Androidに見るスマートフォンセキュリティの将来像

新たなインターネット接続端末機器として注目されるモバイルデバイスのセキュリティ対策はどうあるべきか――。成長著しいAndroidを例にその方向性を探る。

» 2010年08月23日 08時00分 公開
[石川克也,McAfee Labs Blog]

(このコンテンツはマカフィー「McAfee Labs Blog」からの転載です。一部を変更しています。)

 高機能化し、金銭取引が容易にできる昨今のモバイルデバイスは、PCと同等もしくはそれ以上に強固なセキュリティ対策が求められます。前回および前々回は、モバイルを取り巻く脅威とその脅威への必要な対策について説明しました。今回はスマートフォンの事例として、今後最も普及が見込まれるAndroidを取り上げ、そのセキュリティモデルとその問題点について解説します。

 2007年以降、iPhoneが一世を風靡(ふうび)したようにも見えるスマートフォン市場ですが、2009年ごろからGoogle主導で開発が進んだオープンソースOSである「Android」を使ったスマートフォンが破竹の勢いで増えているのはご存じの通りです。国内でもNTTドコモからHT-03A、Xperiaと立て続けにリリースされ、ソフトバンクモバイルからX06HTが発売されました。KDDIからもIS01が発売されました。さらに、Androidはスマートフォンだけではなく、タブレット型端末や電子ブックリーダー、テレビ、カーナビなどの情報家電の組み込みOSとしても注目されています。今後ますますAndroidが使われる機器が増えてくることでしょう。

 Android自身は、そのベースとしてLinux OSを利用しています。そしてAndroidのセキュリティも、LinuxのユーザーIDによるサンドボックスモデルが基本になっています。すなわち、Androidにインストールされている個々のアプリケーションには、Linuxで言う一般ユーザー権限に相当する権限が割り振られ、その権限で許される範囲でしか動作することができません。例えば、ほかのアプリケーションが所有しているファイルに書き込み/アクセスすることは基本的にはできません。さらにネットワークを使って外部と通信したり、位置情報を調べたり、システムリソースにアクセスする場合には、そのアプリケーションをインストールして良いか、明示的にユーザーに許可を求める仕組みになっています。

 このような仕組みによって、Androidはある程度のセキュリティレベルを保っていると言えます。しかし、ユーザーがマルウェアやバグのあるアプリケーションを知らずにインストールしてしまうこと、SDカード経由での感染、インターネット上の問題あるWebサイトや不適切なWebサイトへのアクセス、端末紛失によるデータ漏えいなどを防ぐには不十分です。やはり、前回述べたコンテンツスキャンやWeb Rating、Anti-Theftのような技術を用いて、利用場面に応じたセキュリティ強化が必要です。

アプリケーション配信側でのセキュリティ対策

 最近のスマートフォンの最大の特徴は、ユーザーが欲しいと思うアプリケーションを探し出し、気に入ったアプリケーションを自由にダウンロードし、そして支払いまでを行えるインターネット上のアプリケーション配信サービス(アプリケーションマーケット)が用意されていることでしょう。iPhoneのAppStoreや、Android端末向けのAndroidマーケット、Windows Phone向けWindows Marketplace for Mobileがその代表的なものです。さらに通信事業者や端末メーカー、インターネットサービスプロバイダーもこのようなマーケットに進出しつつあるようです。これらのマーケットの多くは、誰でも自分が作ったアプリケーションを登録してビジネスを行うことができます。この仕組みのおかげで、スマートフォンを取り囲む大きなエコシステムが構築され、スマートフォン市場の活性化、発展に大きく寄与しています。

 しかし、誰でもアプリケーションを開発できる以上、信頼できるアプリケーションばかりがマーケットで流通しているとは限りません。マーケットを開設している側とすれば、自分のところで流通しているアプリケーションは安心してユーザーに使ってもらいたいと思うことは当然です。登録アプリケーションを審査し、自らセキュリティを担保しようという動きが始まっています。そのような背景の中、アプリケーション配信システムと連携して登録されたアプリケーションの安全性をチェックする技術、ユーザーに「ダウンロードして使っても大丈夫ですよ」という意味の安心マークを付与するような認証サービスも求められます。

 アプリケーションを配信サーバに登録するときにチェックする、そして、それが実際にダウンロードされ動作する前に端末で再度チェックするという二重の対策の必要性が増してきています。

 セキュリティの観点からは、スマートフォンはもはや「スマートフォンというカテゴリー」の商品ではなくなってきています。オープンな技術で作られ、オープンな環境で使われていくスマートフォンは、PCと同じようなインターネットアクセスにおけるエンドポイントの1つです。そのほか、現在登場しつつあるタブレットPCなども新たなエンドポイントと言えるでしょう。そしてユーザーは、これらのエンドポイントを、時と場所に応じて切り替えて使用し、情報アクセスや情報処理をより日常生活内にて行っていくと思われます。

 今後セキュリティベンダーは、これらの広がりつつあるエンドポイントに対し、ユーザーが何を使っても常に一定のレベルのセキュリティを実現できるよう、包括的な技術開発や脅威の監視、また対応体制を構築していかなければなりません。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.