狙われるモバイル端末 「企業の情報をどう守るか」へのシンプルな答えはあるのか：デバイスとネットワークのセキュリティレベルをどう維持する？

企業を狙った攻撃から情報を守るのにモバイル端末の保護は欠かせないが、その対応は複雑で複数のソリューションが必要になることもある。さらに今後IoT（モノのインターネット）端末にまで目を光らせる必要が出てくるとセキュリティレベルの維持は一層困難になる。この状況をシンプルに解決する方法を有識者に聞いた。

[PR／ITmedia]

PR

　スマートフォンやタブレットなどのモバイル端末は、ビジネスになくてはならないものになっている。半面、インターネットにおいては脅威が付きまとう。モバイル端末を安全に使うために必要な知識やソリューションを知ることは、リスクを減らすための最短ルートになる。

　NTTドコモのCSIRT組織長である儀間哲仁氏（情報セキュリティ部　サイバーセキュリティ対策室　室長）と、NTTコミュニケーションズ　ソリューションサービス部　デジタルソリューション部門　4Gの城 征司氏（担当部長　プリンシパルコンサルタント）、北川公士氏（担当課長　チーフコンサルタント）、小林真透氏（コンサルタント）にモバイルセキュリティのトレンドと展望を聞いた。

通信キャリアが考えるモバイル活用のポイント

　多くの企業はテレワークと出社を選択して働く「ハイブリッドワーク」に移行しつつある。スマートフォンやタブレットを活用してリアルタイムでコラボレーションするのが当たり前の時代になったといえる。

　モバイル端末を対象とするセキュリティ脅威も拡大している。代表的なものとしてSMSを使った「スミッシング」が増えている。

NTTドコモの儀間哲仁氏

　NTTドコモでセキュリティインシデントハンドリングを中心に全社のセキュリティ対策強化に取り組む儀間氏はモバイル端末のリスクに「最近は国税局をかたるなど、日本人に合わせた攻撃が行われている」と危機感を示す。NTTドコモはこれを押さえ込む目的でスミッシングの多種多様な攻撃メッセージをチェックすることに加え、関連協力機関と協力してフィルタリングする仕組みをつくり出した。

　「振り込め詐欺ばかりが注目されるが、規模は小さいながらもスミッシングは大きな課題だ。2022年3月に導入したフィルタは効果を発揮しており、毎週数百万件規模でブロックしているという実績がある」と儀間氏は述べる。しかし攻撃側にはフィルタをだまそうとする動きもある。NTTドコモは迷惑メール対策や危険なWebサイト対策をコンシューマーに提供する「あんしんセキュリティ」を用意しており、誰もが安全に活用できるモバイル環境を目指している。

重要なのは「認証」と「モバイル端末特有のリスク」

　NTTコミュニケーションズでゼロトラストセキュリティのコンサルティングを行い、最近ではSASE（Secure Access Service Edge）ソリューションの立ち上げに携わった城氏は「PCよりもモバイル端末は情報漏えいに比較的強い」と述べる。しかし、OSやアプリケーションの脆弱性が課題になることが多く、「正規のアプリストアから不正アプリケーションがインストールされることもある」と指摘する。

　加えて、PCだけでなくモバイル端末でも大きな課題になっているのが、インターネット越しにユーザーが誰かを識別し、確認する「認証」だ。

　一般的な認証方式に「パスワード」があるが、個人の記憶に頼るパスワードにはどうしても限界があり、多くの人が複数のサービスで同じパスワードを使い回してしまう。一つのサービスで情報漏えいが起こると、別のサービスにも不正アクセスされてしまう。

　儀間氏は「だからこそ、FIDO（Fast IDentity Online）認証を実装することが重要だ」と強調する。FIDO認証は共有する秘密情報を送信しないため、より安全に認証できる仕組みだ。最近はFIDO認証の中でも生体認証や、スマートフォンの画面ロック解除操作を利用して認証する『パスキー認証』が普及しつつあり、特にモバイルで対応端末が増えている。パスキー認証を利用することでパスワードを忘れたり盗まれたりする心配がなくなる。儀間氏は「FIDO認証を導入することでセキュリティレベルを高められることは分かっているので、NTTドコモはこうした安全な認証方式の普及を目指している」と語る。

NTTコミュニケーションズの城 征司氏

　働き方や利用端末が変化しても「セキュリティ対策の原理原則はPCもモバイル端末も大きく変わらない」と城氏は述べる。「モバイルだからこの対策をしなくてはならないということはない。ただ、紛失や盗難のリスクの他にもBYOD（Bring Your Own Device）がPCに比べて多いといったモバイル特有の事情はある。MDM（Mobile Device Management）で紛失対策し、私用のアプリケーションやデータを会社用と分けて扱う必要がある」と指摘する。

　企業にモバイルセキュリティソリューションを提案する立場にある城氏は「モバイル端末では、ノウハウがあるかどうかがポイントになる」と述べる。モバイル端末にPCと同じセキュリティ対策を実施する場合、モバイルについては特定のシチュエーションではうまく動作しないといったトラブルが起こり得る。

　「ドキュメントに書かれていないトラブルが起きることは、実はよくある。多様なモバイル端末を保護するセキュリティ対策ではソリューションごとのクセを理解して実装するノウハウが必要だ」（城氏）

モバイル活用で気にすべきインシデントとその対策

　業務におけるモバイル端末の活用はメリットも多いが、さまざまなインシデントが発生し得る。特に紛失や盗難については「遠隔でロックできる機能の使い方を覚えておくことが重要」と儀間氏はアドバイスする。もちろん正規のアプリストア以外からのインストールを制限する対策ソフトの導入も必要だ。

NTTコミュニケーションズの北川公士氏

　北川氏はそれに加えて、「SASEなどを導入することで、内部不正への対策を行うことも重要だ」と述べる。「従業員が使っているシャドーITを検知し、不自然な動きや不要なアップロードを止めてアラートを発信する仕組みがある。企業が許可していないSaaS（Software as a Service）や、許可していても別テナントにはアクセスさせない制御も可能だ。最近はそうした監視目的での導入も増えている」と北川氏は指摘する。モバイル端末のインシデントにもSASEの仕組みは有効だ。

　「今後は5Gの普及やIoTにも大きな注目が集まるだろう」と城氏は予測する。普及拡大期に当たる新技術は導入が優先されてセキュリティは“後追い”になりがちだが、「『セキュリティ・バイ・デザイン』という考え方が最近注目を集めている。設計段階からセキュリティを考えていかなくてはならない」と述べる。

　儀間氏は「IoT端末を含むセキュリティ確保において通信キャリアであるNTTドコモには強みがある」と胸を張る。端末にエージェントやセキュリティ機能を載せられなくても、通信キャリアであればネットワーク側で通信を監視、制御することでセキュリティレベルを一定以上に引き上げられるからだ。

　「『どういう端末があるか』『脆弱性はあるか』を監視し、不正なトラフィックは可視化してネットワークで不正をブロックできる。われわれNTTドコモのSIMを通信に使っている端末であれば、通信回線と端末の両方でセキュリティを確保できる」（儀間氏）

「モバイルセキュリティソリューション」で運用も一元管理

NTTコミュニケーションズの小林真透氏

　NTTコミュニケーションズの小林氏は、モバイル端末のセキュリティで懸念される事項として「モバイル端末のセキュリティ基準を確保できないこと」を挙げる。この懸念を解消するには、情報を守ること、社内ポリシーを順守すること、そして侵入を見つけて未然に防ぐことが重要だ。

　これらをカバーするのが、「ドコモビジネス」が提供する「モバイルセキュリティソリューション」だ。ドコモビジネスは法人向け事業ブランドで、NTTドコモのモバイル端末とSIMを、NTTコミュニケーションズのソリューションと組み合わせて展開している。モバイルセキュリティソリューションは情報を守るMDMやMAM（Mobile Application Management）、侵入を検知して防ぐMTD（Mobile Threat Defense）、社内ポリシーを順守させるIAM（Identity and Access Management）を組み合わせて脅威からモバイル端末を守る。24時間365日対応する運用管理サービスも提供しており、対応窓口を一本化できる。

　保守・運用で特に見逃されがちなのが、端末を追加導入する際に情報システム部門の担当者がキッティング作業に追われる点だ。これについてもモバイルセキュリティソリューションがカバーする。

　「NTTコミュニケーションズが保守・運用をワンストップで提供する。当社はモバイル端末特有の挙動に関するノウハウを持ち、豊富な導入実績がある。提案から保守・運用まで寄り添う体制ができている」（小林氏）

図1：ワークスタイル変革の課題をNTTコミュニケーションズとNTTドコモが解決する（出典：NTTコミュニケーションズの提供資料）

　NTTコミュニケーションズは、PCやモバイル端末を活用した業務効率化を実現するソリューションを提案してきた。ドコモビジネスとしてワンストップで提供できるようになった今、「ソリューションと回線をセットで提供し、窓口は1つに」が実現した。これにより、モバイルセキュリティ一つを取っても複合的な対策を包括的に実施しやすい環境が整った。対策が複雑で狙われやすいモバイル端末こそ、セキュリティに精通したサービスを使ってヌケモレのない対応を進めることが情報保護だけでなく従業員の生産性向上の視点からも重要になる。NTTコミュニケーションズが提案するモバイルセキュリティソリューションは一つの選択肢となるだろう。

図2：モバイル端末への脅威を3つの観点から考える「モバイルセキュリティソリューション」の仕組み（出典：NTTコミュニケーションズの提供資料）