ホーム
開発者の憂鬱
技術情報
DotNetNuke
.タブレット端末やスマートフォンのセキュリティ対策
モバイル機器のセキュリティ対策は確かに必要になってきているのだと思うが、そもそものコンセプトが、セキュリティ対策を必要としない事が望まれて、でもやっぱり必要になってきたって事は、それだけ浸透したって事に他ならないのだろう。
でも、そんな事よりも、セキュリティ対策を行う事がどんなに難しいかを考えていく必要がある。
その上で、たぶん家のパソコンよりも重要な情報が多いのがタブレット端末になっていくのだと思う。
家のパソコンに関しては、自分の情報や秘匿情報が多くなっているのだと思うが、移動端末は「自分にかかわる他人の情報」が多くなっている。その意味でも、移動端末の方に注力する必要があるが、それがすこぶる面倒であり、難しいのも事実である。
---
スマートフォンやタブレット端末などのモバイル機器に注目する企業が増えている。PCに比べて薄く、軽いことから、持ち運びに優れている点が特徴だ。移動の機会が多い企業の幹部がモバイル機器を経営情報やメールの確認、稟議の承認といった業務に活用し、営業担当者が顧客へのプレゼンテーションに利用するといったシーンが広がりつつある。特にタブレット型端末は、スマートフォンよりも大きな画面を持つだけに導入を検討する企業が目立つ。
モバイル機器は、業務効率の改善や生産性の向上などのさまざまなメリットを企業に提供することが期待されるが、ビジネスで利用するためにはセキュリティ対策も必須となる。セキュリティの観点からモバイル機器にはどのようなリスクが存在し、講じるべき対策にはどのようなものがあるのだろうか――。
●対策のファーストステップ
タブレット端末やスマートフォンなどのモバイル機器と、PCの大きな違いが所有形態である。PCは企業が購入し、必要な設定を施して従業員に支給するというプロセスが確立されている。だが、モバイル機器はその利便性に注目した従業員が個人で購入し、それをプライベートでも仕事でも利用するという形で広がるケースが多い。セキュリティ対策を講じる際には、従業員が社内に持ち込むモバイル機器の状況を把握するところから始めなくてはならない。
最近では、モバイル機器にも対応したIT資産管理ツールなどが数多く登場し、管理機能をサービスとして提供する事業者もある。機器の把握には、従業員へのヒアリングや申請に基づいてツールに情報を登録する方法や、企業ネットワークにアクセスした端末の情報を基に所有者を確認するといった方法がある。所有者(利用者)と端末の種類(メーカーや型番、OSなど)、インストールされているアプリケーションなどの状況を集約し、ツールで一元的に管理するという具合だ。モバイル機器を企業で一括導入する場合は、PCと同様に管理ツールに情報を登録し、必要な設定を行ってから従業員に支給する手順になる。
モバイル機器が注目される最大の理由は持ち運びが容易な点である。これらの機器はネットワーク接続機能を持ち、どのような場所にいても無線LANや携帯電話網を介してユーザーが必要とする情報やシステムにアクセスできる。マカフィーでセキュリティコンサルタントを務める兜森清忠氏(プロフェッショナルサービス CISSP プロフェッショナル)は、こうした特徴から紛失・盗難対策をまず講じるべきとアドバイスする。
ユーザーがなくした端末を悪意のある人物が取得した場合、端末内に保存した業務情報を悪用されたり、ユーザーになりすまして企業内のシステムに侵入されたりする恐れがある。最優先に保護すべきなのは業務情報のデータであり、紛失や盗難が明らかになればまずデータを削除する。それができない場合は、端末の不正利用させないよう操作ロックなどの措置をとる。
●セキュリティに関する標準機能も多い
タブレット型端末やスマートフォンには、紛失・盗難の対策がOSの標準機能として用意されている場合が多い。
例えば「リモートワイプ」と呼ばれる機能では、管理者や所有者が遠隔操作で端末内のデータを消去できる。管理ツールやサービスで消去のコマンドを端末に送信し、端末がネットワークに接続されている状態ならすぐに削除が実行される。端末がネットワークに接続されていない場合に備えて、サーバに一定期間アクセスがない場合は自動的にデータを消去するといった設定が可能な場合もある。操作ロックの仕組みも基本的にはリモートワイプと同様だ。
最新のPCでもこうした対策を講じることができるが、大半のPCでは専用のソフトウェアやサービスを追加するなどの手間やコストが生じてしまうため、HDDの暗号化といった対策がおなじみである。暗号化機能はモバイル機器でも利用できるが、PCに比べて性能が非力であるために暗号化・復号化に伴う負荷が高く、まだまだ実用的だとは言い難い。
また兜森氏は、社内システムにアクセスする際にはVPN接続の利用を推奨している。アクセスする際の認証方式を堅牢にすれば、第三者によるなりすましのリスクを軽減できる。通信経路における盗聴を防ぐためにも必要だ。特に無線LANでアクセスする場合、アクセスポイントによっては暗号化通信が用意されておらず、解読手法が出回っているWEPしかないといったケースもある。
このほかにも、企業が認めていないアプリケーションや機能を利用させないといった対策も必要になる場合がある。モバイル機器で業務効率を高めることも目的にしていても、ユーザーが勝手にゲームをインストールして業務中に利用していれば、本末転倒と言えよう。前述した管理ツールやサービスの中には、アプリケーションや機能の利用ポリシーを設定して端末に配布する機能を備えているものもある。
現在主流となっているスマートフォンやタブレット端末は、大きく米Appleの製品とAndroid OSを搭載する製品に分かれる。iPhoneやiPadはAppleだけが開発・製造を行うが、後者は多数のメーカーがさまざまな形態の製品を開発・製造している。スマートフォンやタブレット端末のセキュリティ対策では、この違いを把握しておくことも重要だ。
まずiPhoneやiPadに搭載されるiOSは仕様が公開されておらず、Android OSはオープンソースとして公開されている。iOS向けのアプリケーションもAppleが審査を行い、AppStoreで配信する仕組みであるため、OSの脆弱性を突くような不正プログラムによるリスクは小さいとされる。
だが、昨年にはiOSの脆弱性を悪用してユーザー権限を乗っ取り、第三者が端末を不正操作できてしまうという問題が表面化した。これはAppleが端末に実装している制限を解除(通称:Jailbreak)した端末での脅威だが、iOSであっても弱点がないわけではないことが明らかになった。企業でiPhoneやiPadを利用する場合には、従業員が端末をJailbreakしないようにする対策必要だ。
また、iOSのアップデートでは新機能の追加以外にも多数の脆弱性が解決されることが多い。iPhoneやiPadは一定の世代であればアップデートを適用できるため、脆弱性によるリスクを軽減するためにも積極的な適用が望まれる。
一方、Android OSを搭載する製品の種類は、この1?2年で急増した。ユーザーには選択肢が増えるメリットがあるが、OSの基本部分が同じでも細部はメーカーによって大きく異なるため、製品による差異を正確に把握することが難しい。製品によっては、メーカーや通信事業者などが提供するセキュリティ機能や、脆弱性を解消するためのアップデートを利用できない場合がある。
多種多様なAndroid製品の登場と歩調を合わせるように、不正プログラムによる脅威も増している。既に端末に保存された個人情報やアカウント情報を盗み出すものや、端末の不正操作を狙うトロイの木馬の発生が確認され、PCと似たような脅威が台頭しつつある。Android製品では、前述した対策に加えて、ウイルス対策も考慮すべきだろう。兜森氏は、「まだ必須といえる状況ではないが、リスク軽減のためには導入を検討しておいた方が良い」と話している。
モバイル機器のセキュリティ対策は、まだOSを中心としたプラットフォーム環境に大きく左右されるのが現状だ。iOSであれば、Appleによる制限でセキュリティリスクが低く抑えられてはいるものの、対策手段はAppleの提供する方法に依存する。AndroidはiOSよりもセキュリティリスクが高いものの、ユーザーが講じられる手段は幅広い。
将来的に企業では、モバイル機器が異種混在の形で利用されるようになり、セキュリティ対策や端末の管理がさらに複雑化することが想定される。メーカーやサービス事業者は、複数のモバイルOSや製品形態に対応する包括的なセキュリティ機能やツールの開発を進めているところであり、近い日にモバイル機器のセキュリティ対策は、新たな展開を見せることだろう
でも、そんな事よりも、セキュリティ対策を行う事がどんなに難しいかを考えていく必要がある。
その上で、たぶん家のパソコンよりも重要な情報が多いのがタブレット端末になっていくのだと思う。
家のパソコンに関しては、自分の情報や秘匿情報が多くなっているのだと思うが、移動端末は「自分にかかわる他人の情報」が多くなっている。その意味でも、移動端末の方に注力する必要があるが、それがすこぶる面倒であり、難しいのも事実である。
---
スマートフォンやタブレット端末などのモバイル機器に注目する企業が増えている。PCに比べて薄く、軽いことから、持ち運びに優れている点が特徴だ。移動の機会が多い企業の幹部がモバイル機器を経営情報やメールの確認、稟議の承認といった業務に活用し、営業担当者が顧客へのプレゼンテーションに利用するといったシーンが広がりつつある。特にタブレット型端末は、スマートフォンよりも大きな画面を持つだけに導入を検討する企業が目立つ。
モバイル機器は、業務効率の改善や生産性の向上などのさまざまなメリットを企業に提供することが期待されるが、ビジネスで利用するためにはセキュリティ対策も必須となる。セキュリティの観点からモバイル機器にはどのようなリスクが存在し、講じるべき対策にはどのようなものがあるのだろうか――。
●対策のファーストステップ
タブレット端末やスマートフォンなどのモバイル機器と、PCの大きな違いが所有形態である。PCは企業が購入し、必要な設定を施して従業員に支給するというプロセスが確立されている。だが、モバイル機器はその利便性に注目した従業員が個人で購入し、それをプライベートでも仕事でも利用するという形で広がるケースが多い。セキュリティ対策を講じる際には、従業員が社内に持ち込むモバイル機器の状況を把握するところから始めなくてはならない。
最近では、モバイル機器にも対応したIT資産管理ツールなどが数多く登場し、管理機能をサービスとして提供する事業者もある。機器の把握には、従業員へのヒアリングや申請に基づいてツールに情報を登録する方法や、企業ネットワークにアクセスした端末の情報を基に所有者を確認するといった方法がある。所有者(利用者)と端末の種類(メーカーや型番、OSなど)、インストールされているアプリケーションなどの状況を集約し、ツールで一元的に管理するという具合だ。モバイル機器を企業で一括導入する場合は、PCと同様に管理ツールに情報を登録し、必要な設定を行ってから従業員に支給する手順になる。
モバイル機器が注目される最大の理由は持ち運びが容易な点である。これらの機器はネットワーク接続機能を持ち、どのような場所にいても無線LANや携帯電話網を介してユーザーが必要とする情報やシステムにアクセスできる。マカフィーでセキュリティコンサルタントを務める兜森清忠氏(プロフェッショナルサービス CISSP プロフェッショナル)は、こうした特徴から紛失・盗難対策をまず講じるべきとアドバイスする。
ユーザーがなくした端末を悪意のある人物が取得した場合、端末内に保存した業務情報を悪用されたり、ユーザーになりすまして企業内のシステムに侵入されたりする恐れがある。最優先に保護すべきなのは業務情報のデータであり、紛失や盗難が明らかになればまずデータを削除する。それができない場合は、端末の不正利用させないよう操作ロックなどの措置をとる。
●セキュリティに関する標準機能も多い
タブレット型端末やスマートフォンには、紛失・盗難の対策がOSの標準機能として用意されている場合が多い。
例えば「リモートワイプ」と呼ばれる機能では、管理者や所有者が遠隔操作で端末内のデータを消去できる。管理ツールやサービスで消去のコマンドを端末に送信し、端末がネットワークに接続されている状態ならすぐに削除が実行される。端末がネットワークに接続されていない場合に備えて、サーバに一定期間アクセスがない場合は自動的にデータを消去するといった設定が可能な場合もある。操作ロックの仕組みも基本的にはリモートワイプと同様だ。
最新のPCでもこうした対策を講じることができるが、大半のPCでは専用のソフトウェアやサービスを追加するなどの手間やコストが生じてしまうため、HDDの暗号化といった対策がおなじみである。暗号化機能はモバイル機器でも利用できるが、PCに比べて性能が非力であるために暗号化・復号化に伴う負荷が高く、まだまだ実用的だとは言い難い。
また兜森氏は、社内システムにアクセスする際にはVPN接続の利用を推奨している。アクセスする際の認証方式を堅牢にすれば、第三者によるなりすましのリスクを軽減できる。通信経路における盗聴を防ぐためにも必要だ。特に無線LANでアクセスする場合、アクセスポイントによっては暗号化通信が用意されておらず、解読手法が出回っているWEPしかないといったケースもある。
このほかにも、企業が認めていないアプリケーションや機能を利用させないといった対策も必要になる場合がある。モバイル機器で業務効率を高めることも目的にしていても、ユーザーが勝手にゲームをインストールして業務中に利用していれば、本末転倒と言えよう。前述した管理ツールやサービスの中には、アプリケーションや機能の利用ポリシーを設定して端末に配布する機能を備えているものもある。
現在主流となっているスマートフォンやタブレット端末は、大きく米Appleの製品とAndroid OSを搭載する製品に分かれる。iPhoneやiPadはAppleだけが開発・製造を行うが、後者は多数のメーカーがさまざまな形態の製品を開発・製造している。スマートフォンやタブレット端末のセキュリティ対策では、この違いを把握しておくことも重要だ。
まずiPhoneやiPadに搭載されるiOSは仕様が公開されておらず、Android OSはオープンソースとして公開されている。iOS向けのアプリケーションもAppleが審査を行い、AppStoreで配信する仕組みであるため、OSの脆弱性を突くような不正プログラムによるリスクは小さいとされる。
だが、昨年にはiOSの脆弱性を悪用してユーザー権限を乗っ取り、第三者が端末を不正操作できてしまうという問題が表面化した。これはAppleが端末に実装している制限を解除(通称:Jailbreak)した端末での脅威だが、iOSであっても弱点がないわけではないことが明らかになった。企業でiPhoneやiPadを利用する場合には、従業員が端末をJailbreakしないようにする対策必要だ。
また、iOSのアップデートでは新機能の追加以外にも多数の脆弱性が解決されることが多い。iPhoneやiPadは一定の世代であればアップデートを適用できるため、脆弱性によるリスクを軽減するためにも積極的な適用が望まれる。
一方、Android OSを搭載する製品の種類は、この1?2年で急増した。ユーザーには選択肢が増えるメリットがあるが、OSの基本部分が同じでも細部はメーカーによって大きく異なるため、製品による差異を正確に把握することが難しい。製品によっては、メーカーや通信事業者などが提供するセキュリティ機能や、脆弱性を解消するためのアップデートを利用できない場合がある。
多種多様なAndroid製品の登場と歩調を合わせるように、不正プログラムによる脅威も増している。既に端末に保存された個人情報やアカウント情報を盗み出すものや、端末の不正操作を狙うトロイの木馬の発生が確認され、PCと似たような脅威が台頭しつつある。Android製品では、前述した対策に加えて、ウイルス対策も考慮すべきだろう。兜森氏は、「まだ必須といえる状況ではないが、リスク軽減のためには導入を検討しておいた方が良い」と話している。
モバイル機器のセキュリティ対策は、まだOSを中心としたプラットフォーム環境に大きく左右されるのが現状だ。iOSであれば、Appleによる制限でセキュリティリスクが低く抑えられてはいるものの、対策手段はAppleの提供する方法に依存する。AndroidはiOSよりもセキュリティリスクが高いものの、ユーザーが講じられる手段は幅広い。
将来的に企業では、モバイル機器が異種混在の形で利用されるようになり、セキュリティ対策や端末の管理がさらに複雑化することが想定される。メーカーやサービス事業者は、複数のモバイルOSや製品形態に対応する包括的なセキュリティ機能やツールの開発を進めているところであり、近い日にモバイル機器のセキュリティ対策は、新たな展開を見せることだろう
