モバイル中心のIoT時代、セキュリティと利便性をどう両立する？ IntelとMcAfeeが「MWC 2015」で実演

Intel傘下のMcAfeeが、バルセロナで開催された世界最大のモバイル関連見本市「MWC 2015」で「True Key」のモバイル向けソリューションを披露。現地で見つけた最先端のセキュリティ技術を紹介しよう。

[PR／ITmedia]

PR

　米国の調査会社Gartnerが3月3日（英国時間）に出した最新の調査報告によれば、2014年の世界のスマートフォン販売台数は前年比28ポイント増で12億4500万台となり、初めて10億の大台を突破したという。同じくGartnerの同年におけるPC出荷台数が前年比0.2ポイント減の3億1600万台だったことを考えれば、世の中がモバイル中心の時代にシフトしてきていることが分かるだろう。

　PCでのセキュリティの重要性はすでに何度も語られ、対策を施すユーザーや企業も多い。だが現在、攻撃者の次なる対象はこの急拡大するモバイルの世界へと向けられつつあり、誰もがモバイルに特化した対策を行う必要に迫られている。スマホはさまざまな場所で利用することが前提であるため、個人情報を多く抱えたデバイスをさまざまな脅威からどのような形で守るか、PCとはまた異なるアプローチでの取り組みが要求される。いかにスマホの利便性を損なわずに使いやすいセキュリティの仕組みを取り入れることができるのかが重要だ。

　こうした現状に対して、セキュリティベンダー各社はさまざまなソリューションを提案している。2015年3月2日〜5日の4日間、スペイン・バルセロナで開催された世界最大のモバイル関連見本市「Mobile World Congress 2015」（MWC 2015）でも、主要なセキュリティベンダー各社のブースが散見された。

　中でも、モバイル向けセキュリティ展示で大きな存在感を放っていたのがIntelブースだ。Intelはセキュリティベンダー大手のMcAfeeを傘下に収めた後、同ブランドを「Intel Security」として展開。Intelは2015年1月6日〜9日の4日間に米ネバダ州ラスベガスで開催された世界最大の家電見本市「2015 International Consumer Electronics Show」（CES 2015）でMcAfeeが開発した新しい個人向けセキュリティ製品「True Key」を発表しており、MWC 2015では、このソリューションをPCだけでなくモバイルの世界にも拡大する動きが見られた。今回、このTrue Keyのモバイル向けソリューションと、スマホと同時に市場が拡大しつつあるIoT（Internet of Things：モノのインターネット）デバイスをどのように保護していくのか、世界最先端の取り組みをお伝えしたい。

MWC 2015のIntelブース

モバイル時代のセキュリティを支える「True Key」のデモが披露された

スマホ向け「True Key」はアプリ別認証もスマートに

　True Keyとは、ユーザーを面倒なパスワード入力から解放しつつ、さまざまな認証手段を用いてデバイスやサービスへのログインを簡単かつ安全にできる仕組みだ。例えば、True KeyをPCで利用した場合、専用センサーによる指紋認証やカメラでの顔認証を使ってWindowsやMacなどのOSへログインできる。システムログインのほか、FacebookやTwitterのようなSNSなど、各種Webサービスへのログインも可能だ。つまり、True KeyによってID／パスワード情報をクラウド上に暗号化して保存・管理することで、一種のシングルサインオン的な使い方が可能になる。これにより、本来反比例の関係にある利便性とセキュリティを両立させているのだ。

　米McAfeeでChief Consumer Security Evangelistを務めるGary Davis（ギャリー・デイビス）氏によれば、「前述の指紋認証や顔認証など複数の認証手段を用意しつつ、Windows PCからMac、さらにはAndroidやiOSといったモバイル端末まで、1日を通して使うすべてのデバイスをつなぐサービスを提供するのがTrue Keyの狙いだ」と話す。現在はβ版のテスト運用段階であり、希望ユーザーに限定して提供している段階だ。CES 2015での発表後、このβ版利用登録者は2000万人を突破し、ユーザーからのフィードバックを得つつ現在も改良が続けられている。現在はSNSのほかに、クレジットカードやパスポート、運転免許証の情報なども管理できるが、今後もTrue Key対応のサービスや認証手段を順次増やしていくという。

クレジットカード情報も管理できる

米McAfeeのChief Consumer Security Evangelist、Gary Davis氏

　

　PC版とモバイル版で異なることの1つは、サービス利用の仕組みだ。スマホの場合はWebサービスのほかに、Twitter、Facebook、Dropboxなどログインを必要とするアプリの認証もサポートする必要がある。これらのアプリは、True Keyの管理アプリから1つの認証だけでログインできる。このように、True Keyはアプリを横断した認証にも対応する。現在、Android版ではこの仕組みを指紋認証と顔認証で利用でき（指紋センサー搭載の端末のみ）、iOS版については指紋認証（Touch ID）が利用可能。顔認証については現在開発中で、近日中にリリースできる見込みだという。

True Keyアプリの起動画面

True Keyのログイン画面

Androidデバイス上でTrue Keyによる顔認証ログインを行っているところ

True Keyでは複数のアプリ経由での認証ができる

1度True Keyによる認証を通過すると、以後はワンタップでサービスへとアクセスできる

Facebookにログイン

　ここで重要となるのは“信頼できるデバイス”という考え方で、普段使っているスマホやPCをマスターデバイスのPCから認証することで、各種サービスのパスワードが同期され、一元管理が可能となる。

新たにデバイスを使う時は、「信頼されたデバイス」かどうか認証する必要がある

　True KeyではID／パスワードや顔認証で使われる認証情報はすべて強固な暗号技術で保護されているため、外部に漏れることはない。True Keyがユーザーに限らず、各種サービスのログイン窓口になることで安全性と利便性が担保されるのだ。

　昨今、フィッシングサイトや企業サーバへのハッキングで個人情報やID／パスワードが漏えいするケースが急増しているが、認証に必要な情報をMcAfeeがTrue Keyを介して管理することで、ユーザーは必要以上の個人情報をサービス事業者へと渡す必要がなくなる。これにより、サービス事業者側も必要以上の情報を抱え込むことがなくなり、情報漏えいリスクから自社を守るというメリットが生まれる。このあたりは、オンラインショッピングにおける決済代行サービスの位置付けに近い。

　現在のTrue Keyはコンシューマーユーザーを主なターゲットとしているが、今後は潜在的需要が大きい法人ユーザーをターゲットに市場を拡大していく計画だという。ログインに対応したサービスも現在はコンシューマー寄りだが、今後はビジネスアプリケーションやサービスにも範囲を拡大していくとみられ、順次改良が進んでいくだろう。

IoT時代のデバイスセキュリティとは

　もう1点、モバイル時代におけるセキュリティで今後トピックになると予想されるのがIoTにおけるセキュリティだ。活動量計やスマートウォッチなどのウェアラブル機器、家庭やオフィス、街中のさまざまな場所に設置されたセンサー機器など、インターネットに接続可能なスマホやタブレット以外のデバイスの数々を、どのように悪意ある第三者の脅威から守るかという考えだ。

　Davis氏は、「ウェアラブル機器については2つのアプローチが考えられる」という。1つ目は、ウェアラブル機器自体を前述したTrue Keyのように認証手段として利用すること。例えばスマホのロックを解除する際、NFCやBluetoothでペアリングした特定のウェアラブル機器が近くにある場合、PINコード入力や顔認証なしでスマホのロックを解除できる。つまり、1対1で接続したデバイスに対して自動的に本人認証ができるというもので、利便性が高く、片方のデバイスが盗まれても個人情報が漏えいするリスクは低い。

　2つ目はウェアラブル機器そのものを保護し、デバイスへのハッキングやデータ漏えいを防ぐこと。アプローチとしては、親会社であるIntelが得意とするチップでのセキュリティ強化を行いつつ、ソフトウェアでもホワイトリスティングなどの手法でアクセス可能なデバイスを制限することが考えられるという。「スマホではTrue Keyなどを導入してユーザーが能動的にデバイスを保護する必要がある一方で、ウェアラブル機器はベンダー側が施すセキュリティ対策の方が重要であり、McAfeeとしてベンダーと協力して必要なセキュリティ対策を事前に行う」とDavis氏は述べる。

　さらにDavis氏は、こうしたIoTのセキュリティにおいても、「IoT側のデバイスよりもスマホのセキュリティが重要になる」と指摘する。IoTではセンサー情報を取得するデバイスそのものはインターネットへ直接つながらず、むしろ重要な情報はスマホを通過してクラウドへと送信されたり、スマホ内部に保存されたりするため、スマホのセキュリティを強化する方が効果が高い。これは家庭やオフィスにおける「インターネットへのゲートウェイを保護する」という考え方に近く、モバイルの場合、これが出入り口となるスマホを保護するというアプローチになっただけだ。

　Davis氏は「2015年に2億台だったこの種のIoTデバイスは今後数年で4億8000万台にまで急増する見込みだ」と予測しており、そうした中でスマホの保護はより重要な意味を持つようになっていく。McAfeeのTrue Keyは、そんなIoT時代におけるモバイルのセキュリティを考える上で、個人と法人のいずれにも有効なソリューションだといえる。

米Intel CEOのBrian Krzanich氏はセキュリティ分野における各社との提携を発表。提携パートナーが多ければ多いほどユーザーの利便性は高まる