Windows Mobileのセキュリティに「設計上の欠陥」と専門家

Windows Mobileにはファイルを暗号化する機能がないため、企業に採用してもらえないかもしれないと研究者は指摘する。

[Matt Hines，eWEEK]

　MicrosoftはWindows Mobileデバイスに格納された電子メールファイルのためのオンボード暗号化機能を提供しておらず、このため自身を競争上不利な立場に置き、ユーザーをデータ漏えいの危険にさらす可能性がある――最新の調査報告書はこう主張している。

　米ワイヤレス調査会社J. Gold Associatesの報告書によると、Windows Mobileプラットフォームでファイル暗号化機能を提供しないというMicrosoftの決定は、ほかの人気ワイヤレスシステムと比べて、この技術を十分に検討していないという。

　Good Technology、Research In Motion、Sybaseなどの競合モバイルソフトメーカーが提供するプッシュ型電子メールシステムと違って、Microsoftのワイヤレスメッセージング技術は単純なパスワード以外のデータ保護を提供していないと研究者らは指摘する。

　これはコンシューマーによるWindows Mobileデバイス――ほとんどの人気の端末よりもPCライクな機能を提供する、いわゆる「スマートフォン」――の選択には影響しないだろうが、より包括的なセキュリティ機能が欠けていることから、企業はほかのプラットフォームを選ぶかもしれないとJ. Gold Associatesの主席アナリスト、ジャック・ゴールド氏は語る。

　Windows Mobileはデバイスに転送中のデータの暗号化は提供しているが、携帯端末のパスワードがハッキングされたら、企業の機密データにアクセスできるようになってしまうと同社のアナリストらは言う。

　ゴールド氏は具体的に、Microsoftの「Direct Push」技術の問題に焦点を当てている。これは最新版のExchange ServerとWindows Mobileの間でデータをやり取りするのに使われる。

　Direct Pushは、MicrosoftのActiveSyncから派生したAirSyncを利用する。これはWindows Mobileデバイスにデータを配信し、デバイス上に格納されたデータとバックエンドサーバと同期化するのに使われている。

　現行版のActiveSyncとAirSyncは、Microsoftの特定のデータ仕様に準拠した特別な形式のデータしかサポートしていない。これは、Exchange ServerからMicrosoftのPocket Outlookに転送されるデータは、ファイルが暗号化されていない状態でなければならないことを意味する。

　「要するに、現在、すべての企業がセキュリティを懸念しており、新しいモバイル機器を採用する際に、セキュリティは重要な検討事項になるということだ」（ゴールド氏）

　「Microsoftのモバイルプッシュ型メールの設計では、ExchangeとPocket Outlookの同期化を実行する時など、データが比較的オープンになる。1つのパスワードだけを使うのは非常に危険なアプローチであり、企業は携帯デバイスに格納されるすべてのデータを暗号化できる機能を望むだろう」と同氏は言う。

　Microsoftにこの批判についてのコメントを求めたが、まだ回答は得られていない。だが同社は、次世代デスクトップOS「Windows Vista」ではセキュリティ強化のために一丸となって取り組んでいる。

　同社がVistaのドライブ暗号化機能「Windows BitLocker」と似た機能をWindows Mobileに加えたら、ユーザーは同プラットフォームのセキュリティがもっとライバルに近づいたと考えるかもしれないと研究者らは言う。

　しかし、たとえ同社がそのようなツールをWindows Mobileに加えたとしても、ゴールド氏は、BitLockerの包括的なアプローチよりも、ユーザーが個々のファイルを暗号化できる方がいいと言う。

　「BitLockerの問題は、ディスク全体を暗号化するか、この機能をまったく使わないかしかないということだ。エンドユーザーはファイルごとに暗号化する機能を必要とするだろう」（同氏）

　「Windows Mobileに暗号化機能がないのは、Microsoftが予期すべきだった設計上の欠陥だ。機密データを持つ企業に同プラットフォームを採用してほしかったら、同社は設計し直さないといけないだろう」と同氏。

　金融サービス会社や医療機関など厳しいデータ取り扱い規制の下にある企業は、Microsoftが新しい暗号化機能を追加しなければ、Windows Mobile以外の技術を選ぶ可能性があると同氏は指摘する。

　同氏は具体的に、MicrosoftがAirSync、ActiveSync、Pocket Outlookを設計し直して、これらアプリケーションを介して送信されるデータのセキュリティを強化することを望んでいる。

　スマートフォンの普及が進むにつれ、携帯デバイスのセキュリティは注目されるようになっている。

　iGillottResearchによると、2005年に出荷されたスマートフォンは約5100万台で、ワイヤレスデバイスの6％を占めた。同社は、2010年にはこの割合が21％に達すると予測している。

　J. Gold Associatesは、スマートフォンは向こう4年間に出荷されるワイヤレスデバイスの約10〜20％を占めるだろうとしているが、企業ユーザーの場合はその割合はもっと高く、50〜60％になると予測している。

　Trusted Computing Groupの携帯電話ワークグループは9月に、「Mobile Trusted Module」標準のドラフトを発行した。これは、ワイヤレスデバイスとソフトのメーカーが、自社の製品のセキュリティを改善するのを支援するガイドラインを確立するためのものだ。

　この仕様の最終ドラフトは年内に登場の見込み。Open Mobile Alliance、Open Mobile Terminal Platform、Mobile Industry Processor Interface Allianceなどの団体が推進するほかのワイヤレスセキュリティの取り組みとの連係を目指している。

原文へのリンク