スマートフォン導入で生じる新たなセキュリティ問題：Column

モバイルマルウェアの最初の大規模発生はもうすぐかもしれないし、数年後かもしれない。いずれにせよ、モバイルセキュリティのための戦略の検討を開始しなければならないのは当然のことだ。

≫ 2007年06月26日 05時00分公開

[Lisa Phifer，TechTarget]

　「Gartner Wireless and Mobile Summit 2007」に参加したアナリストたちは、モバイル・ワイヤレスセキュリティに取り組んでいる企業にとって恐ろしい予測を明らかにした。Gartnerのアナリスト、ジョン・ジラード氏によると、3分の2以上の企業が、モバイルユーザーが非セキュアなサービスに不適切に接続したり、悪質なアプリケーションをダウンロードしたりすることが原因でセキュリティ問題を経験する見込みだという。一方、同じくGartnerのアナリストであるジョン・ペスカトール氏は、2007年にはモバイルマルウェアが一般化し、2009年の前半までには、こういったマルウェアにより実際の業務に支障を来すようになると予測する。だが幸いなことに、これらの攻撃が利用すると思われる脆弱性の多くは特定・対処が可能だ。

身近なモバイルデバイスがターゲットに

　モバイルデバイス（スマートフォンや無線機能付きのPDAなど）は何年も前から普及しているが、マスコミをにぎわすようなセキュリティ事件はほとんど起きていない。ペスカトール氏によると、セキュリティに不備のあるモバイルデバイスが攻撃目標にならなかったのは、モバイルマルウェアの作成者にとって、多様なOSの存在が障害になっていたからだという。「モバイルマルウェアが何例か存在したのは確かだが、その多くは効果がなく、現実的な被害はごくわずかで、広がることもなかった」。ちなみに、McAfeeが200社のモバイル事業者に対して実施した最近の調査によると、83％の企業がモバイルマルウェアの感染被害を受けたが、これらのインシデントが10万台以上のデバイスに影響したのはわずか5件にすぎなかった。

　しかしデバイスと環境の普及、業務システムへのモバイル接続の拡大に伴い、マルウェアによる影響にも変化が起きようとしている。「2007年は、企業がモバイルマルウェアからシステムを防御するためのセキュリティプロセス、アーキテクチャーおよび統制の導入を開始すべき年だ」とペスカトール氏はアドバイスする。「大量のワームやウイルスが現実的な脅威になることはないだろう。モバイルマルウェアは、特定のデバイス、アプリケーション、ビジネスにターゲットを絞ったものになると予想されるからだ。企業の防御戦略は、新たなアプローチを念頭に置いて開発する必要がある」

　モバイルデバイスで用いられるインタフェースも攻撃の媒介物となり得る。ジラード氏は、これまで広範囲にわたるワイヤレス攻撃がほとんどなかったのは、キャリア各社が自社のネットワークのセキュリティを維持していたからだと考えている。「衛星デジタルネットワークや携帯ネットワークでは、双方向の認証と強力な暗号を使用することにより、盗聴、通信の追跡、データや音声ストリームの復号化といった試みを阻止してきた」と同氏は語る。対照的にWi-FiやBluetooth経由の攻撃が増えてきたのは、パッチ未適用のレガシーシステムの脆弱性とエンドユーザーによる設定ミスなどが誘因だという。「スマートフォンにWi-Fiを搭載するというのは、残念ながら従来の過ちが繰り返されることになる可能性を開くものだ」。

増大する脅威を食い止める

　たいていの企業は、Win32マルウェアや無線経由のデータ流出の対策には慣れている。しかし業務用PDAやスマートフォンを防御するための効果的な戦略を策定するには、従来のベストプラクティスと新しいテクニックやツールを組み合わせる必要がある。

ネットワークのセキュリティ

　Win32ベースのノートPCと同様、Wi-Fi／Bluetoothインタフェースを備えたモバイルデバイスはセキュアな構成にしなければならず、WPA2-Enterpriseなどの強力なデータリンクセキュリティオプションを利用する一方で、Bluetoothのディスカバリ機能などの危険なオプションを無効にすべきだ。IEEE 802.1xやWiPS（無線侵入防止システム）などの分野のベストプラクティスを利用すれば、クライアントデバイスの種類にかかわらず、構内でのワイヤレスアクティビティを監視・管理することができる。キャリアの3G携帯ネットワーク、企業の無線LAN、公衆無線LANの間でローミングするデバイスに対して一貫したエンド・ツー・エンドのコミュニケーションセキュリティを課すには、モバイルVPNなどの新しいツールが必要となるだろう。3G携帯ネットワークが実際的かつ経済的な場所であれば、リスクを低減するためにホットスポットよりも3Gをモバイルデバイスで利用する方がいいだろう。また企業は、すべての新しいモバイルビジネスアプリケーションおよびクライアント／サーバインタフェースにセキュリティを組み込むようにすべきだ。

モバイルデバイスのセキュリティ

　モバイルデバイスには、起動時の認証、データの暗号化、バックアップ／リストア、パーソナルファイアウォール、VPN、ウイルス対策など、Win32ノートPCで長い間利用されてきたものと同様のクライアントセキュリティ対策を装備することができる。モバイルOSはまだ発展途上にあるため、モバイルデバイス上で動作するようデザインされたアドオンセキュリティソフトウェアが必要になる場合が多い。ジラード氏の推測によれば、2010年までの間、こういったモバイルセキュリティツールすべてを維持するのに必要な年間コストが、ベーシックなスマートフォンの初期購入コストを上回る見込みだ。企業は短期的には、重要なビジネスプロセスで使用するデバイスに対しては、こういったセキュリティ投資をいとわないだろうが、将来購入するデバイスにはセキュリティ機能を組み込むようベンダーに要求するようになるだろう。しかしペスカトール氏は、「クライアント側のモバイルウイルス対策だけに依存すべきではない」と警告する。「同質性の高いWindowsプラットフォームでも不十分だったのだから、異質なモバイルデバイスが混在する環境ではクライアント側の対策だけでうまくいくわけがない」。

モバイルクライアントのセキュリティ

　モバイルクライアントのセキュリティは、社内のメールサーバやモバイルコミュニケーションサーバ上でのマルウェア除去など、サーバ側の防御によって補完すべきだ。「企業は2007年を通じて、同期サーバやワイヤレスアプリケーションゲートウェイ、外部のワイヤレスネットワークサービスプロバイダーの製品上での悪質コンテンツ対策に注力すべきだ」とペスカトール氏はアドバイスする。また、ファイルアクティビティモニタリング、データアクティビティモニタリング、メッセージングコンテンツフィルタといったサーバ側での対策を利用することにより、社内データのモバイル利用を監視・管理することができる。さらに、ネットワークゲートウェイでNACを使用すれば、従業員が所有するモバイルデバイスだけにアクセスを許可したり、盗まれたデバイスからのネットワークへのアクセスを禁止したりすることが可能だ。こういった各種の対策によって広範な脅威を抑止することができるが、いずれもIT部門の管理下に置かれ、（少なくともある程度は）モバイルユーザーに意識されないようにすることでその効果が発揮されるのだ。IT部門の負担を軽減するために、モバイルセキュリティ業務の一部をキャリアやサードパーティー企業にアウトソースするという手もある。

結論

　今日、ビジネスで使用されるスマートフォンやPDAの多くは、従業員個人で所有しているデバイスだ。多くの企業では、自社のネットワーク、サーバ、データにアクセスしているデバイスの数を把握することさえできず、モバイルマルウェアの大規模発生を阻止するための迅速な対策を講じるには程遠いのが実情だ。モバイルマルウェアの最初の大規模発生はもうすぐかもしれないし、数年後かもしれない。いずれにせよ、モバイルセキュリティのための戦略の検討を開始しなければならないのは当然のことだ。まず、従業員が既に使用しているモバイルデバイスの数を調べることによって、問題の潜在的規模を把握する必要がある。そしてビジネスリスクに応じて、こういった既存の脆弱性を軽減するのに必要な当面の対策を講じること。また、長期的なセキュリティ戦略を確立するまでは、モバイルアプリケーションやモバイルデバイスの配備は控えるべきだ。

本稿筆者のライザ・ファイファー氏は、ネットワークセキュリティ・管理技術を専門とするコンサルティング会社、コアコンピタンスの副社長を務める。同氏は20年余りにわたり、データ通信・インターネットワーキング・セキュリティ・ネットワーク管理製品の設計、導入、評価に携わってきた。各種の業界カンファレンスでワイヤレスLANやVPNなどのテーマについて講演を行っており、広範なIT関連メディアにネットワークインフラやセキュリティ技術に関する記事を寄稿している。