2018年01月19日 05時00分 公開
特集/連載

リスクを明らかにする努力は足りているかモバイルアプリの脆弱性:組織で対策すべき5つのリスクとは

モバイルアプリに関わるリスクには最優先で取り組む必要がある。安全性が確認されていないモバイルアプリの危険性について、専門家が解説する。

[Kevin Beaver,TechTarget]

 企業の情報セキュリティマネージャーに、モバイルアプリに関するリスクへの対処方法について聞いてみると、大抵の場合、MDM(モバイルデバイス管理)とUEM(統合エンドポイント管理)をネットワーク全体にわたってどのように導入しているかという返答を得る。MDMとUEMには有用な幾つかの制御機能が含まれているが、このモバイルアプリの議論は、単にそれだけのものではない。

 従来のネットワークとデバイス層に加えて、モバイルアプリに関連するセキュリティは、モバイルエンドポイントにあるもの全てに関わる、というよりもむしろ、Webアプリケーションやシステム開発ライフサイクルと密接に関連している。それでも、セキュリティリスクを最小限に抑えるために、モバイルアプリは特定のタイプの注意が必要となる実際の業務用アプリケーションではなく、単発のニッチ製品として扱われることが多いようだ。

 情報セキュリティプログラムが持つこの側面を効果的に管理したいのであれば、まずモバイルアプリに関するセキュリティを認識し、その監視体制を構築することだ。その際、社内で開発されたモバイルアプリを全体のリスク管理の取り組みに包含し、開発および品質保証プロセスに統合する必要がある。モバイルアプリの運用をマーケティング会社、オフショア開発者、または他の誰かにアウトソースしている場合、セキュリティ監視は多少なりとも限定的になる場合があるが、そのことで組織が全ての責任から免れるというわけではない。

 いずれの状況においても、いざモバイルアプリのセキュリティを監視対象とするとなれば、セキュリティ要件が満たされていることを確認するために他のコアビジネスシステムに対して実施するのと同じアプローチが必要だ。これには、以下のモバイルアプリを中心に考えたアプローチを含む。

  • セキュリティポリシーと対策基準。これは合意後、文書化され、必要な全ての関係者、特に社内外のデベロッパーと品質保証テスターと共有する。
  • 特定の脅威と確認された、または潜在的な攻撃対象の領域を特定する脅威モデリング。
  • アプリおよびそのアプリに関連するインフラストラクチャとWebサービスに対する脆弱(ぜいじゃく)性診断と侵入テスト。これは、社内チームまたは第三者が実施する。
  • 静的解析によるソースコードレビュー。または、対話型アプリケーションセキュリティテスト。
  • ベンダーマネジメントとモバイルアプリのサプライチェーン内のあらゆる側面に関連するサードパーティーへの監査。これには開発、インフラストラクチャサービスおよびクラウドベンダーを含む。

 上記の各対策が導入されず、他の業務システムと同じレベルの監視が実施されない場合、モバイルアプリはセキュリティ確保のための努力もむなしく、目に見えるセキュリティリスクをもたらす。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news085.jpg

位置情報広告のジオロジック、LINE Venturesなどから総額1億円を調達
ジオロジックは、ジェネシア・ベンチャーズ、LINE Ventures、東急エージェンシーを引受先...

news065.jpg

LINE、サイバーエージェント子会社とチャットに特化した次世代型カスタマーサポート推進で協業
LINEは、サイバーエージェントの連結子会社であるAIメッセンジャーと共同で、チャットに...

news021.jpg

「NPS」の効果を実感、導入企業の8割――IMJ調査
アイ・エム・ジェイ(IMJ)は、「日本企業におけるNPS導入の実態把握調査」の結果を発表...