問題だらけのAndroidセキュリティ、そもそも何がダメなのか?専門家が企業のAndroid導入に警鐘

セキュリティイベントで必ず話題になるAndroidのセキュリティ問題。Siemens CERTのスプライツェンバース氏は、数あるAndroidの問題を列挙しつつ、「管理用APIの欠如」を指摘した。

2015年12月15日 08時00分 公開
[Warwick AshfordComputer Weekly]

 「『Android』は最先端のモバイルOSだが、企業が導入する場合は考慮すべき重要な点が幾つかある」とモバイルフォレンジックの専門家は指摘する。

 スマートフォンやタブレットはビジネスに欠かせない存在になったが、Android端末を導入する企業は注意が必要だと話すのは、独Siemens CERT(Cyber Emergency Readiness Team)のチームリーダー兼ITセキュリティコンサルタントを務めるミハエル・スプライツェンバース氏。

 「2015年前半の9カ月で報告されたAndroidに関するセキュリティの脆弱(ぜいじゃく)性は約300件に上る。また、150のアプリをテストしたところ、200件以上の脆弱性が見つかった。企業は、Androidを導入するメリットだけでなく、リスクにも目を向ける必要がある」と、スプライツェンバース氏は独ミュンヘンで開催された(ISC)2 Security Congress, Europe, the Middle-East and Africa 2015で注意を促した。

 企業がAndroidを導入する最大のメリットは、端末、アクセサリー、アプリが競合OSのそれよりも概して安価であることと、あらゆるユースケースに対応する何百万ものアプリが「Google Play Store」で公開されていることだ。

 「Androidを採用することで、企業は大幅なコスト削減を実現できる。自社のビジネスニーズに合わせて独自のアプリを開発する必要はなく、しかもGoogle Play Storeのアプリの大半は無料だ」と同氏は話す。

 だが、端末メーカーの多くが自社端末のセキュリティ脆弱性について説明していないこと、パッチの適用が不十分なこと、セキュリティアドバイザリーをほとんど利用できないこと、Android端末の87%が1つ以上の攻撃に対して脆弱だという調査結果があることなどを企業は意識する必要があると同氏は指摘する。

 「米Googleはパッチを迅速かつ熱心に提供しているが、端末メーカーの多くはメディアの強い圧力がなければパッチを適用しない傾向がある。各社が端末に使用している全てのAndroidを更新するには時間も費用も掛かる。さらに、サービスプロバイダーが各パッチを承認し、場合によっては修正することも必要になる」とスプライツェンバース氏は話す。

 結果として、セキュリティアップデートが配布、適用されるまでに数週間〜数カ月、場合によっては数年かかることもある。

 また、端末メーカーは、セキュリティの脆弱性が報告されても対応が遅れがちだという。同氏は、複数の端末に影響する深刻な脆弱性が報告されてから、セキュリティパッチがリリースされるまで1年近くかかった例を引用して説明した。

 さらに同氏は、Android端末を使用する企業にとって、セキュリティ上のもう1つの大きな課題を挙げた。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news167.jpg

企業の生成AI活用 なぜ日本は米国に追い抜かれたのか?
PwC Japanグループは日米両国で実施した「生成AIに関する実態調査」を基に、日本企業と米...

news012.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年10月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news167.jpg

堀江貴文氏のラジオ局と業務提携 売れるネット広告社がマス媒体に進出
売れるネット広告社は、実業家の堀江貴文氏が代表取締役会長を務める福岡県のラジオ局CRO...