モバイルセキュリティを危険にする「MDM」「EMM」「UEM」依存：主要なモバイル攻撃の種類と対策を整理

厳密さが求められるセキュリティ対策の中で、うやむやにされがちなのがモバイルセキュリティだ。実害を招くことがないよう、モバイルセキュリティを適切に強化する手法を考える。

[Kevin Beaver，TechTarget]

　モバイルセキュリティの侵害に備えるため、IT部門はセキュリティインフラについて幾つか重要な疑問を問い掛ける必要がある。

　モバイルユーザー、モバイルデータ、モバイルインフラ全体を危険にさらす恐れがあるシナリオはたくさんある。だがモバイルデバイスへの攻撃は、従来のクライアントPCへの攻撃と比べて、耳にする機会は少ない。

　これは恐らく、モバイルデバイスのシステムや関連データの可視性が低いことに原因がある。IT部門には、以下のテクノロジーを導入すればモバイル環境は安全だという思い込みがあるためだ。こうしたテクノロジーは、セキュリティについて誤った感覚を植え付ける可能性が高い。

• モバイルデバイス管理（MDM）
  • 大量のモバイルデバイスを一元管理
• エンタープライズモビリティー管理（EMM）
  • モバイルデバイスに加えてアプリケーションやコンテンツ管理まで網羅
• 統合エンドポイント管理（UEM）
  • モバイルデバイスだけでなく多様なデバイスの管理が可能

併せて読みたいお薦め記事

「EMM」とは何か

• 今更聞けない「MDM」「MAM」「MIM」の違いとは？　EMMの3大要素を比較
• 背筋が凍る「パケ死」を防げ　業務用スマホ管理に不可欠な「EMM」の基礎知識
• 徹底比較：「エンタープライズモビリティー管理」（EMM）主要6製品の特徴は？

「モバイルセキュリティ」についてもっと詳しく

• 企業向けモバイルセキュリティ、最新動向に乗り遅れないための5つのポイント
• パスワード管理だけでは不安で仕方ない　今、モバイルセキュリティに必要な要素とは

モバイル攻撃の種類

　モバイル関連のセキュリティインシデントには、さまざまな形態がある。IT部門は、起こり得るケースを把握しておかなければならない。

盗難・紛失

　モバイルデバイスの盗難や紛失は業務に影響する。中に機密情報を保存していることもあるためだ。攻撃者は「Elcomsoft Mobile Forensic Bundle」などの合法的なフォレンジック（証拠データ復旧）ツールを駆使して、モバイルデバイスの中にあるデータにアクセスできる可能性がある。

モバイルアプリケーションの脆弱性

　ソフトウェア開発ライフサイクルとセキュリティテストの詰めの甘さは、モバイルアプリケーションの脆弱（ぜいじゃく）性を生み出す原因となる。悪意のあるユーザーは、脆弱性を悪用して思うままに悪事を働くことができる。IT部門は、そのことに全く気付かない可能性がある。

マルウェアの感染

　モバイルデバイスのアーキテクチャはセキュリティが厳しいため、マルウェアが感染することはあまりない。それでも起こり得るのは確かだ。

中間者攻撃

　通信者同士の間に割り込む「中間者攻撃」を仕掛ける攻撃者は、モバイルデバイスと、モバイルユーザーが使用するサービス間の通信セッションにアクセスして、通信内容の盗聴や改ざんなどをする。中間者攻撃には、不正な無線LANアクセスポイントや、ソフトウェアの脆弱性を突くエクスプロイト（脆弱性攻撃コード）を悪用する。

WebアプリケーションやWebサービスへの攻撃

　ハッカーが直接攻撃できる対象として、モバイルデバイスで利用可能なWebアプリケーションやWebサービスがある。このことはモバイルセキュリティにおいて忘れ去られがちな要素だ。モバイルデバイスを取り巻く多様な要素に、目を行き届かせる必要がある。

MDM、EMM、UEMは「最初のステップ」にすぎない

　「既に必要なモバイルセキュリティ対策を取っている」と考えるITプロフェッショナルは少なくない。だが前述の通り、攻撃の手口は複数ある。セキュリティの可視性を十分に確保できている企業がほとんどないことを考えれば、十分な対策が取れている企業は限られる。

　IT部門がMDM、EMM、UEMを使用しているなら、それは最初のステップとしては非常に優れている。ただし十分なモバイルセキュリティを実現するには、さらに視野を広げる必要がある。

　例えばIT部門は、以下のことを考えなくてはならない。