検索
特集/連載

モバイル端末を守り、モバイル端末が守るスマートセキュリティComputer Weekly製品ガイド

スマートフォンメーカーが生体認証などの新機能を提供している。企業が利用できる限り最善のモバイルセキュリティ対策を実装するためには、何をすればいいのか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 スマートフォンは瞬く間に最も手早く、最も便利に買い物ができる手段になった。スマートフォンには電子ウォレットが生体認証と併せて組み込まれ、買い物のセキュリティを助けている。調査会社eMarketerの予想では、モバイルを使った購入が電子商取引販売に占める割合は2017年の43%から、2021年までに52%に増える見通しだ。

 大手小売業者の多くは、Google Pay(旧Android Pay)とApple Payに対応したモバイル端末向けのアプリを提供している。こうしたネイティブ決済手段では、ユーザーが自分のカードの電子版をスマートフォンに保持できる。このシステムを利用すれば、内蔵のNFC技術を使って実店舗で決済を承認できる。

 Google Payは実際のカード情報を共有するのではなく、そのカードの代理となる仮想口座番号を使うことによってユーザーを保護している。さらに、店舗によってはGoogle Payで決済できる金額を30ポンドまでと定めている。この上限がない店舗では、30ポンドを超す買い物をする場合、ユーザーが生体認証やパスコードを使って認証しなければならない。

 同様にApple Payも、店頭ではユーザーの実際のカード情報にはアクセスせず、「デバイスアカウント番号」と、買い物ごとに異なる固有のセキュリティコードを利用する。ユーザーは全ての決済で生体認証かパスコードによる認証を行う必要がある。30ポンドの上限はない。

 こうした対策は、許可なく決済に利用されるリスクを低減する。実際のところ、セキュリティを脅かす最大のリスクは端末の持ち主だとQuocircaの主席アナリスト、ロブ・バムフォート氏は言う。「そうしたモバイル決済システムやOyster Card(ロンドンの交通機関用ICカード)のようなNFCは、われわれが一般的に直面する程度のリスクに対する守りとしては十分だ。消費者をさらに安心させるため、発行機関は一般的に、システムが破られたり機能しなかったりした場合に備えた保護対策を講じている。この技術そのものは安全性が高いかもしれないが、全体としての決済プロセスを考える必要があり、時として、人が弱点になることもある」

セキュリティ強化

 AppleやSamsung Electronicsが最新版の主力スマートフォンで重視しているのがまさにこの点だ。SamsungとAppleは、モバイル市場に占めるシェアが合わせて約33%に上る筆頭メーカーとして、それぞれのユーザーのために生体認証セキュリティを推進してきた。ユーザーがアプリを使う際の安全をできる限り保証するため、そうしたセキュリティ強化措置を活用するアプリ開発者も増えている。

 Samsungは主力モデルの「Samsung Galaxy S8」「同S8+」で、指紋認証と虹彩スキャンのオプションに加えて、顔認証機能を取り入れた。

 Appleの「iPhone X」は、同社初となる顔認証によるロック解除機構を「Face ID」として提供している。発表時の同社の説明によると、顔面の3万点をマッピングしていることから、例えばマスクを使ったとしても、他人が認証を突破することはできない。Face IDがユーザー認証を誤る確率は、指紋認証が誤認証する確率の20分の1であるとAppleは主張している。

 どの生体認証技術をアプリに組み込むかの判断は、極めて主観的だ。「これはある程度主観的だが、最も安全なのは指紋と虹彩、続いて顔と目の血管だ。これは、それぞれの累積的な特性、すなわち識別性、パフォーマンス、攻撃に対する耐性の組み合わせに基づく」。Gartnerの調査ディレクター、ラウル・ラビノビッチ氏はそう話す。「いずれの場合も、検知のライブ性が鍵を握る。従って、全ての実装は平等ではない。センサーの品質、生体テンプレートの保護、アルゴリズムの照合はさまざまだ。従って、ここでも多くは実装にかかっている」

銀行アプリの生体認証

 銀行もアプリケーションに生体認証を取り入れ始めている。例えばSantanderは2017年2月、iPhoneユーザーが同社のSmartBankアプリを使って音声で決済できるようにする音声操作バンキングプロジェクトが、第2段階に入ったと発表した。第1段階では、カード使用履歴について問い合わせることが可能になっていた。次いでTSB Bankは2017年11月、同社のアプリでFace ID認証に対応すると発表した。同社はまた、Samsungのユーザーが虹彩スキャン機能を使って自分の銀行口座にアクセスできるようにしており、同社のCIO(最高情報責任者)カルロス・アバルカ氏は、これを「最も安全な認証形態」と評している。

 デンマークのデビットカードDankortは2017年6月に、生体認証に関する同様の計画を発表し、モバイルウォレットを介した指紋認証に対応すると表明した。

 こうした形態のセキュリティ対策に対する顧客の需要増大を受け、今後はパスワードの一般性が薄れるだろうと予想するのは、Gartnerの調査ディレクター、ロベータ・コッツァ氏。「信頼性が低いかどうかに関係なく、われわれは生体を使った認証手段へと移行するだろう。なぜならユーザーがそれを期待するからだ。パスワードを覚えていなければならないのは、単純に便利ではないという理由で、容認されなくなる」

 Gartnerは個人端末に関する2018年の報告書の中で、生体認証と機械学習の台頭により、パスワードがデジタル認証に占める割合は2022年末までにわずか10%になると予測した。

 だが、生体認証にメリットはあるものの、リスクも存在するとQuocircaのバムフォース氏は言う。「課題の1つは、アクセスのために個人の物理的存在が必要とされ、その人物の要素が物理的に必要とされることから、個人の身を危険にさらしかねない点にある」

 「もちろん、比較的価値が低いものを守る場合であれば、その生体認証を破るためにその人物に暴力を行使する可能性は低い」

エンタープライズ級セキュリティ

 ITセキュリティは企業にとっての現実の懸念であり、SamsungもAppleも、それぞれの端末でエンタープライズ級のセキュリティサービスを提供している。Samsungはセキュリティ機能の「Samsung Knox」で、法人顧客向けに追加的なセキュリティ層を提供している。

 このサービスでは、物理的露出、盗み見、マルウェアという3分野の攻撃から保護するために、複数層のセキュリティ対策を講じる。物理的露出は、盗んだスマートフォンからコンピュータへファイルを転送しようとする。盗み見攻撃は、ユーザーが端末からクラウドへ送信するセンシティブなファイルが狙われる。マルウェアは、端末に損害を与えたり制御したりする目的で使われるかもしれない。

 Gartnerのコッツァ氏によると、Samsungがこの技術をスマートフォンに組み込んだことで、Android向けとしては最強級のエンタープライズセキュリティオプションになった。「エンタープライズにおけるAndroid携帯の導入に目を向けると、Samsungは間違いなく第1の選択肢になる」と同氏は言う。Knoxが利用できれば、最高セキュリティ責任者はSamsungの端末を中心としたセキュアなスマートフォン戦略を導入できる。

 Appleのセキュリティ戦略はCisco Systemsとの提携に依存しており、Ciscoを通じて法人顧客向けサービス「Security Connector」を提供している。Security Connectorは、組織のセキュリティチームが端末の全ネットワークトラフィックを監視して、潜在的に危険なWebサイトへのアクセスをブロックできる。

多段階認証

 パスワード以上の保護を提供する2要素認証(2FA)のために、スマートフォンが使われるケースが増えている。例えばHM Revenue and Customs(HMRC)のような英国の政府機関は、ユーザーが自分の個人情報にアクセスする際に本人確認を行うための追加的措置として、ユーザーの番号にメールを送信するか電話をかける。

 GoogleユーザーはGmailアカウントに2要素認証を設定できる。ユーザーが正しいパスワードを入力すると、GoogleがSMS経由でスマートフォンにコードを送信する。電子メールアカウントにアクセスするためには、Gmailのログイン画面でこのコードを入力しなければならない。Googleはまた、開発者がユーザー認証に利用できるワンタイムパスキー生成アプリ「Authenticator」も提供している。例えばユーザーは2要素認証を強制することによって、自分のAmazonアカウントを保護できる。以後はログインするたびにGoogle Authenticatorを起動して、ワンタイムパスキーを入力することが必要になる。

 2要素認証の利用は、政府機関の他、小売業者や銀行にとってもハッキングを防ぐ役に立つ。

 バムフォース氏は言う。「完璧なセキュリティというものは存在しない。やるべきことは、常にリスクを減らすこと、または不正侵入の価値よりもリスクを低くすることだ。2要素認証提供の仕組みとして携帯電話は非常に役に立つ」

 セキュリティトークンを使うといった従来のような2要素認証の手段は、「いつもポケットに入っているものを活用することに比べると、本当に不便だった」と同氏。

組織がセキュリティに機敏であり続けることも不可欠だと同氏は述べ、それをソフトウェアの「継続的な進化」と形容する。「常に競争相手(不正侵入を試みる者)の先を行くのが継続的な進化のプロセスだ。従って、『保護のレベルを高めるために自分が何をしているのかについて、もっと動的に考えなければならない』と考える必要がある」

ポケットの中のモバイル鍵

 鍵を持たずに外出することがないのと同じように、外出時には常にスマートフォンを携帯するのが一般的だ。自動車メーカーのFord Motorは2015年、ユーザーが遠隔操作でコネクテッドカーのロックとロック解除、場所の特定、エンジン始動ができる技術「Sync Connect」を発表した。そうした技術は、製品そのものが安全である限り、ユーザーの生活のさまざまな側面で保護対策を強化できるとバムフォース氏は指摘する。

 スマートドアベル(いわゆるドアフォン)を手掛けるRingは最近、スマートフォンアプリ経由で施錠と開錠ができるドアロックの提供に向け、ホームセキュリティ企業のADTと手を組んだ。

 スマートフォンが日常生活への浸透を深める中で、セキュアな電子ウォレットや生体認証、2要素認証は、物理的な防犯対策と連携しながら、さらに普及が進むだろう。そうした全てを活用して、アプリ開発者はユーザーのためのセキュリティ層を追加できる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る