厳密さが求められるセキュリティ対策の中で、うやむやにされがちなのがモバイルセキュリティだ。実害を招くことがないよう、モバイルセキュリティを適切に強化する手法を考える。
モバイルセキュリティの侵害に備えるため、IT部門はセキュリティインフラについて幾つか重要な疑問を問い掛ける必要がある。
モバイルユーザー、モバイルデータ、モバイルインフラ全体を危険にさらす恐れがあるシナリオはたくさんある。だがモバイルデバイスへの攻撃は、従来のクライアントPCへの攻撃と比べて、耳にする機会は少ない。
これは恐らく、モバイルデバイスのシステムや関連データの可視性が低いことに原因がある。IT部門には、以下のテクノロジーを導入すればモバイル環境は安全だという思い込みがあるためだ。こうしたテクノロジーは、セキュリティについて誤った感覚を植え付ける可能性が高い。
モバイル関連のセキュリティインシデントには、さまざまな形態がある。IT部門は、起こり得るケースを把握しておかなければならない。
モバイルデバイスの盗難や紛失は業務に影響する。中に機密情報を保存していることもあるためだ。攻撃者は「Elcomsoft Mobile Forensic Bundle」などの合法的なフォレンジック(証拠データ復旧)ツールを駆使して、モバイルデバイスの中にあるデータにアクセスできる可能性がある。
ソフトウェア開発ライフサイクルとセキュリティテストの詰めの甘さは、モバイルアプリケーションの脆弱(ぜいじゃく)性を生み出す原因となる。悪意のあるユーザーは、脆弱性を悪用して思うままに悪事を働くことができる。IT部門は、そのことに全く気付かない可能性がある。
モバイルデバイスのアーキテクチャはセキュリティが厳しいため、マルウェアが感染することはあまりない。それでも起こり得るのは確かだ。
通信者同士の間に割り込む「中間者攻撃」を仕掛ける攻撃者は、モバイルデバイスと、モバイルユーザーが使用するサービス間の通信セッションにアクセスして、通信内容の盗聴や改ざんなどをする。中間者攻撃には、不正な無線LANアクセスポイントや、ソフトウェアの脆弱性を突くエクスプロイト(脆弱性攻撃コード)を悪用する。
ハッカーが直接攻撃できる対象として、モバイルデバイスで利用可能なWebアプリケーションやWebサービスがある。このことはモバイルセキュリティにおいて忘れ去られがちな要素だ。モバイルデバイスを取り巻く多様な要素に、目を行き届かせる必要がある。
「既に必要なモバイルセキュリティ対策を取っている」と考えるITプロフェッショナルは少なくない。だが前述の通り、攻撃の手口は複数ある。セキュリティの可視性を十分に確保できている企業がほとんどないことを考えれば、十分な対策が取れている企業は限られる。
IT部門がMDM、EMM、UEMを使用しているなら、それは最初のステップとしては非常に優れている。ただし十分なモバイルセキュリティを実現するには、さらに視野を広げる必要がある。
例えばIT部門は、以下のことを考えなくてはならない。
“AI美女”を広告に起用しない ユニリーバ「Dove」はなぜそう決めたのか
Unilever傘下の美容ケアブランド「Dove」は、「Real Beauty」の20周年を機に、生成AIツー...
有料動画サービス 34歳以下では過半数が利用経験、4割は1日1回以上利用
「ニールセン・ビデオコンテンツ アンド アド レポート 2024」を基に、テレビ画面での動...
2024年のGW予算は横ばい 賃上げよりも物価高と円安の影響が勝る?――インテージ調査
インテージが全国の15歳から79歳の男女を対象に実施したゴールデンウイークに関する調査...