スマートフォン導入で生じる新たなセキュリティ問題Column

モバイルマルウェアの最初の大規模発生はもうすぐかもしれないし、数年後かもしれない。いずれにせよ、モバイルセキュリティのための戦略の検討を開始しなければならないのは当然のことだ。

2007年06月26日 05時00分 公開
[Lisa Phifer,TechTarget]

 「Gartner Wireless and Mobile Summit 2007」に参加したアナリストたちは、モバイル・ワイヤレスセキュリティに取り組んでいる企業にとって恐ろしい予測を明らかにした。Gartnerのアナリスト、ジョン・ジラード氏によると、3分の2以上の企業が、モバイルユーザーが非セキュアなサービスに不適切に接続したり、悪質なアプリケーションをダウンロードしたりすることが原因でセキュリティ問題を経験する見込みだという。一方、同じくGartnerのアナリストであるジョン・ペスカトール氏は、2007年にはモバイルマルウェアが一般化し、2009年の前半までには、こういったマルウェアにより実際の業務に支障を来すようになると予測する。だが幸いなことに、これらの攻撃が利用すると思われる脆弱性の多くは特定・対処が可能だ。

身近なモバイルデバイスがターゲットに

 モバイルデバイス(スマートフォンや無線機能付きのPDAなど)は何年も前から普及しているが、マスコミをにぎわすようなセキュリティ事件はほとんど起きていない。ペスカトール氏によると、セキュリティに不備のあるモバイルデバイスが攻撃目標にならなかったのは、モバイルマルウェアの作成者にとって、多様なOSの存在が障害になっていたからだという。「モバイルマルウェアが何例か存在したのは確かだが、その多くは効果がなく、現実的な被害はごくわずかで、広がることもなかった」。ちなみに、McAfeeが200社のモバイル事業者に対して実施した最近の調査によると、83%の企業がモバイルマルウェアの感染被害を受けたが、これらのインシデントが10万台以上のデバイスに影響したのはわずか5件にすぎなかった。

 しかしデバイスと環境の普及、業務システムへのモバイル接続の拡大に伴い、マルウェアによる影響にも変化が起きようとしている。「2007年は、企業がモバイルマルウェアからシステムを防御するためのセキュリティプロセス、アーキテクチャーおよび統制の導入を開始すべき年だ」とペスカトール氏はアドバイスする。「大量のワームやウイルスが現実的な脅威になることはないだろう。モバイルマルウェアは、特定のデバイス、アプリケーション、ビジネスにターゲットを絞ったものになると予想されるからだ。企業の防御戦略は、新たなアプローチを念頭に置いて開発する必要がある」

 モバイルデバイスで用いられるインタフェースも攻撃の媒介物となり得る。ジラード氏は、これまで広範囲にわたるワイヤレス攻撃がほとんどなかったのは、キャリア各社が自社のネットワークのセキュリティを維持していたからだと考えている。「衛星デジタルネットワークや携帯ネットワークでは、双方向の認証と強力な暗号を使用することにより、盗聴、通信の追跡、データや音声ストリームの復号化といった試みを阻止してきた」と同氏は語る。対照的にWi-FiやBluetooth経由の攻撃が増えてきたのは、パッチ未適用のレガシーシステムの脆弱性とエンドユーザーによる設定ミスなどが誘因だという。「スマートフォンにWi-Fiを搭載するというのは、残念ながら従来の過ちが繰り返されることになる可能性を開くものだ」。

増大する脅威を食い止める

 たいていの企業は、Win32マルウェアや無線経由のデータ流出の対策には慣れている。しかし業務用PDAやスマートフォンを防御するための効果的な戦略を策定するには、従来のベストプラクティスと新しいテクニックやツールを組み合わせる必要がある。

ネットワークのセキュリティ

 Win32ベースのノートPCと同様、Wi-Fi/Bluetoothインタフェースを備えたモバイルデバイスはセキュアな構成にしなければならず、WPA2-Enterpriseなどの強力なデータリンクセキュリティオプションを利用する一方で、Bluetoothのディスカバリ機能などの危険なオプションを無効にすべきだ。IEEE 802.1xやWiPS(無線侵入防止システム)などの分野のベストプラクティスを利用すれば、クライアントデバイスの種類にかかわらず、構内でのワイヤレスアクティビティを監視・管理することができる。キャリアの3G携帯ネットワーク、企業の無線LAN、公衆無線LANの間でローミングするデバイスに対して一貫したエンド・ツー・エンドのコミュニケーションセキュリティを課すには、モバイルVPNなどの新しいツールが必要となるだろう。3G携帯ネットワークが実際的かつ経済的な場所であれば、リスクを低減するためにホットスポットよりも3Gをモバイルデバイスで利用する方がいいだろう。また企業は、すべての新しいモバイルビジネスアプリケーションおよびクライアント/サーバインタフェースにセキュリティを組み込むようにすべきだ。

モバイルデバイスのセキュリティ

 モバイルデバイスには、起動時の認証、データの暗号化、バックアップ/リストア、パーソナルファイアウォール、VPN、ウイルス対策など、Win32ノートPCで長い間利用されてきたものと同様のクライアントセキュリティ対策を装備することができる。モバイルOSはまだ発展途上にあるため、モバイルデバイス上で動作するようデザインされたアドオンセキュリティソフトウェアが必要になる場合が多い。ジラード氏の推測によれば、2010年までの間、こういったモバイルセキュリティツールすべてを維持するのに必要な年間コストが、ベーシックなスマートフォンの初期購入コストを上回る見込みだ。企業は短期的には、重要なビジネスプロセスで使用するデバイスに対しては、こういったセキュリティ投資をいとわないだろうが、将来購入するデバイスにはセキュリティ機能を組み込むようベンダーに要求するようになるだろう。しかしペスカトール氏は、「クライアント側のモバイルウイルス対策だけに依存すべきではない」と警告する。「同質性の高いWindowsプラットフォームでも不十分だったのだから、異質なモバイルデバイスが混在する環境ではクライアント側の対策だけでうまくいくわけがない」。

モバイルクライアントのセキュリティ

 モバイルクライアントのセキュリティは、社内のメールサーバやモバイルコミュニケーションサーバ上でのマルウェア除去など、サーバ側の防御によって補完すべきだ。「企業は2007年を通じて、同期サーバやワイヤレスアプリケーションゲートウェイ、外部のワイヤレスネットワークサービスプロバイダーの製品上での悪質コンテンツ対策に注力すべきだ」とペスカトール氏はアドバイスする。また、ファイルアクティビティモニタリング、データアクティビティモニタリング、メッセージングコンテンツフィルタといったサーバ側での対策を利用することにより、社内データのモバイル利用を監視・管理することができる。さらに、ネットワークゲートウェイでNACを使用すれば、従業員が所有するモバイルデバイスだけにアクセスを許可したり、盗まれたデバイスからのネットワークへのアクセスを禁止したりすることが可能だ。こういった各種の対策によって広範な脅威を抑止することができるが、いずれもIT部門の管理下に置かれ、(少なくともある程度は)モバイルユーザーに意識されないようにすることでその効果が発揮されるのだ。IT部門の負担を軽減するために、モバイルセキュリティ業務の一部をキャリアやサードパーティー企業にアウトソースするという手もある。

結論

 今日、ビジネスで使用されるスマートフォンやPDAの多くは、従業員個人で所有しているデバイスだ。多くの企業では、自社のネットワーク、サーバ、データにアクセスしているデバイスの数を把握することさえできず、モバイルマルウェアの大規模発生を阻止するための迅速な対策を講じるには程遠いのが実情だ。モバイルマルウェアの最初の大規模発生はもうすぐかもしれないし、数年後かもしれない。いずれにせよ、モバイルセキュリティのための戦略の検討を開始しなければならないのは当然のことだ。まず、従業員が既に使用しているモバイルデバイスの数を調べることによって、問題の潜在的規模を把握する必要がある。そしてビジネスリスクに応じて、こういった既存の脆弱性を軽減するのに必要な当面の対策を講じること。また、長期的なセキュリティ戦略を確立するまでは、モバイルアプリケーションやモバイルデバイスの配備は控えるべきだ。

本稿筆者のライザ・ファイファー氏は、ネットワークセキュリティ・管理技術を専門とするコンサルティング会社、コアコンピタンスの副社長を務める。同氏は20年余りにわたり、データ通信・インターネットワーキング・セキュリティ・ネットワーク管理製品の設計、導入、評価に携わってきた。各種の業界カンファレンスでワイヤレスLANやVPNなどのテーマについて講演を行っており、広範なIT関連メディアにネットワークインフラやセキュリティ技術に関する記事を寄稿している。

TechTargetジャパンへのご登録はお済みですか?

「TechTargetジャパン」メンバーシップのご案内

会員登録を行うことで、300点以上の技術資料がそろったホワイトペーパーや興味・関心分野ごとに情報を配信するメールマガジン、ITmediaや@ITの特集記事がPDFでまとまって読める電子ブックレットなど、各種サービスを無料で利用できます。会員登録(無料)はこちらから


Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/09 UPDATE

  1. 縺ゥ繧後□縺代〒縺阪※縺�k�溘€€縺セ縺輔°縺ョ縲後ョ繝シ繧ソ豬∝�縲阪r髦イ縺絶€�11蛟九�隕∫せ窶�
  2. 繧シ繝ュ繝医Λ繧ケ繝医�騾イ蛹也ウサ�溘€€縲後ぞ繝ュ繧ケ繧ソ繝ウ繝�ぅ繝ウ繧ー迚ケ讓ゥ縲搾シ�ZSP�峨→縺ッ菴輔°
  3. Apple繧偵□縺セ縺吮€應ク肴ュ」縺ェiPhone菫ョ逅�€昴�謇句哨縺ィ蜊ア髯コ諤ァ
  4. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮Black Basta縺ョ莨夊ゥア縺梧オ∝�縲€譏弱i縺九↓縺ェ縺」縺滓判謦�€��窶懈悽髻ウ窶�
  5. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  6. 縲窟pp Store縲阪d縲隈oogle Play縲阪〒窶懷些髯コ縺ェ繧「繝励Μ窶昴r隕区・オ繧√k譁ケ豕�
  7. 莠育ョ励d莠コ謇倶ク崎カウ縺ァ繧りォヲ繧√↑縺�€窟I繝ェ繧ケ繧ッ邂。逅�€阪€€2螟ァ繝輔Ξ繝シ繝�繝ッ繝シ繧ッ縺ョ豢サ逕ィ豕輔���
  8. 菫。鬆シ縺励※縺�◆Web繧オ繧、繝医′縺セ縺輔°縺ョ諢滓沒貅撰シ溘€€縲梧ーエ鬟イ縺ソ蝣エ蝙区判謦�€阪�謇句哨縺ィ縺ッ
  9. Android繧ケ繝槭�縺檎、コ縺�7縺、縺ョ窶懷些髯コ縺ェ蜈�€吮€昴→縺ッ�溘€€莉翫☆縺舌d繧九∋縺阪�繝ォ繧ヲ繧ァ繧「蟇セ遲�
  10. 譌・譛ャ縺ァ繧ょッセ遲悶′驕�l繧九€後≠縺ョ萓オ蜈・邨瑚キッ縲阪′諤・蠅冷€補€墓判謦�げ繝ォ繝シ繝励�豢サ蜍募ョ滓�

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。