スマートデバイスを取り巻く脅威と管理術

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

スマートデバイスを取り巻く脅威と管理術

2013/03/19


 昨年の移動電話国内出荷台数2797万台のうちスマートフォンは1575万台、その比率は56.3%にのぼる(JEITA・3月公表資料)。昨年後半はさらにスマートフォン比率が高まっており、スマートフォンユーザがどんどん増えている状況だ。個人利用目的での購入が多いのはもちろんだが、業務利用率も増えている。BYOD(Bring Your Own Device)のキーワードとともに企業で個人所有端末の業務利用を許可するケースが見られ、成功や失敗の噂を聞くことも多くなった。このトレンドに乗り、スマートデバイスを業務効率化に使いたいと思う企業は多いようだがセキュリティの大きな壁がある。モバイルPCの場合のようなセキュリティポリシーが踏襲できないことが大きな問題だ。しかし何か道具を使えばこの壁は乗り越えられるのではないかと考える方に向け、今回は、スマートデバイスの業務利用に関してセキュリティ面での課題と解決策を考えていく。

スマートデバイス

BYODの仕組みはできたのにセキュリティポリシーの問題で白紙に!
…難しいスマートデバイス利用

 スマートフォンの企業利用率が4割を超えているとの調査が報道されているなか、BYODを実施したものの「社内ポリシーが遵守しきれない」との理由でとり止めた企業もある。企業でのスマートデバイスの普及は山あり谷ありだが徐々に広がりを見せているのは確かだ。
 しかしその広がりに対して不安を表明する人も多い。会社が「個人端末の業務利用を許可した」といっても、すべての会社がリスク対策を済ませたわけではなく、会社がリスクを容認せざるを得ないほど利用者の希望が強かった、あるいは業務効率アップのメリットよりもリスクが小さいと評価したというケースもあることだろう。今まで黙認していた管理されていないIT利用を公認しただけであれば、個人端末の業務利用者がさらに増えリスクが大きくなるかもしれない。

■スマートデバイスへのウイルス感染リスク
 そのリスクの1つは「ウイルス感染」だ。ウイルスの多くはスマートデバイスのOSに内在する脆弱性を利用して情報窃取を行うものだ。例えば2011年半ばに発見された「ドロイドドリーム」は、Android OSの脆弱性を悪用して通常の操作ではできないはずのファイルの読み書きができる能力を持っていた。「ドロイドドリーム」は動画アプリを装って端末へのインストールを誘って感染し、電話番号、端末識別番号、SIM情報、アドレス帳の内容などを読み取ることができた(図1)。またネットワーク通信の権限も奪取し、インターネット上の外部サーバに情報を送信することを可能にしていた。アプリを起動すると、まずは端末内の情報を収集し、それを外部サーバ(攻撃者のサーバ)に送信してから動画再生を行うという動きをするものもあった。

図1 ドロイドドリームに感染したAndroid端末の動作イメージ
図1 ドロイドドリームに感染したAndroid端末の動作イメージ
資料提供:CA Technologies

 また別のボット型ウイルスでは外部から操作指令を受け付けてアドレス帳データやSMSの送信、地図やWebページの表示を行うものがあり、さらに海外では電話発信を行う事例も報告されている。

■スマートデバイスの不正な利用
 もう1つのリスクは「利用権限のない人による不正利用」だ。これは端末の所有者や正当な利用者以外の人が拾得した端末や盗み出した端末を使ってさまざまな操作を行うことだ。端末内部に記憶された個人データやメールアドレスその他の情報を窃取するばかりでなく、社内システムに接続してアクセスできる限りのデータを取り出される可能性がある。
 特に社内システムへの接続にVPNを利用していて、認証にID/パスワードだけを使用している場合、会社側では不正な通信とは認識できない。通信経路はVPNなので安心だが、端末上からID/パスワードにより自動接続できるのではかえってリスクが高くなる可能性がある。
 
■既存のセキュリティポリシーとの乖離
 こうしたリスクはモバイルPCでも同様にあるのだが、PCの場合は普及率が高くセキュリティ対策が何段階もとられているため、それを前提としたセキュリティポリシーが存在している。しかし「小さなPC」であるスマートデバイスの場合は従来からの携帯電話の延長上の端末と見なされ、セキュリティ対策が徹底されてはおらず、セキュリティポリシーもスマートデバイスを前提に策定されていないという事情がある。したがって「PCでは利便性を犠牲にしても安全に利用できる対策をとった上で社内システムが利用できるのに、スマートデバイスは対策に不備があっても社内システムを利用できるのでは会社としてセキュリティポリシーが徹底されていないことになる」という議論は当然のことと言えるだろう。この議論の結果、スマートフォンの業務利用を取りやめた企業もある。


1

スマートデバイスのリスク対策

 スマートデバイスのリスクには、セキュリティツールの導入により解決可能なものもあれば、ユーザ個人のレベルでリテラシを高めて対策をすべきものもある。次にまとめてみよう。

1-1

ユーザ個人のリテラシ向上を図る対策

 標的型攻撃がさかんに行われている今、まず必要なのはウイルス感染についての知識をユーザ個人にもってもらい、不正なアプリを導入させようとするメールやSNSからの「誘い」にのらず、怪しいアプリは最初から導入しない、導入した場合でも正しい対処ができるように意識と知識を高めること。
 個人で注意すべきポイントについて、IPAが挙げている「スマートフォンを安全に使うための6箇条」の項目をベースに次に紹介する。

■「スマートフォンを安全に使うための6箇条」(IPA)
(1)スマートフォンをアップデートする

 スマートフォンに新しいアップデートがあれば早急にアップデートを実行する。OSに脆弱性が発見されるとベンダは修正プログラムを公開する。それを適用するための自動更新機能を利用するとよい。

(2)スマートフォンにおける改造行為を行わない

 iOSでは「脱獄」、Androidでは「ルート化」と呼ばれている改造を行うと脆弱性を作り出すことになる。正規のアプリマーケット以外にアプリの流通経路がいろいろある。海賊版アプリなどを利用したい場合に改造を行う人がいるが、それはウイルスを呼び込む窓口になる。改造した端末だけに感染するウイルスもある。改造は絶対にしないルールを徹底すべきだ。

(3)信頼できる場所からアプリケーション(アプリ)をインストールする

 上記と関連するが、アプリは正規のマーケット経由で導入すべきだ。iOS端末ならAppleの「App Store」、Android端末ならGoogleの「Google Play」などのアプリ審査や不正アプリ排除を行っているマーケットから入手する。かつては正規ルートでもウイルス配布を本当の目的にしたアプリが提供されたこともあったので万全とは言えないが、不正規ルートから入手するよりリスクは大きく低減できる。
 なおAndroid端末の設定画面で「提供元不明のアプリ」項目のチェックを外しておくとアプリはGoogle Play経由だけに制限できるのでこれを標準設定にしておくとよい。安全の確認がとれた提供元からのアプリの場合は一時的にこのチェックを外して、導入後に元に戻すようにする。

(4)Android端末では、アプリをインストールする前に、アクセス許可を確認する

 ウイルスが仕込まれたアプリの特徴として、アプリにふさわしくないアクセス許可をユーザに求める場合がある。例えば動画再生アプリが電話発信の権限を求めるとしたらいかにも不自然だ。しかし一見関連がわからなくても実際には正規な機能が必要としている権限である場合もある。レビュー記事やアプリ開発者の他のアプリの評判を参照したり、開発者やアプリ名をWebで検索するなどして評判を確認したりすると判断材料になる。

(5)セキュリティソフトを導入する

 アンチウイルスソフトに関してはユーザはPCで慣れていると考えてよい。スマートデバイスにもアンチウイルスソフトがあり、導入して適正に利用しなければ危険だと認識できるように教育することが大事だ。

(6)スマートフォンを小さなパソコンと考え、パソコンと同様に管理する

 これに関しては次項で詳しく述べる。

セキュリティ情報局にご登録頂いた方限定で「スマートデバイスを取り巻く脅威と管理術 」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


スマートデバイス/スマートデバイスを取り巻く脅威と管理術 」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「スマートデバイス」関連情報をランダムに表示しています。

スマートデバイス」関連の製品

業務用アプリ開発 【フェンリル】 MDMからEMMへ、新たなスマートフォンの業務管理法 AirWatch 【ヴイエムウェア】 Magic xpi Integration Platform 【マジックソフトウェア・ジャパン】
その他スマートデバイス関連 MDM EAI
企画・UI設計・実装までワンストップで対応する業務用アプリ開発サービス。企画の前段階で必要なUXデザインやHTML5を使ったWeb、アプリ開発、サーバー連携まで対応。 スマートフォンやタブレットを活用する企業が増える中、その管理もより高度な内容が求められている。統合へ向かう管理ツールの未来とは? 企業が注目すべき潮流を探る。 ノンコーディングでシステム連携を実現する開発環境と実行プラットフォーム。66種/500機能もの多彩なアダプタを装備し、短期間かつ低コストでシステム連携を実現する。

スマートデバイス」関連の特集


今や重要なマーケティングツールとなっている企業Webサイト。モバイルからのアクセスが急増する中、ユー…



 2016年7月4日、華為技術日本株式会社(ファーウェイ・ジャパン)は新デバイス「HUAWEI Ma…



4G規格「LTE Advanced」の次に来る新規格「5G」の全容がいよいよ見えてきました。この5G…


スマートデバイス」関連のセミナー

クラウド&モバイル時代に向けたこれからのセキュリティ対策 【富士ソフト】  

開催日 12月9日(金),12月15日(木),12月22日(木),1月20日(金)   開催地 東京都   参加費 無料

昨今、クラウド技術の向上、さらにはスマートフォンやタブレットなどのモバイルデバイスの普及により、今や「いつでも」「どこでも」業務ができるようになってきております…

Apple Configurator 2の新機能&Mac個別設定支援ツールのご紹介 【三谷商事】  

開催日 12月14日(水)   開催地 オンラインセミナー   参加費 無料

2016年9月にバージョン2.3がリリースされるなど、様々な新機能が追加されたApple Configurator 2の有効活用法や、弊社が独自に開発したMac…

ブラック会議を退治せよ! 【内田洋行】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

「会議資料の準備に時間がかかる」「資料の印刷に膨大な費用がかかる」「とにかく長い!」など、新しいビジネスアイディアの創出や、戦略策定など、限られた時間で結論を出…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005299


IT・IT製品TOP > エンドポイントセキュリティ > 認証 > 認証のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ