管理
ネットワークが切れる、遅い――モバイルワーカーのストレスをMPMで解決 モバイルPCに対してリモートロックやリモートワイプ等によるセキュリティ対策を提供。盗難にあったPCの回収支援も行う。 自動で管理端末の脆弱性を検知し、マルチデバイスのセキュリティを一元管理するクラウドサービス。

スマートデバイス」関連の特集


実はROIが高く業務活用に適しているデスクトップ仮想化。業務にあった“方式”を選択できればコスト高に…



つるつるのディスプレイにボタンの存在を感じさせる…そんな触覚フィードバックの技術「ハプティクス」がV…



国内スマートフォンの出荷台数は685万台。従来型携帯電話のシェアはどんどん減少している。


スマートデバイス」関連のセミナー

ITで実現する働き方改革&セキュリティ対策セミナー 【主催:日本電通/シネックスインフォテック/共催:NDIソリューションズ】  

開催日 11月8日(水)   開催地 大阪府   参加費 無料

働き方改革に興味・関心をお持ちの企業様/テレワーク(在宅勤務、モバイルワーク)導入ご検討の企業様/テレワーク導入に際しセキュリティ対策に不安がある企業様、向けに…

飲食店・観光施設向け:外国人客おもてなしセミナー 【主催:ヤマダ電機/共催:日本ユニシス/ワイヤ・アンド・ワイヤレス/スマートボックス/Project White/シャニム】 締切間近 

開催日 10月26日(木)   開催地 東京都   参加費 無料

訪日外国人数は年間2000万人を超え、街中や観光地でも外国人の姿を見かける機会がぐっと増えてきました。その多くの訪日外国人が楽しみにしているのが『食事』或いは『…

生産性を上げるテレワーク環境をスムーズに導入するポイントとは 【オーシャンブリッジ】 締切間近 

開催日 10月27日(金)   開催地 東京都   参加費 無料

現在、政府が推進している働き方改革を受け、テレワークやモバイルワークの導入を検討されている企業様は多いのではないでしょうか。いつでも、どこでも働ける環境を整備す…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005299


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ