厳密さが求められるセキュリティ対策の中で、うやむやにされがちなのがモバイルセキュリティだ。実害を招くことがないよう、モバイルセキュリティを適切に強化する手法を考える。
モバイルセキュリティの侵害に備えるため、IT部門はセキュリティインフラについて幾つか重要な疑問を問い掛ける必要がある。
モバイルユーザー、モバイルデータ、モバイルインフラ全体を危険にさらす恐れがあるシナリオはたくさんある。だがモバイルデバイスへの攻撃は、従来のクライアントPCへの攻撃と比べて、耳にする機会は少ない。
これは恐らく、モバイルデバイスのシステムや関連データの可視性が低いことに原因がある。IT部門には、以下のテクノロジーを導入すればモバイル環境は安全だという思い込みがあるためだ。こうしたテクノロジーは、セキュリティについて誤った感覚を植え付ける可能性が高い。
モバイル関連のセキュリティインシデントには、さまざまな形態がある。IT部門は、起こり得るケースを把握しておかなければならない。
モバイルデバイスの盗難や紛失は業務に影響する。中に機密情報を保存していることもあるためだ。攻撃者は「Elcomsoft Mobile Forensic Bundle」などの合法的なフォレンジック(証拠データ復旧)ツールを駆使して、モバイルデバイスの中にあるデータにアクセスできる可能性がある。
ソフトウェア開発ライフサイクルとセキュリティテストの詰めの甘さは、モバイルアプリケーションの脆弱(ぜいじゃく)性を生み出す原因となる。悪意のあるユーザーは、脆弱性を悪用して思うままに悪事を働くことができる。IT部門は、そのことに全く気付かない可能性がある。
モバイルデバイスのアーキテクチャはセキュリティが厳しいため、マルウェアが感染することはあまりない。それでも起こり得るのは確かだ。
通信者同士の間に割り込む「中間者攻撃」を仕掛ける攻撃者は、モバイルデバイスと、モバイルユーザーが使用するサービス間の通信セッションにアクセスして、通信内容の盗聴や改ざんなどをする。中間者攻撃には、不正な無線LANアクセスポイントや、ソフトウェアの脆弱性を突くエクスプロイト(脆弱性攻撃コード)を悪用する。
ハッカーが直接攻撃できる対象として、モバイルデバイスで利用可能なWebアプリケーションやWebサービスがある。このことはモバイルセキュリティにおいて忘れ去られがちな要素だ。モバイルデバイスを取り巻く多様な要素に、目を行き届かせる必要がある。
「既に必要なモバイルセキュリティ対策を取っている」と考えるITプロフェッショナルは少なくない。だが前述の通り、攻撃の手口は複数ある。セキュリティの可視性を十分に確保できている企業がほとんどないことを考えれば、十分な対策が取れている企業は限られる。
IT部門がMDM、EMM、UEMを使用しているなら、それは最初のステップとしては非常に優れている。ただし十分なモバイルセキュリティを実現するには、さらに視野を広げる必要がある。
例えばIT部門は、以下のことを考えなくてはならない。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Hakuhodo DY ONEのDMP「AudienceOne」とTrue Dataが連携 何ができる?
ドラッグストアや食品スーパーマーケットの購買データを活用した精緻なターゲティングや...
転売目的の不正注文を出荷前にAIが判別 売れるネット広告社がD2C事業者向けにツールを提供
売れるネット広告社は、不正注文によるD2C事業者の損失を防ぐ新たなサービスを提供開始し...
GA4の利用状況に関する調査 用途や難易度の実感は?
UNCOVER TRUTHが実施したGA4の利用状況に関する調査を紹介する。