ビジネススマホのセキュリティ対策が必要なただ1つの理由：誠 Biz.IDセミナーリポート（1/2 ページ）

スマホを仕事で使うのは便利だ。だが、紛失したり不正アプリをインストールしたりすると重大な情報漏えい事故につながる。経営者よ、社員のスマホを管理する理由を考えたことがあるか？

[宮田健，Business Media 誠]

　誠 Biz.ID編集部は、主催セミナー「成功企業に学ぶ “仕事に効く、スマホ導入の極意”」を2014年2月14日に横浜市で、2月21日に広島市で開催した。参加者は、スマートフォンやタブレットといったスマートデバイスを活用する企業の成功事例の紹介やスマートデバイスを導入・運用するうえで注意すべきセキュリティのポイントを熱心に聞いていた。

　今回は、企業で導入したスマートデバイスのセキュリティについて紹介した第2部と、共催のNTTドコモがモバイルデバイス管理（MDM）サービスを紹介した第3部をリポートする。

セミナーの内容

スケジュール	講演タイトル
【第1部】成功事例を学ぶ	「経営のスピードアップ、多様化する働き方への布石、スマートフォンの業務活用とは？」
【第2部】安心・安全を学ぶ	「自社だけの問題じゃない――モバイルセキュリティ対策が必要なただ1つの理由」
【第3部】役立つサービス紹介	「ビジネスmoperaあんしんマネージャーで何ができるのか？」

なぜビジネススマホが狙われるのか？

講演する筆者

　日本ネットワークセキュリティ協会（JNSA）の調査によれば、2012年上半期に起きた情報漏えい事故（インシデント件数）は954件で、情報が漏えいした人数は123万9626人にも達する。インシデント1件当たりの平均漏えい人数は1349人だ。

　このすべてがスマートデバイスからの漏えいではないのだが、万が一、情報漏えいを起こしてしまえば、1件当たりの平均損害賠償額は3787万円、1人当たりに直せば5万7710円という大きなコストに達し、企業は負担することになる。もちろん、企業の信頼も大きく損なわれるわけで、取引先や関連企業に対する目に見えない損失も考慮すべきだろう。

　また、同じくJNSAの調査によれば、2011年における端末の紛失や盗難、誤送信は2万2340件発生している。このうち、携帯電話の紛失によるものは2.6％。単純に比較することはできないが、社員数100人の企業であれば3人弱が携帯電話を紛失している計算になる。

　それでもスマホやタブレットの企業活用事例は華やかだが、それに色めき立つのは経営者だけではない。導入企業の隙を突こうとする悪意を持つ人々も静かに注目していることを忘れてはいけない。

　スマートデバイスが狙われる理由、それはシンプルに「お金になる」からだ。スマートフォンはいわば小さなPCと同等。端末自体が金になるだけでなく、アドレス帳、SMS、メールなど「売れる」情報がたくさん詰まっている。

　スマートデバイスから情報を盗み出す手法にはさまざまなものがあるが、多くの場合、何らかのアプリを利用者自身の手でインストールさせ、それを実行させることで情報を盗み出す。その手口は巧妙化する一方だ。

　詐欺アプリの場合、かつては正規アプリを偽装した詐欺アプリが一般的だった。アイコンやアプリケーションの説明を「本物」かのように充実させ、とにかくインストール／実行させようとする。ユーザーがアプリを実行さえすれば、説明どおりに動かす必要はない。情報を盗み出しておしまいだ。

　だが、今日、悪意あるものはアプリを「開発」する必要すらない。「本物」のアプリに、こっそり情報を盗み出す機能を追加する「開発キット」が無料で流通しているからだ。人気アプリに1クリックで不正プログラムを追加した新型の詐欺アプリは、ユーザーが実行すると正規アプリと同様に動く。詐欺アプリは、ユーザーがアプリを使い続ける限り、情報を盗み続ける。

　この状態で、例えばショートメッセージ（SMS）を使ってビジネスの重要なやり取りをしていたらどうなるか。「A社には300万円で見積もりを出します」「B社よりも低くしろ」といったやり取りは、ライバル企業にとってのどから手が出るほどほしい情報だろう。犯罪者はこのような「お金になる情報」を狙っているのだ。

不正アプリ作成ツールキットで作成したアプリをインストールすることでスマホの遠隔操作ができる。SMSの内容を取得されるだけでなく、アドレス帳、写真、位置情報から交友関係を推測されてしまう（出典：トレンドマイクロ）