ニュース
» 2010年12月20日 12時38分 UPDATE

モバイルセキュリティとその管理

企業でのスマートフォン利用が注目を集めているが、セキュリティ対策で考えるべき点が少なくない。モバイル機器を取り巻く脅威と対策の視点を再考する。

[石川克也,McAfee Labs Blog]

(このコンテンツはマカフィー「McAfee Labs Blog」からの転載です。一部を変更しています。)

 ユーザーが自分のデバイスやアプリケーションで企業ネットワークにアクセスする――いわゆる「ITのコンシューマ化」が進むと同時に、生産性を高める新たなツールとしてiPadに代表されるタブレット型の新しいモバイルデバイスも登場しています。個人のみならず企業にとってモバイルセキュリティとその管理は、急激なスピードで重要な問題となりつつあります。今回はこのモバイルセキュリティとその管理について、個人ユーザーと企業ユーザーの双方の視点からその問題点を考察してみます。

 モバイルセキュリティとモバイル管理の最大の問題は一体何でしょうか。個人ユーザーにとっての問題は非常に単純で、モバイルデバイスに保存したデータを紛失するわけにはいかないことです。個人ユーザーは、コミュニケーションだけでなく、連絡先、写真、ビデオといった個人データを保存するなど、さまざまな活動にモバイルデバイスを利用しています。そのためデバイスを紛失すれば、最も重要な情報を失うことになります。

 一方、企業ユーザーにおける問題は、ユーザーがモバイルデバイスで企業ネットワークからデータにアクセスしたり、データを保存したりすると、セキュリティが侵害される可能性があるため、IT部門がモバイルデバイスに否定的なことです。従来、IT部門は標準化(例えばBlackBerryの端末にBlackBerry Enterprise Server経由でPIMアプリケーションを配信するなど)により、モバイル管理を行ってきました。しかし現在、モバイルデバイスは以下の3つのベクトルにより、企業に急速に浸透してきています。

  1. 会社から支給、個人で入手など、デバイスのタイプの増加(ハードウェア、OS)
  2. 移動しながら仕事の大半、またはすべてをこなすという最終目標を持った社員が幹部以外にも増加
  3. 使用事例(企業アプリケーション、Webへのアクセスを含む)の増加

 IT部門がモバイルデバイスに否定的なのは、デバイスの有効化、保護、コントロールができないからです。

  • 有効化:簡単かつスケーラブルな方法で、デバイスのポリシーを規定、管理、配備できない
  • 保護:他のインフラと同レベルのセキュリティ(認証、セキュアワイヤレスアクセスなど)をモバイルデバイスに拡大して適用できない
  • コントロール:デバイス本体、デバイスに保存されているデータ、デバイスから企業ネットワークへのアクセスをコントロールできない

 次に、モバイルセキュリティにおける脅威について考えてみます。個人ユーザーにとっての脅威は、デバイス本体を紛失し、デバイスに保存した重要な個人情報が失われることです。またこれにより、デバイスそのものがマルウェアに感染する脅威も存在しています。

 一方、企業ユーザーにとっての最大の脅威は、適切なセキュリティ対策が講じられていないデバイスが企業ネットワークにアクセスしてくることです。デバイスが、本来アクセスすべきではないアプリケーションにアクセスするケースが急激に増加しつつあります。例えば、ノートPCとCRMアプリケーションのセキュアでない接続や、マルウェアに感染したノートPCによる販売データへのアクセスなどは決して容認できないでしょう。

 モバイルデバイスをターゲットにしたウイルスや脅威の実状はどうでしょうか。現時点では、モバイルデバイスのウイルスや脅威は、従来のPCの世界で占めている割合に比べて、あまり大きくはありません。しかし、フィッシング、Zeus(Zbot)のようなパスワードを盗み出すトロイの木馬など、モバイルマルウェアの活動は活発化してきています。以下は、ZeusがSMSメッセージ通信を使って携帯電話で活動する仕組みの一例です。

mobilesecurity_mcafee.jpg

 それでは今後のモバイルセキュリティ、すなわち「次世代」のモバイルプラットフォームのセキュリティはどうあるべきでしょうか。

 既に企業では、より多くの社員に広がっています。もはや、幹部だけがBlackBerry端末でメールにアクセスする時代ではありません。すべての従業員がモバイルデバイスを活用することで、生産性を高めることができます。

 一方で多くのユーザーがモバイルデバイスでこれまで以上のことを行うようになります。セキュリティ面から脆弱なデバイスがさらに市場に出回るようになると、モバイルデバイスをターゲットにするサイバー犯罪が増えると予想されます。SMSを使ってフィッシングを仕掛け、トロイの木馬をダウンロードし、資格情報や財務情報を盗み出すZeusも登場しています。またマルウェアの脅威以外にも、デバイスの拡大により、データが故意に、あるいは誤って失われたり、盗み出されたり、漏えいにも遭う危険性が拡大しています。

 モバイルデバイスの利用を活性化していくためには、個人ユーザーの視点ではデータをクラウドにバックアップし、データ消去などのリモート管理によってこれらのデータを保護する。さらに位置検索によってデバイスをリモートで検索し、デバイスに保存した重要な個人データを保護していかなければなりません。また企業ユーザーは、従来のPCで獲得してきたITインフラ、データのセキュリティ、コントロール、管理をモバイルデバイスにも拡大していく必要があります。同時に、急増するモバイルデバイスを他のITインフラと同じコンプライアンス下に置き、慣れ親しんだ使いやすい1つのコンソールで一括して管理していくことも必要でしょう。

 「次世代」のモバイルプラットフォームは、これらのセキュリティが担保された上で初めて実現されるのです。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -