ニュース
» 2012年03月08日 13時30分 UPDATE

スマートデバイスのビジネス活用を考える(4):スマートデバイス、業務で安全に運用するためのポイントは (1/2)

スマートデバイスの利便性については、“PCとケータイのいいとこ取り”といわれるが、リスクについても両端末と同様の対策が必要なことは知っておきたいところ。今回は導入時に知っておくべきセキュリティのポイントについて解説する。

[小澤浩一/内山英子(KCCS),ITmedia]

 スマートフォンやタブレット端末は、可搬性に優れ、すばやく起動するという“フィーチャーフォン(従来型の携帯電話)的な便利さ”と、多機能でネット接続がしやすく、アプリで機能を追加できるという“PC的な便利さ”を兼ね備えている点が評価され、業務での利用を加速させている。

 しかしその半面、リスクについてもフィーチャーフォンとPCの両デバイスと同様の対策を施す必要がある点は把握しておきたいところだ。

 今回はスマートデバイスを導入する際に知っておきたい、セキュリティ面のポイントについて解説する。

想定されるセキュリティとリスク

 スマートデバイスやPCなど、さまざまな端末を利用して業務を行う場合、想定されるセキュリティ面のポイントを大別すると、以下の3点になるだろう。

  • 端末内に保存した情報のセキュリティ
  • 通信経路のセキュリティ
  • 端末からアクセスするシステムのセキュリティ

 これらのポイントをスマートデバイスにあてはめて考えると、次のようなリスクが想定されることが分かる。

  • 盗難や紛失による、端末内の情報漏洩
  • ウイルス感染や悪意あるプログラムによる、端末内情報の漏洩
  • 端末を経由した、社内ネットワークのウイルス感染
  • 通信路での盗聴
  • 端末の利用を許可されていないユーザーによる社内アクセス

 このようにスマートデバイスには、フィーチャーフォンと同じような盗難・紛失や破損のリスクがあるとともに、PCと同様のウイルス感染や情報漏えいのリスクがある。つまり、フィーチャーフォンとPCのいいとこ取りといわれるスマートデバイスは、リスクも両方のものを併せ持っているわけだ。

 リスクの回避についていろいろと考える必要があるスマートデバイスだが、過度に対策を施すと利便性を損ない、導入の意義を損なう恐れがある。そのため、導入する部門の業務に合った、適切な対策を考えることが重要になる。

スマートデバイスに関するセキュリティ問題の事例

 IPA(独立行政法人 情報処理推進機構)は2011年1月21日、初めてAndroid OSを標的とするウイルスに対する注意を喚起した。

 当時は、Androidアプリケーションの配布サイトを通じて、正規のアプリにボット型ウイルスが抱き合わせの形で配布されたケースが報告されていた。現時点(2012年2月末現在)で、国内で深刻な被害は確認されていないものの、ウイルスに感染した端末は、意図しないメールの送受信や個人情報の漏えい、端末の乗っ取りなどの被害にあう可能性があるので注意が必要だ。

 さらに、スマートフォン用のOSは、あらかじめ設けられた制限を解除することでも、セキュリティリスクが増大する。これは「Root化」「Jailbreak」などと呼ばれており、通常はアプリからアクセスできない“OS内の保護された情報”にアクセスしたり、外部から端末を遠隔操作したりといったことが可能になる。

 このような制限の解除は、一部のユーザーが「特定のアプリを使用したい」「メーカーによって隠されている機能を使いたい」といった目的で、セキュリティ面のリスクがあることを分かった上で、自己責任で行っていた。しかし情報の氾濫に伴い、リスクがあることを認識しないまま制限を解除してしまうユーザーも出てきている。

 これまでのところ、重大なセキュリティ上の問題は起こっていないが、業務で活用するスマートデバイスについては、新たなリスクが出てくることも考慮しておかなければならない。

PC、フィーチャーフォン、スマートデバイスのセキュリティ対策はどう違う

 スマートデバイスは、“PCと携帯電話のいいとこ取り”ともいえる機能を備えている半面、セキュリティ面のリスクも両デバイスの特徴を併せ持っている。つまり、どちらか一方のセキュリティ対策を施しただけでは万全とはいえないわけだ。

 対策を考える前に、まずはPCや携帯電話との違いを見ていこう。

  • PCとの違い――「権限」

 PCとの違いについては、端末そのものに利用者権限という概念がないことが大きい。このため、権限を利用したセキュリティ管理ツールが整っていないのが現状だ。

 例えばPCであれば、設定変更やアプリケーションのインストールができる管理者権限、インストールされたソフトを使用するだけのユーザー権限などが存在する。企業内のPCでは、管理者が管理者権限を利用して設定を行い、使用者にはユーザー権限が割り当てられる。これにより、利用者が勝手に設定を変更したり、アプリケーションのインストールを行えないようにするわけだ。

 最近では、PCの内部データを外部デバイスにコピーできないようにする管理ツールや、資産管理ツールといったものもそろってきている。これらは、2005年に個人情報保護法が施行されて以来、多くのITベンダーから発売され、企業への導入が進んだ。そして年々、セキュリティの強度が高められるとともに、企業の管理者やユーザーの使い勝手を考えた改善がなされてきた。

 それは例えば、“PC側で利用できるアプリケーションを制限する”あるバージョン以上のパッチやアンチウイルスのパターンファイルがインストールされていないと、社内ネットワークにつながせない”といったプロアクティブなソリューションだ。

 また、何か事件があった場合に備えて後からトラッキングできるように、PC上での操作のロギングやメールのアーカイビングなどのリアクティブソリューションもバリエーションが豊富だ。このようなプロアクティブソリューションとリアクティブソリューションを融合したソリューションとして、クライアントPCからUSBなどへのファイルの書き込み制限や、外部デバイスへの書き込み履歴を記録する製品もある。このように、例えネットワークにつながっていなくても、統制された環境で使用できるのがPCなのだ。

 一方、スマートデバイスについては、Mobile Device Management(MDM)製品が出そろってきてはいるももの、PCと同程度の統制を行うにはまだ十分とはいえない。そもそも現状のスマートデバイスは、生い立ちが「パーソナルなコンシューマー向けデバイス」であり、「デバイスの使用者=デバイスの所有者=全権を有する人」という図式になっている。そのため、完全な統制についてはある程度、あきらめる必要もあるだろう。

  • フィーチャーフォンとの違い――「オープン性」

 フィーチャーフォンとの違いについては、“ほぼ安全とされていた閉ざされたネットワーク”から、“みんながつながるオープンなネットワーク”になったことが一番の違いといえる。

 これまで日本の携帯電話は“ガラパゴス”と形容されるように“閉じた世界”のものであった。独自OSの端末と通信キャリアの閉ざされたネットワークゆえに、ウイルス感染や情報漏えいのリスクから守られていたわけだ。

 例え個人情報などが端末内に保存されていたとしても、外部からの攻撃で漏洩するリスクは少なく、しいていえば紛失や盗難によるものくらいであった。しかしスマートデバイスは、OS、ネットワークともに「オープン」な点が大きく異なる。

 このクローズとオープンの違いによってスマートデバイスが直面するリスクの1つは、急速なマーケットの拡大で脆弱性があるアプリが増えることによるものだ。

 スマートデバイス市場の拡大に伴い、フィーチャーフォン向けアプリケーションの開発/実装方法の経験はあっても、セキュリティ対策の観点では知識が十分でない開発者がそのままスマートデバイスのアプリケーション開発に携わるケースも増えている。

 その結果、セキュリティ対策が十分に施されていないアプリが市場に出回り、それが情報漏えいや情報改ざんの被害につながる可能性がある。

 もう1つのリスクは、端末側に情報、アプリが保存されることから生じるものだ。

 スマートデバイスには、大容量の保存領域が用意されている。そのため、フィーチャーフォンと比べて個人情報やクレジットカード番号などの重要なデータを端末のアプリケーションに簡単に保持できるようになるとともに、“アプリ”自体も端末上に保存できる。その結果、端末上のデータが攻撃対象になる可能性があり、通常の操作をしたつもりが端末上のアプリの脆弱性により、ユーザーが想定しない重要な情報を漏えいしてしまう可能性もある。

 フィーチャーフォンでは端末側のセキュリティやネットワークの脆弱性にあまり気を使うことなく、サーバ側のセキュリティ対策に留意していれば情報を守ることができた。しかしスマートデバイスでは、端末内に保存された情報についても漏えいリスクがあり、対策が必要になるわけだ。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.