Android独特のセキュリティ課題【前編】Android端末はなぜ危険か
BlackBerryやiPhoneとは異なり、AndroidのセキュリティレベルはOSのバージョンや各端末のメーカー、モデルの仕様によってバラつきがある。
米GoogleのAndroidを搭載したスマートフォンとタブレット端末には、セキュリティ上の課題がある。本稿では、会社が支給する端末か従業員の私物のAndroid端末かを問わず、大企業および中堅・中小企業(SMB)におけるAndroid搭載端末のセキュリティ対策について主なポイントを解説する。
Androidネイティブの管理機能とセキュリティ機能を理解する
Android搭載端末ユーザーは、その管理機能とセキュリティ機能を理解する必要がある。
IT部門に好まれるカナダのResearch In Motion製BlackBerryや米AppleのiPhoneに搭載されているiOSと異なり、Androidにはネイティブの端末管理機能が存在しない。ユーザーは個人のGoogleアカウントを設定して連絡先や予定表を同期し、アプリケーションはAndroid Marketから購入しなければならない。購入したアプリは無線でインストールされる。Androidのアップデートは端末を販売している携帯電話事業者が無線で配信するが、更新されるOSのレベルや機能は各端末のメーカーやモデルの仕様によって異なることもある。
しかし企業のIT部門がAndroid端末の遠隔制御を実行することは可能だ。Android 2.2(コードネーム:Froyo)で加わった「Android Device Administration API」では、セキュリティ属性の読み込みと書き込みのためのコードをサードパーティーの開発者が作成できる。Androidのネイティブ電子メールクライアントでは、このAPIを使ってExchange Active Syncポリシーの強制(例えば暗証番号またはパスワードの必須化、遠隔操作による消去の実行など)を実現している。会社の電子メール、連絡先、予定表も、Androidネイティブまたはサードパーティーのアプリを使ってExchangeと同期できる。
Android 2.2では、限定的ながらソフトウェア開発者がこのAPIを使って以下の機能を利用できる。
- パスワードの有効化
- パスワードの最低文字数設定
- 英数字のパスワード必須化
- パスワードの間違いが許される回数の設定
- 一定時間使わなかった場合にロックをかける時間の設定
- 新しいパスワードの設定指示
- 端末のロック指示
- 端末内容の消去(例えば端末はリセットして工場出荷時の状態に戻すがSDカードは消去しないなど)
Android 3.0(コードネーム:Honeycomb)はタブレット端末の「XOOM」に搭載され、年内に他のタブレット端末にも採用される予定だが、このバージョンはスマートフォンには搭載されない見込みだ。このバージョンでは、暗号化されたストレージ、パスワードの失効、パスワード履歴、パスワードの複雑さを管理できる機能が加わった。さらにSamsungやMotorolaなどのメーカーは、独自のAPIを付加してインストール認証やアプリケーションのブラックリスト掲載といった管理機能とセキュリティ機能を実現し、価値を高めている。
後編では、上記で紹介したAndroidのネイティブセキュリティ機能を利用して企業が取れるセキュリティ対策を紹介する。
本稿筆者の本稿筆者のリサ・ファイファー氏は新興ネットワーク技術、セキュリティ技術のビジネス利用を専門とするコンサルティング企業Core Competenceの社長兼共同CEO。27年以上にわたってネットワークの設計、導入、テストを手掛けた経験をもとに、脆弱性検証、製品評価からユーザー教育、ホワイトペーパー作成に至るまでさまざまなサービスを提供している。
この記事を読んだ人にお薦めのホワイトペーパー
この記事を読んだ人にお薦めの関連記事
ITmediaはアイティメディア株式会社の登録商標です。