ソニーモバイル
コミュニケーションズ
プロダクトビジネスグループ
ソフトウェア部門
ソフトウェア開発1部3課
統括課長
西林卓也氏

　スマートフォンを導入する企業は規模や業種を問わず増えており、すでに約50％の企業が何らかの形で業務に活用しているといわれる。

　企業が従業員にスマートフォンを支給する際の最重要課題の1つが、機密情報の漏えいをいかに防ぐかということだ。

　端末の盗難・紛失時の対策はもちろんだが、最近はスマートデバイスを狙ったサイバー攻撃も多い。特にAndroidは従来からある不正アプリの問題に加えて、正常なアプリについても脆弱性が指摘されており、実際にマルウェアなどによる被害も目立つ。このため、セキュリティについては現状、iOSに軍配が上がるというのが大方の見方だ。

　では、すべてのAndroidスマートフォンがセキュリティ面でiPhoneに劣後しているかというと、決してそうではない。

　「我々は端末の設計段階からセキュアに作り込んでいます」。こうアピールするのは、ソニーモバイルコミュニケーションズ（以下、ソニーモバイル）プロダクトビジネスグループ ソフトウェア部門ソフトウェア開発1部 3課統括課長の西林卓也氏だ。

　同社のスマートフォン「Xperia」シリーズは、ソニー製品で培ったノウハウを活かした高機能なカメラやオーディオあるいはブランド力や知名度から、コンシューマー市場でiPhoneと並び人気を集めている。その一方、あまり知られていないが、高い安全性を理由に、国内法人市場においても採用企業が増えているのだ。

いち早くセキュリティ機能に対応　Androidの動きに合わせて除外も

　Xperiaのセキュリティの強みを紹介する前に、ソニーモバイルの歴史を簡単に振り返っておく必要がある。

　同社は、ソニー株式会社とスウェーデンのエリクソン社、両社の携帯電話事業の合弁会社として2001年に設立されたソニー・エリクソン・モバイルコミュニケーションズを前身とする。「開発者も含めて誰にも破ることのできないセキュアな設計を求めるエリクソンと、音楽や映画事業で培ったコンテンツプロテクション技術を持つソニーという両社の強みをソニーモバイルは引き継いでおり、グループ全体でもセキュリティに関しては頭一つ抜けています」と西林氏は話す。

　さらに数年前からは、法人市場におけるシェア拡大を目指して、セキュリティ機能の強化を図ってきた。

　例えばTEE（Trusted Execution Environment）は、重要データを保護するための特別なソフトウェアの実行環境だが、Xperiaでは全製品が12年よりメインプロセッサの上に実装されるセキュア領域であるARM社のTrustZoneテクノロジーを用いて実現しており、そこに自社製のセキュリティアプリケーション群を配置している。TEE上のアプリケーションの一例としてパスワードレス認証の標準化技術「FIDO（Fast IDentity Online）」を実装しており、パスワードを入力する代わりに指紋で認証することで、不正アクセスやなりすまし、フィッシング攻撃などを防ぐことができる。

　また、S/MIMEによるセキュアなメール環境の構築、SDカードの暗号化、AESの256ビットのサポートなど、いずれも、Androidスマートフォンの中でもいち早く対応してきた。

　こうした取り組みは第三者機関によっても認められており、15年には、暗号モジュールに関するセキュリティ要件の仕様を規定する米連邦標準規格の「FIPS 140-2」、および16年には情報技術セキュリティの国際標準規格である「Common Criteria（ISO/IEC 15408）」を取得している。

「Xperia」は指紋認証に対応しており、パスワードの漏えいによる不正アクセスやなりすまし、フィッシング攻撃などを防ぐことができる

　ところで、グーグルはAndroidスマートフォンの業務利用をサポートする目的から15年に企業向けモバイル管理プログラム「Android for Work」をリリースし、加えて積極的にセキュリティ機能を強化しているが、それらの機能の中にはソニーモバイルが数年前からXperiaに取り入れていたものが少なくない。

　一例として、システムの動的改ざんを検知し、潜在的に悪意のあるアプリから端末を保護する「Runtime Integrity Check」がある。Xperiaには12年の「Android 4.1 JellyBean」から搭載されてきたが、その後、Androidが同様の機能として「Verified Boot」に対応したことから、今年に入ってRuntime Integrity CheckはXperiaから除外された。

　XperiaとAndroidが同じ機能をサポートすると、ユーザーはどちらを使えばいいか迷ってしまい、混乱を招きかねない。「Android側の機能が成熟して、十分に機能を果たせるようになった場合には、Xperia独自の類似機能は省くようにしています」と西林氏は説明する。

　Android for Workでセキュリティ機能が強化されてきたとはいえ、法人のお客様の要件をカバーしきれていなかったり、要件として見た場合に機能として十分ではないものもある。Xperiaのセキュリティ機能は、それらを補完する役割を担っている。

SSOによりSDLの履行を監督　悪意のある持ち出しも無効に

　ソニーモバイルのセキュリティへの取り組みを象徴するのが、「Sony Mobile SDL」と呼ばれる設計プロセスの導入だ。

　SDL（Security Development Lifecycle：セキュリティ開発ライフサイクル）は、安全なアプリケーションを開発するための開発者のスキルアップ支援を目的としてマイクロソフトが公開しているもの。ソフトウェア開発の「仕様設計」「アーキテクチャ設計」「実装」「テスト」「リリース」という各プロセスにおいて、セキュリティに関するアクションを取り込んでいる（図表）。ソニーモバイルではSDLを自社に合わせてアレンジし、ソフトウェア開発におけるセキュリティやプライバシーの保護施策をグローバルで実施している。

図表　SDL（Security Development Lifecycle）の概要

　社内にSSO（ソフトウェア・セキュリティ・オペレーションズ）と呼ばれる専任組織も設けており、客観的な立場からプロセスの全体像を把握したうえで問題点などを指摘する。これにより、SDLの各プロセスをきちんと履行することが可能になっているという。

　ソニーモバイルは、端末の製造においても、セキュアな工程を追求している。

　具体的には、電子署名により、Xperiaへの不正ファームウェアの書き込みおよび実行を抑制。電子署名そのものについても、いくつものプロセスを経なければ得られず、しかも隔離されたスペースで行うようになっている。

　また、機微データを端末に書き込む際も、工場内の専用スペースでセキュアな工程に沿って実施される。万が一、悪意のある作業員が書き込み前の端末を持ち出したとしても、スマートフォンとしては使い物にならないようになっているという。

　Android OSを搭載したスマートフォンのセキュリティ機能は、カタログスペック上はほぼ横並びであり、一見すると大きな違いはない。

　しかし、「設計から製造まで端末がセキュアに動作するためのプロセスを持つXperiaは、安心して使っていただくことができます」と西林氏。実際、セキュリティに厳格な基準を求める国内のメガバンクに大量導入されるなど、Xperiaの法人市場における評価は高まっている。

　業務効率化や生産性向上の実現にスマートフォンの活用は不可欠。機種選びに迷った際には、Xperiaを選択されることをお薦めしたい。