検索
特集/連載

Android端末のリスク対策は段階的導入が現実的セキュリティベンダーが語るモバイル戦略:エフセキュア編

スマートフォンのセキュリティリスクで例に挙げられることの多いAndroid。リスクを理解し整理することで、企業ユースに適した端末導入を実現できる。Androidのリスクと対策について、エフセキュアに現状を聞く。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

OSと端末に依存したどうにもならないリスク

 2010年末以降、Android端末市場は携帯端末ベンダー各社による新機種投入によって一気に拡大した。

 調査会社IDC Japanの2011年3月付プレスリリースによると、2010年第4四半期におけるAndroid端末の国内出荷実績は150万台以上を記録したという。

 小型化、高デザイン性、多彩なカラーバリエーション、防水性を含む付加価値など、携帯電話(非スマートフォン)の選定要素を積極的に取り込んできた新Android端末は、幅広い層の興味を引いた。調査会社コムスコア・ジャパンが2011年6月に発表した調査結果によると、2010年9月の国内のAndroid端末ユーザー総数は84万1000人だったが、2010年12月には217万4000人に、2011年3月には460万1000人まで急増した。2011年3月時点のiOSユーザー数390万6000人を追い抜く勢いで、確実にシェアを伸ばしている。Android端末が私物または会社支給の端末として企業システムに入り込んでくるのは、時間の問題といってよいだろう。

 その一方で、Android端末はiOS端末と比べてリスク要素が多い。だからといって、全面使用禁止も現実的ではない。クラウド経由でのデータ共有や連携など、利便性を知ったユーザーから端末を取り上げるのは(私物であればなおさら)困難だ。それに、生産性や市場機敏性の向上など、ビジネス上のメリットをつぶすのももったいない。危ないからと排除するのではなく、リスクを正しく理解し、最適なポリシーで制御する方が進化に期待できる。

 では、Android端末にはどのようなリスクがあるのだろうか。リスクは大きく2つに分けられる。1つは、OSや端末依存の問題。もう1つは個人使用がメインであるが故の落とし穴だ。

 前者の課題は、制御する側にとって悩ましい問題だ。例えば、SSL証明書の表示問題がある。「Android OS 2.2以前のバージョンでは、あるWebサイトにアクセスしたとき、他の連携サイトの情報を読み込む際に、その連携サイトのSSL証明書を表示する脆弱性がある。閲覧中のサイトが安全でなくても、他サイトを利用して安全であるかのように見せかけられる」。エフセキュア プロダクトグループ部長 八木沼与志勝氏はそう指摘する。

写真
エフセキュア プロダクトグループ部長 八木沼与志勝氏

 また、Android OS 2.1および2.2では、Android標準ブラウザのエンジンであるWebKit(レンダリングエンジン)の脆弱性により、不正なJavaScriptを含むWebサイトを閲覧すると、SDカード内のデータが外部へアップロードされてしまう問題がある。これは2.3.4で修正されているが、それ以前のバージョンであればJavaScriptを無効化するか、サードパーティー製ブラウザを使用するしかない。

 こうした問題の解決は、OS側の対応と端末ベンダーの新OS対応に頼らざるを得ない。「管理者が100%コントロールできない側面があり、それがAndroidの現状だ」(八木沼氏)

 さらに突然の仕様変更などで、せっかく作り込んだアプリケーションのセキュリティ機能も新バージョンでは使えなくなるといった悲劇もある。セキュリティ業界含め、Android対応が後追いになるのはこうした事情もあると八木沼氏は吐露する。

個人所有だからこそのリスク

 次にもう1つの課題である、個人所有であるがためのリスク。これには、ウイルスマルウェア以外の大きな問題として、次の2つが挙げられる。

  • root化問題
  • Googleアカウントとの連携問題

 Androidのroot化アプリは多数存在し、代表的なものにGingerBreakがある。通常のユーザー権限では触れない設定を操作できるroot化アプリはレビュー記事も多く、裏技ツール感覚でインストールするユーザーもいる。しかし、root化された端末を悪用するマルウェアに感染すれば、あらゆる情報が根こそぎ奪われる。しかも、「root化された端末に入ったマルウェアは、ユーザー権限でインストールされるセキュリティアプリでは駆除できない」(八木沼氏)。

 Googleアカウントとの連携も問題だ。Androidマーケット上のアプリをダウンロードするには、まずGoogleアカウントを作成し、ログインする必要がある。このアカウントはGmailと共通で、これさえあればWeb版のAndroidマーケットからもアプリを購入できる。購入したアプリは端末へとプッシュ配信される。

 つまり、Googleアカウントをハッキングすれば、有料アプリやウイルス付きアプリを端末に押し込むことが可能になる。

 「端末を会社支給にしても、個人のGoogleアカウントでログインできる。さらに、アカウントとの同期やアプリ配信をデフォルトでブロックできないため、ハックされればウイルス感染アプリを送り込まれるリスクが生まれる」(八木沼氏)。個人設定のパスワードは簡素になりがちで、定期的に変更されている可能性も低いのも、さらにリスクを上昇させる。

 では、ウイルス対策ソフトを強制的にインストールすればよいかというと、そう簡単にはいかない。私物端末への提供がウイルス対策製品のライセンス上、許可されているかどうかによるからだ。

セキュリティ全体としてAndroid端末を制御する

 以上の問題を解決し、企業が会社支給、個人所有のスマートフォンとうまく付き合っていくには「個人に持たせた端末は私的に使われることを理解し、その上で企業として保護するためのルール作りをしたい」と八木沼氏は提案する。「その際のポイントは、ウイルス対策だけではなく、セキュリティ全体を俯瞰したルール作りが重要だ」。

 エフセキュアは、包括的なスマートフォンセキュリティ対策の実践を支えるソリューションを提供している。Android端末向け「エフセキュア モバイル セキュリティ for Android」(画面1)と、管理ポータルをセットにした企業向け「エフセキュア モバイル セキュリティ ビジネス」だ。

画面1
「エフセキュア モバイル セキュリティ ビジネス」イメージ画像:端末にインストールするアプリケーションの起動画面(提供:エフセキュア)

 エフセキュア モバイル セキュリティ for Androidは、Android OS 2.1以上の各種端末に対して、主に下記の機能を提供する。

  • ウイルス/スパイウェア対策
  • 自動/手動スキャン
  • 紛失・盗難対策(リモートロックやリモートワイプ、Anti-Exitなど)
  • ブラウザ保護(不正サイトへのアクセス防止など)
  • ペアレンタルコントロール
  • 定義ファイルの自動更新

 画像 画像 スキャン選択画面とブラウザ保護画面イメージ(提供:エフセキュア)

 エフセキュア モバイル セキュリティ ビジネスは、上記のペアレンタルコントロール機能以外の全てと、管理端末のサービス状況やサブスクリプション管理などを一元的に提供する管理ポータルを利用できる。「もっとも、業務と関係のないWebサイトにアクセスさせたくないからペアレンタルコントロール機能を実装したいと言われることもある。現在、ビジネス向けのフィルタリング機能を実装できないか検討中」と、プロバイダー営業部 シニア・サービス・マネージャー 中村多希氏は付け加える。

写真2
エフセキュア プロバイダー営業部 シニア・サービス・マネージャー 中村多希氏

 エフセキュア モバイル セキュリティ ビジネスは、必要十分なセキュリティ機能に加えて、MDM(モバイルデバイス管理)の機能をポータルから利用できる。「管理サーバを立てる必要がなく、可用性含めてエフセキュアに任せられる点も評価いただいている」(中村氏)。ポータルへのユーザー情報登録は、CSVによる一括登録と、SMSのダウンロードリンクなどでの個別登録に対応する。

 その他、同製品はサービス事業者向けの「エフセキュア プロテクション サービス モバイル」としても提供している。提供機能はサービス事業者側で取捨選択できる。

 中村氏によると、「引き合いは8月に落ち着いてから、現在再び増加している。春の時点では検討中だった企業が本格的に動き出したと見ている」という。

 こうした動きに呼応し、同製品では2011年秋に早くも幾つかアップデートを予定している。

 個人向け製品については、個人用のポータルを用意し、ユーザー自身でロックやワイプ、位置情報の取得などが行えるようにする。この他、2011年末にはバックアップ機能を、2012年にはシンクアプリ(データをクラウドにシンク保存して、ブラウザからアクセスするための機能)、アプリ制御機能などの提供も予定している。

 アプリ制御機能は、SNSアプリ(SNSやTwitterなど各種サービスをエミュレーションするクライアント)を事前にブラックリストやホワイトリスト登録することで制御できる。SNSアプリはブラウザ保護やペアレンタルコントロール機能では制御できないため、それを補完する形になる。

 また、アプリの強制停止やアンインストールを防ぐAnti-Exit機能について、現在はアプリ起動時にセキュリティコードを求める仕様になっているが、9月末にはホワイトリスト登録アプリであれば入力なしで起動できるようになる。

“ガチガチ対策”するなら携帯電話のままでいい?

 スマートフォンのセキュリティ対策は絶対に必要だ。しかし、ウイルス対策、セキュリティ管理、通信の暗号化、MDMなど、最初から全て実装するのは困難で、現実解ではない。「データを使用したら全削除する。メールを使わせない。アプリをインストールさせないなど、禁止事項でガチガチに固めるくらいなら、スマートフォンではなく携帯電話を採用すればいい」と、中村氏はスマートフォンのメリットをなくす対策に疑問を呈する。

 リスクを排除したいあまりに何もかも一気にやろうとすれば、こうした極端な発想に転ぶかもしれない。「端末のウイルス対策は必須。それに社内システム制御と通信経路の制御を追加すれば、ある程度のセキュリティは保証できると思う。その後、プライオリティを付けながら段階的に機能を追加し、全社展開へと進むのが理想的」(八木沼氏)

 エフセキュアは、携帯電話、セキュリティベンダーなどによる業界団体「Japan Smartphone Security Forum(JSSEC)」に参加し、標準作成に取り組んでいる。「技術標準を決め、使う側のノウハウを集約しながらガイドラインを作成、啓蒙するのが主な活動だ。9月7日に『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』【β版】を公開した」(中村氏)。不安を解消し、スマートフォン導入の時機を見極めるためにも、こうした業界団体による情報も積極的に活用していきたい。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る