モバイルアプリの脆弱性:組織で対策すべき5つのリスクとはリスクを明らかにする努力は足りているか

モバイルアプリに関わるリスクには最優先で取り組む必要がある。安全性が確認されていないモバイルアプリの危険性について、専門家が解説する。

2018年01月19日 05時00分 公開
[Kevin BeaverTechTarget]

 企業の情報セキュリティマネージャーに、モバイルアプリに関するリスクへの対処方法について聞いてみると、大抵の場合、MDM(モバイルデバイス管理)とUEM(統合エンドポイント管理)をネットワーク全体にわたってどのように導入しているかという返答を得る。MDMとUEMには有用な幾つかの制御機能が含まれているが、このモバイルアプリの議論は、単にそれだけのものではない。

 従来のネットワークとデバイス層に加えて、モバイルアプリに関連するセキュリティは、モバイルエンドポイントにあるもの全てに関わる、というよりもむしろ、Webアプリケーションやシステム開発ライフサイクルと密接に関連している。それでも、セキュリティリスクを最小限に抑えるために、モバイルアプリは特定のタイプの注意が必要となる実際の業務用アプリケーションではなく、単発のニッチ製品として扱われることが多いようだ。

 情報セキュリティプログラムが持つこの側面を効果的に管理したいのであれば、まずモバイルアプリに関するセキュリティを認識し、その監視体制を構築することだ。その際、社内で開発されたモバイルアプリを全体のリスク管理の取り組みに包含し、開発および品質保証プロセスに統合する必要がある。モバイルアプリの運用をマーケティング会社、オフショア開発者、または他の誰かにアウトソースしている場合、セキュリティ監視は多少なりとも限定的になる場合があるが、そのことで組織が全ての責任から免れるというわけではない。

 いずれの状況においても、いざモバイルアプリのセキュリティを監視対象とするとなれば、セキュリティ要件が満たされていることを確認するために他のコアビジネスシステムに対して実施するのと同じアプローチが必要だ。これには、以下のモバイルアプリを中心に考えたアプローチを含む。

  • セキュリティポリシーと対策基準。これは合意後、文書化され、必要な全ての関係者、特に社内外のデベロッパーと品質保証テスターと共有する。
  • 特定の脅威と確認された、または潜在的な攻撃対象の領域を特定する脅威モデリング。
  • アプリおよびそのアプリに関連するインフラストラクチャとWebサービスに対する脆弱(ぜいじゃく)性診断と侵入テスト。これは、社内チームまたは第三者が実施する。
  • 静的解析によるソースコードレビュー。または、対話型アプリケーションセキュリティテスト。
  • ベンダーマネジメントとモバイルアプリのサプライチェーン内のあらゆる側面に関連するサードパーティーへの監査。これには開発、インフラストラクチャサービスおよびクラウドベンダーを含む。

 上記の各対策が導入されず、他の業務システムと同じレベルの監視が実施されない場合、モバイルアプリはセキュリティ確保のための努力もむなしく、目に見えるセキュリティリスクをもたらす。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 ジオテクノロジーズ株式会社

6つのユースケースから学ぶ、「人流データ」の効果的な活用方法

広告や小売、観光振興、まちづくりなど、さまざまな領域で導入が進む「人流データ」。その活用でどのような施策が可能になり、どのような効果が期待できるのか。人流データ活用の6つのユースケースを紹介する。

製品資料 ジオテクノロジーズ株式会社

基礎から解説:「人流データ」の特徴から活用におけるポイントまで

人の動きを可視化した「人流データ」。屋外広告の効果測定や出店計画、まちづくりや観光振興など幅広い領域で活用されている。その特徴を確認しながら、価値のある分析・活用につなげるためのポイントを解説する。

事例 アルテリックス・ジャパン合同会社

地図情報によるデータ分析作業を効率化、ゼンリングループ企業はどう実現した?

多くの企業でデータ活用が模索されているが、データ処理の煩雑さや属人化が課題となっている企業は少なくない。そこで注目したいのが、データ分析ツールの活用で課題を一掃した「ゼンリンマーケティングソリューションズ」の取り組みだ。

製品資料 サイオステクノロジー株式会社

ITインフラの自動化を実現、いま注目のクラウド型マネージドサービスの実力

複雑化を続けるITシステムの運用管理は、企業にとって大きな負担だ。そこで負担を軽減するものとして注目したいのが、クラウド上でさまざまな機能を利用できるマネージドサービスだ。本資料では、その詳細を解説する。

事例 プリサイスリー・ソフトウェア株式会社

SAPデータの処理時間を4分の1に短縮、ロクシタンはどうやって実現した?

SAP ERPを活用して、事業部門のデータ作成/変更を行っているロクシタンでは、マスターデータ管理の煩雑さに伴う、処理時間の長さが課題となっていた。これを解消し、SAPデータの処理時間を4分の1に短縮した方法とは?

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...