徹底レビュー:Amazonスマホ「Fire Phone」の“撮ったものがすぐ買える機能”は本当に安全か:画像認識機能「Firefly」などのセキュリティを検証
撮影した製品を自動認識する機能など、先駆的な機能を多数備えた米Amazon.comのスマートフォン「Fire Phone」。便利さの裏に、セキュリティの問題が潜んではいないか。徹底検証する。
米Amazon.comの「Fire Phone」(国内未提供)は、企業ユーザーの関心を喚起する可能性を秘めている。だがその輝かしい外観の下に、セキュリティの問題は隠れていないのだろうか。本稿では、Fire Phoneのセキュリティ機能とその欠点をレビューする。
編集注:本稿は、Amazonが新たに発表した情報(Fire PhoneへのWPA2-Enterpriseのサポート、ペアレンタルコントロールのサポート、モバイルアプリ制御機能の追加)に基づいて更新した。
企業は米Amazonの「Kindle Fire」タブレットに適応しようとしているところだ。それを狙い澄ましたかのように、同社の新製品「Fire Phone」は発売された。米AT&Tとの間で独占契約を結んでいるFire PhoneについてAmazonはこう宣伝している。企業ユーザーに適していて、米Googleの「Android」よりも使いやすく、「Google Play」と違って適量のアプリが用意されている。だが、第1世代のFire Phoneがセキュリティチームの悩みの種になることは明らかだ。それには幾つかの理由がある。
本稿では、Fire Phoneのセキュリティ機能とそこから推測されることについてレビューする。Fire Phoneに備えて準備している企業の情報セキュリティチームの一助となれば幸いだ。
関連記事
- 今分かっている新型「iPhone 6」の全て、2サイズ展開は本当か
- オバマ大統領が「iPhone」を使わない“やっぱり”な理由
- 「iPhone」と「Androidスマートフォン」に騒ぐほどの違いはあるのか?
- Googleの組み立て式スマホ「Ara」に膨らむ期待 “5000円台で買える”は本当?
Fire Phoneのセキュリティ機能
Fire PhoneにはAmazonの「Fire OS 3.5」が搭載されている。これは「Android 4.2」(通称「Jelly Bean」)から派生したOSだ。つまり、Fire Phoneのセキュリティは、Android 4.2と同等レベルだといえる。Fire PhoneはAndroid 4.2に標準で搭載されているデバイスロックやリモートワイプのオプションが利用でき、保存データの暗号化機能も組み込まれている。SDカードスロットはないので、SDカードからデータが漏えいする心配はない。
Fire Phoneは、サードパーティーのモバイルデバイス管理(MDM)ベンダーが使用するAPIを使用して、リモートでデバイスを管理可能だ。これは他のAndroid 4.2ベースのデバイスと同じである。現在Fire Phone対応のエージェントを提供しているMDMベンダーは、米AirWatch(米VMware傘下)、米Fiberlink Communications(米IBM傘下)、米Citrix Systems、米MobileIron、カナダのSOTIだ。これらのベンダーが提供しているMDMのエージェントで監視または構成できる設定は次の通りである。
- デバイスのインベントリ:モデル名、OSとそのバージョン、アプリのバージョンとサイズ、デバイスの制限、インストールされているセキュリティポリシー
- デバイスのセキュリティ:デバイスポリシーの構成(パスコード要件、デバイスの暗号化、メール、ネットワーク、プロキシ設定など)、スマートフォンの位置取得とロック、パスワードのリセット、スマートフォンへのメッセージ送信、完全/部分的なデータワイプ
- デバイスの制限:デバイス機能の構成(データのローミング、カメラ、Bluetooth、テザリング、「Amazon Appstore」ではないストアからのアプリのインストールなどが構成可能)
- アプリの管理:社内で開発したアプリやAmazon Appstoreからダウンロードした外部アプリのリモートでのインストール、有効化、無効化に加え、以前にインストールしたアプリとそのデータの削除
関連記事
- 【徹底比較】最安はどれ? iOSやAndroidで使えるモバイルデバイス管理製品38種の価格
- 【徹底比較】iOSやAndroidで使えるモバイルデバイス管理(MDM)製品のセキュリティ機能
- 【徹底比較】iOSやAndroidで使えるモバイルデバイス管理(MDM)製品38種の管理機能
- 【徹底比較】iOSやAndroidで使えるモバイルデバイス管理(MDM)製品38種の大規模運用性
Android 4.2ベースのデバイスとは異なり、Fire PhoneではAndroidのネイティブなVPNクライアントをサポートしていない。企業は現時点では、「OpenVPN」などのサードパーティーのVPNを使うしかない。Amazonは今後のリリースで、ネットワークやデータリンク層のVPNプロトコル(IPsec、L2TP、PPTP)を利用可能にすることを約束している。
Fire PhoneでサポートされているWebブラウザは「Amazon Silk」のみだ。セキュリティの観点では、Amazon Silkしかサポートされていないことで、より一般的なWebブラウザを標的とするマルウェアを回避できる。またAmazonは、近いうちにKerberosトークンに基づいてFire PhoneにWebアプリのシングルサインオン(SSO)機能を追加することも約束している。
2014年7月の発売時点では、Amazon Appstoreで提供されているFire Phone対応のサードパーティー製セキュリティアプリは70種ほどだ。Citrixの「Citrix Receiver」や米NitroDesk(米Symantec傘下)の「Touchdown」を始めとする、その他多くの主要ベンダーのマルウェア対策アプリが提供されている。
セキュリティ上の欠点
ここまでの内容からまず推測できるのは、Fire OSがAndroidに必ず後れを取ることだ。ある情報筋によると、AmazonはFire Phoneをアップグレードして、最新の「Android 4.4」(通称「Kit Kat」)ベースのFire OSを採用するつもりだという。Fire Phoneは現時点では、強制アクセス制御機構の「SELinux」や制限付きアカウントなど、Android 4.4で導入された新しいセキュリティ機能が欠落している。ただし、AmazonはFire OSに「WPA2-Enterprise」や「ペアレンタルコントロール」のサポートを追加している。企業はペアレンタルコントロールを使用して、パスワード保護によって購入を制限したり、Webブラウザなどのアプリ、コンテンツの利用をブロックしたりすることが可能だ。
加えて、Fire OSはAndroidの派生物であるが故に、セキュリティパッチやOSの新機能の組み込みが遅くなることは避けられない。例えば、まだニックネームが付けられていない「Android L」で提供されるとうわさされている、韓国Samsung Electronics提供の「SAFE」ベースのセキュリティ拡張機能もすぐには実装されないだろう。
VPNの制限に加え、Fire Phoneが抱える最大のセキュリティ問題の1つはAmazon Appstoreへの依存だろう。現在、Google Playが提供するアプリは120万種以上にも上る。これに対して、現在Amazon Appstoreで提供しているFire Phone対応アプリは約19万種だ。これでも十分な数に思えるが、企業も一般ユーザーも、Amazon Appstoreでお気に入りのアプリの幾つかが提供されていない状況に直面するだろう。例えば、現時点では「Google Maps」「Google Drive」「YouTube」などはAmazon Appstoreで提供されていない。だが、これはほんの一例にすぎない。
Fire Phoneは、Amazon Appstoreを経由せずにアプリをインストールする「サイドローディング」ができるように構成可能だ。そのため、お気に入りのアプリのパッケージファイルのインストールを試してみることはできる。だが必ず成功するとは限らない。
サポートしていないアプリをインストールするために、Fire Phoneをroot化したいという誘惑にかられるかもしれない。だが早期導入者の指摘から、Fire PhoneはAndroidデバイスよりもroot化が難しいようだ。そのため、Fire Phoneでroot化が大きなリスクになるまで少し猶予期間がありそうだ。
さらに、Fire OSのアプリは、Google PlayではなくAmazon Appstoreから購入およびダウンロードする必要がある。これはGoogle Playのアプリを管理するためのセキュリティツールを購入した企業にとって、実に残念な話だ。だがこの制限は、MDM製品を使用して回避できる。Google Playから購入したアプリをFire Phoneにプッシュするか、アプリのAPKファイルを企業アプリカタログに追加すればよい。
職場での使用にいかに備えるか
BYOD(私物端末の業務利用)が普及しつつある現在、好むと好まざるとにかかわらず、企業のセキュリティチームがFire Phoneに対処しなくてはならない時期はいずれ来るだろう。職場でFire Phoneが使用される場合に備え、以下に幾つかのヒントを紹介する。
- アプリ/コンテンツ管理製品を導入していない組織は、Amazonの「Whispercast」の使用が選択肢となる。Whispercastは、Amazonのアプリ、電子書籍、ドキュメントをFire OSデバイスへ配布できるWebベースの管理ツールだ。このツールは無償で使用できる
- 米Microsoftのデータ同期機能「Exchange ActiveSync」でAndroidデバイスを管理するのを好むIT部門には朗報がある。Fire Phoneは、Androidデバイスと同様にActiveSyncベースの管理が可能だ
- サードパーティーのMDM製品を使用している企業は、比較的簡単にFire Phoneの登録や管理ができる。だがMDM以外の製品を使用している場合は、ベンダーにFire Phoneのサポート開始時期を問い合わせることをお勧めする
- 通常のAndroid向けのセキュリティ、デバイス、アプリケーションのプロファイルは、Fire Phoneに合わせて調整が必要になる。特に、SamsungのSAFEを利用している企業では、Fire Phoneを構成するときにSAFEの拡張機能を無効にしなければならない
さらに、Fire Phoneには幾つかの“ホットな”新機能がある。この新機能によってAmazonは、既存のAndroid端末ユーザーがFire Phoneへ乗り換えることを期待している。今のところ新機能への反応はさまざまだが、企業のセキュリティチームはその内容を把握しておくのが賢明だろう。
例えば、新機能の1つとして挙げられる「Dynamic Perspective」は、3D表示を可能にするモーションベースのユーザーインタフェースだ。ただし、この機能の精度は高くなく、意図したように入力できないことも多いと報告されている。セキュリティの観点から、この機能の背後に少なからぬ脆弱性が潜んでいる可能性を不安視する声もある。セキュリティチームは、Fire OSのセキュリティバグとパッチに目を光らせておくべきだろう。
さらに問題とされているのが、Amazonが自社開発したFire Phoneの新しい画像認識機能「Firefly」だ。Fireflyは商品などのさまざまな“もの”の写真を、クラウドを利用してパターン照合して特定する。残念ながら、FireflyはロックされているFire Phoneでも起動できる。そのため、放置されているデバイスや紛失したデバイスで悪意のある行為が可能になる。
Fireflyで撮影した写真は、Fire Phoneでユーザーが撮影した全ての写真と一緒に、Amazonのクラウドに自動で同期される。Fire PhoneのAmazon Silkもコンテンツ処理にAmazonクラウドを利用する。このようなクラウドとの密接な連係は、プライバシーに関する懸念を引き起こす。多数のプライベートな環境の画像や位置が、企業の手が届かないサードパーティーの管理するクラウドにデフォルトで保存されるからだ。企業は、Firefly、Amazon Silkのプロキシ、Fire Phoneのバックアップを考慮した新しいポリシーを検討する必要があるだろう。また、プライベートなデータがAmazonのクラウドに保存されることも把握しておかなければならない。
まとめ
企業のセキュリティチームがFire Phoneを理解してサポートすることがどのくらい重要なのか、最終的な判断を下すのは市場だ。Fire Phoneが普及すれば、Fire Phoneの機能、他のデバイスとの違い、Fire Phoneの制限を調査するのは理にかなっている。だがFire Phoneの“ホットな”新機能が失敗に終われば、MDMとアプリのサポートも同じ運命をたどることになる。
Copyright © ITmedia, Inc. All Rights Reserved.