厳密さが求められるセキュリティ対策の中で、うやむやにされがちなのがモバイルセキュリティだ。実害を招くことがないよう、モバイルセキュリティを適切に強化する手法を考える。
モバイルセキュリティの侵害に備えるため、IT部門はセキュリティインフラについて幾つか重要な疑問を問い掛ける必要がある。
モバイルユーザー、モバイルデータ、モバイルインフラ全体を危険にさらす恐れがあるシナリオはたくさんある。だがモバイルデバイスへの攻撃は、従来のクライアントPCへの攻撃と比べて、耳にする機会は少ない。
これは恐らく、モバイルデバイスのシステムや関連データの可視性が低いことに原因がある。IT部門には、以下のテクノロジーを導入すればモバイル環境は安全だという思い込みがあるためだ。こうしたテクノロジーは、セキュリティについて誤った感覚を植え付ける可能性が高い。
モバイル関連のセキュリティインシデントには、さまざまな形態がある。IT部門は、起こり得るケースを把握しておかなければならない。
モバイルデバイスの盗難や紛失は業務に影響する。中に機密情報を保存していることもあるためだ。攻撃者は「Elcomsoft Mobile Forensic Bundle」などの合法的なフォレンジック(証拠データ復旧)ツールを駆使して、モバイルデバイスの中にあるデータにアクセスできる可能性がある。
ソフトウェア開発ライフサイクルとセキュリティテストの詰めの甘さは、モバイルアプリケーションの脆弱(ぜいじゃく)性を生み出す原因となる。悪意のあるユーザーは、脆弱性を悪用して思うままに悪事を働くことができる。IT部門は、そのことに全く気付かない可能性がある。
モバイルデバイスのアーキテクチャはセキュリティが厳しいため、マルウェアが感染することはあまりない。それでも起こり得るのは確かだ。
通信者同士の間に割り込む「中間者攻撃」を仕掛ける攻撃者は、モバイルデバイスと、モバイルユーザーが使用するサービス間の通信セッションにアクセスして、通信内容の盗聴や改ざんなどをする。中間者攻撃には、不正な無線LANアクセスポイントや、ソフトウェアの脆弱性を突くエクスプロイト(脆弱性攻撃コード)を悪用する。
ハッカーが直接攻撃できる対象として、モバイルデバイスで利用可能なWebアプリケーションやWebサービスがある。このことはモバイルセキュリティにおいて忘れ去られがちな要素だ。モバイルデバイスを取り巻く多様な要素に、目を行き届かせる必要がある。
「既に必要なモバイルセキュリティ対策を取っている」と考えるITプロフェッショナルは少なくない。だが前述の通り、攻撃の手口は複数ある。セキュリティの可視性を十分に確保できている企業がほとんどないことを考えれば、十分な対策が取れている企業は限られる。
IT部門がMDM、EMM、UEMを使用しているなら、それは最初のステップとしては非常に優れている。ただし十分なモバイルセキュリティを実現するには、さらに視野を広げる必要がある。
例えばIT部門は、以下のことを考えなくてはならない。
デジタル広告の不正被害 年間推計1667億円超え
Spider Labsが「2023年アドフラウド調査レポート」を発表しました。
イーデザイン損害保険が「事故のない世界の共創」に向けて構築するデータ基盤
従来の自動車保険の在り方を根本から見直して新たな体験価値の提供に挑むイーデザイン損...
生成AIはGoogle検索をどう変えたのか?(無料eBook)
モダンマーケティングの最新トレンドを無料eBookにまとめてお届けするこのシリーズ。今回...