モバイルセキュリティ対策の5つの誤り：甘く見るのは禁物

会社として認めていようがいまいが、ノートPCやスマートフォンなどのモバイル機器が社内に入り込んできている。事故が発生する前に、モバイルセキュリティ侵害の防止策を講じるべきだ。

[Kevin Beaver，TechTarget]

　モバイルシステムがビジネスリスクをもたらすことはほとんどの人が認識している。一部のネットワーク管理者はこの認識から、モバイルコンピューティングを全面的に禁止している。ノートPCはダメ、無線ネットワークもダメ、スマートフォンもダメ、何でもダメというわけだ。一方、多くのネットワーク管理者はモビリティを公認して非常に緩やかな管理を行っており、モビリティは従業員の「権利」にまでなっている。これらは、「セキュリティと利便性の両立」というおなじみの課題への両極端なアプローチだが、どちらもよく見掛ける。あなたのモビリティサポートのやり方はどちらかだろうか。あるいは、その中間のどこかに当てはまるだろうか。いずれにしてもモバイルセキュリティ上の問題を抱えているのはほぼ確実だ。

　以下に、モバイルセキュリティ対策の重大な誤りとわたしが考えていることを5つ挙げる。これらは得てして陥りやすい誤りであり、対策を進めるためには克服しなければならない。

1. 何がリスクにさらされているかをきちんと理解していない

　ほとんどの従業員や経営者は、セキュリティに不備がある場合に何を失う恐れがあるかをよく考えていない。それが特に顕著なのは、モバイルデバイスの物理セキュリティ管理が甘い場合についてだ。端的に言えば、人々はビジネス資産の価値評価や、脅威と脆弱性への対処を十分真剣に行っていないということだ。しかも、多くの人は自分たちがどのような情報を持っているか、それがどこに置かれているか、さらには、それにどれだけの価値があるかを知らずにいる。これは大抵の場合、経営陣がプライバシー／セキュリティ文化を浸透させていないことに起因している。このことはセキュリティ上のミスや不正な侵害を招き、ビジネスに悪影響を及ぼすことが多い。

2. 複雑さを十分に考慮していない

　モバイルセキュリティは簡単に確保できると思い込みやすい。つまり、無線トラフィックとノートPCのHDDを暗号化するだけで事足りると思うわけだ。しかし、なかなかそうはいかない。まず、暗号化をどのように、いつ利用するかが肝心だ。わたしは、ネットワーク管理者がこの種の管理対策をまったく間違った方法で行っているケースを何度も見聞きしている。その名目は多くの場合、「ユーザーの便宜のために処理を迅速に行う」というものだ。また、非構造化ファイルがノートPCやスマートフォンに散在しているという問題もある。これらはどこででも使えるため、機密情報を狙う攻撃の対象となる範囲が文字通り無限に広がることになる。

　物理的な管理が不十分な場合、不正利用の防止や調査は非常に難しい。そしてもう1つ強調したいのは、ポリシーと人の問題、つまり、モバイルシステムを安全に保つために必要なセキュリティポリシー、プロセス、ユーザーの積極的な関与の問題が軽視されていることだ。モバイルセキュリティにおけるこうした広い意味でのソフトウェアの側面は、複雑で一筋縄ではいかない。甘く見るのは禁物だ。

3. 人を信用し過ぎている

　人に関して言えば、IT担当者や上級経営幹部の多くは、従業員や外部契約者、そのほかの訪問者を信用し過ぎている。彼らは、オンラインとオフラインの両方でモバイルデバイスに関する多くの特権を与えられていることが多い。だが、彼らがそれらをどのように使っているかを実は誰も知らない。IT担当者はこうしたユーザーが適切に行動し、モバイルセキュリティの弱点をカバーすることを当てにしがちだ。しかし、そうは問屋がおろさない。ほかに考えることが山ほどある人は、なかなかそこまで頭が回らないからだ。

4. 技術を有効活用していない

　経営層を中心に、情報の安全確保をポリシーに頼り過ぎる傾向が強い。これは、「ポリシーがあれば何事にも安全と安心が保証される」という思い込みから来ている。だが、ポリシーはあくまでポリシーにすぎない。技術や機能がそのポリシーを実現するのだ。ほとんどのコンピュータやスマートフォン、無線LANシステムは、無料で利用できるセキュリティ機能を豊富に備えている。電源投入時パスワードからWindows VistaのBitLockerドライブ暗号化まで、また、WPAによる暗号化からMicrosoft PPTP VPNまで、さまざまな無料のソリューションが存在する。重要なのは、それらを使うことだ。必要な機能があらかじめ用意されていなくても、モバイルシステムを安全に保つためのソリューションを、効果の割に手ごろな価格で入手できる。

5. 攻撃者の視点を取り入れていない

　最も憂慮すべき重大な問題の1つは、モバイルシステム（無線LANを含む）の多くで攻撃テストが適切に実施されていないことだ。実際、モバイルシステムはセキュリティ評価の対象外となっていることが多い。ファイアウォール、OS、Webアプリケーション、データベースについてはしっかりチェックするが、モバイルシステムは放っておく傾向がある。基本的なセキュリティ管理の仕組みが実装されているからだ。また、モバイルシステムについて実施されているテストも、多くの場合は既知のチェック項目を検査するにとどまる。倫理的ハッキングによる徹底的なテストを通じて、どのセキュリティ対策が迂回される可能性があるか、どのセキュリティ上の弱点が悪用される可能性があるかを特定する作業は行われていない。真の問題を発見するには、悪意ある攻撃者の視点からモバイルシステムをとらえ、優れたツールを使ってテストを行うことが不可欠だ。

　モバイルセキュリティ上の問題はなくなっていない。経営陣がモビリティを推奨しているかどうかにかかわらず、この問題は何らかの形で発生しているはずだ。モバイルセキュリティのほとんどの弱点は目につかず、忘れられている。だが、ご用心。それらは依然として存在している。

　せんじ詰めると、2つの選択肢がある。

1. モバイルセキュリティ侵害の防止策を講じる
2. 侵害が発生してから対応する

　わたしの知る限りでは、前者の方が後者よりはるかに簡単で安上がりだ。モバイルセキュリティを最優先課題に位置付け、その弱点を明らかにする取り組みを始めよう。その積み重ねにより、必要な管理を実現できるようになる。

本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。情報セキュリティに関する6冊の著書および共著書がある。例えば、「Hacking For Dummies」、「Hacking Wireless Networks For Dummies」（以上Wiley刊）、「The Practical Guide to HIPAA Privacy and Security Compliance」（Auerbach刊）など。また、IT担当者が外出先でもセキュリティを学習できるオーディオプログラムセット「Security on Wheels」も制作、提供している。

関連ホワイトペーパー

セキュリティ対策 | Windows Mobile