前回の<脅威編>では、スマートフォンの脅威傾向と発生メカニズム、そしてスマートフォンのセキュリティ特性を明確にし、現在主流の端末であるiPhoneとAndroidを中心に具体的なセキュリティ脅威について言及した。今回の<対策編>では、スマートフォンの脅威に対して、企業はどのような考え方のもとに具体的なセキュリティ対策を講じるべきか論じてみたい。
まず<脅威編>で述べたスマートフォンのセキュリティ脅威への対策について言及する。次に企業情報システムにおけるスマートフォンセキュリティ対策の全体像を提示し、企業特有のセキュリティ要件を明確にする。そして最後に企業のスマートフォン導入/運用に向けたセキュリティ提言を述べてみたい。
1.スマートフォンにおけるセキュリティ脅威への対策
スマートフォンでは、<脅威編>で述べたように大きく5つの脅威が想定される。それは、1)不正プログラム、2)盗難/紛失による情報漏えい、3)不正Webサイト、4)不正侵入、5)スパムメールである。端末単体における対策のポイントは、これらの脅威が等しく全ての端末に影響するわけではなく、iPhoneやAndroidのように端末の種類および特性によって脅威傾向が違うため、実施すべき対策も異なるという点である。それではiPhoneとAndroidの相違を中心に具体的な対策について検討してみよう(図表1参照)。
| 図表1 スマートフォン端末のセキュリティ対策 |
 |
iPhoneとAndroidで違う不正プログラム対策
まず、不正プログラムに関しては、前回言及したようにiPhoneとAndroidではその脅威傾向が大きく異なる。iPhoneでは単一のマーケットから審査済みのコンテンツが配布され、さらにJailbreak(脱獄)といわれる導入制限を解除するプロセスを踏まないかぎり、任意(非正規)のアプリケーションはインストールできない。しかし、Jalibreakによる制限解除と権限昇格をアクセスするだけで実現するような不正なWebサイトJailbreakMeのようなものが存在し、そこから不正プログラムがインストールされる可能性を指摘した。つまり、iPhoneにおいては、「Jailbreakさせないこと」が重要となる。
Jailbreakさせないための対策としては、セキュリティベンダから提供されているWebレピュテーションのサービス(技術)が有効である。Webレピュテーションとは、Webサイトにアクセスする前に、セキュリティベンダのレーティングサーバのデータベースにレピュテーション(評判、評価)を問い合わせることで、危険なWebページへのアクセス、接続を未然に防ぐ技術である。iPhoneのようにWebサイトへの接続そのものの脅威が大きい場合は、非常に有効な対策だといえよう。
一方、Android端末における対策はどうであろうか。AndroidではAndroid Marketやキャリアが提供するマーケット以外にも複数のマーケットが存在し、中には審査無しでコンテンツが配布されているケースや、正規アプリケーションの海賊版を違法に配布するマーケットも複数存在している。このため不正プログラムによる脅威は、iPhoneと比較してかなり高いといえる。実際、今年に入ってから爆発的に不正プログラムが増加してきていることは、<脅威編>で述べた通りだ。そのため不正プログラムそのものを検出、駆除/隔離することが必要となる。
対策としては、各セキュリティベンダからAndroid向けのセキュリティ対策ソフトが続々とリリースされているので、比較検討してみるとよい。Androidではプログラムのインストールに対しては承認が必須であるとはいえ、ゲームやユーティリティソフトなどを装った不正プログラムや、Androidをターゲットにしたボット型の不正プログラムが出現してきている以上、不正プログラムへの対策は重要であるといえよう。
盗難/紛失や不正Webサイトへの対策はどうするか?
次に盗難/紛失による情報漏洩についてだが、スマートフォンは、そのモビリティの高さや顧客情報といった企業の重要情報資産を有するなどの点から、セキュリティリスクは非常に高く、端末の種類を問わず対策が必要であろう。
対策方法としては、盗難/紛失時の遠隔操作による端末のロック(リモートロック)や端末データの消去(リモートワイプ)が挙げられる。また、万が一のためにデータをクラウド側にバックアップしておくことも有効だろう。これらのサービスは通信キャリアやセキュリティベンダ等から提供されている。また、後で言及するMDM(Mobile Device Management)の機能の一部として提供されることも多い。
そして、盗難/紛失に関しては、もう1つ検討すべき点がある。それは、SDカードの存在である。iPhoneの場合はそもそもSDカードが接続されないが、Android端末の場合、リモートロックやリモートワイプをしてもSDカードを抜き取られて情報漏洩する危険性がゼロではない。そのためSDカードの対策(暗号化など)も考慮にいれておくとよいだろう。
このほか、フィッシングなどの不正Webサイトの脅威への対策としては、危険性の高いWebサイトに接続させないことである。つまり、不正プログラムの項で述べたWebレピュテーションが有効な対策となるだろう。Webレピュテーションでは、不正プログラムが配布されているようなサイトだけでなく、フィッシングサイト等についてもデータベースに登録されており、効力を発揮する。
また、端末への不正侵入に関しては、Wi-FiやBluetoothの接続時に限定されるため、脅威出現の可能性は低いと想定される。特にiPhoneに関しては、そもそもシステムリソースへのアクセスが困難といえる。Androidについては、パーソナルファイアウォールなどの検討は可能である。そのほかスパムメールについては、通信キャリアによる対策が進んでいるため、特別に企業側で対策を講じる必要性は低いだろう。
以上のように、スマートフォン単体のセキュリティ対策においては、iPhoneとAndroidといった端末特性の相違を考慮して、それぞれの脅威傾向に適した対策を検討、導入していくことが重要となる。次ページからは、企業情報システム全体の視点から、講じるべきセキュリティ対策の全体像と企業特有のセキュリティ要件について検討してみよう。
