モバイルアプリの97%がプライベート情報にアクセス - HP調査

日本HPは3月19日、米本社からHPソフトウェア HPエンタープライズ・セキュリティ・プロダクツ HP セキュリティ・リサーチのマティアス・マドゥー氏を招き、モバイルセキュリティに関する説明会を開催した。

同氏は、HPセキュリティ・リサーチの活動について、ArcSight、Fortify、TippingPointなどいくつの買収した企業により構成されており、次世代の技術や今世界で起こっている最新のセキュリティ情報のリサーチを行っていると説明した。

同社では、オープンソースソフトをスキャニングするプロジェクト「Fortifyオープンレビュープロジェクト」を行っており、すでに70以上のソフトのスキャニングを実施し、結果をオープンソースのオーナーに連絡しているという。

スキャニングの結果について、 マティアス・マドゥー氏は「オープンソースは多くの人の目に触れる機会が多いので、エンタープライズ向けのソフトウェアよりも安全だといわれるが、我々がテストした結果はそうではない。人は同じようなミスを犯すものだ」と語った。

同氏は、同社が昨年の11月に実施したモバイルアプリケーションに関する調査結果も発表し、モバイルアプリケーションの10件中9件が攻撃への脆弱性を有することが明らかになったと警告した。

この調査によれば、1つ以上の個人情報にアクセスするアプリの割合は97%で、モバイルデバイスに保存する際に、適切な暗号化を行っていないアプリの割合は75%に上るという。

同氏はそのようなリスクが存在する理由として、モバイル開発が新しいタイプの開発領域であり、新しい開発領域は危険な開発領域であることや、セキュリティ機能を追加しようとすれば、それはセキュリティ担当ではなく、モバイルチームの人間であること、開発者が適切なセキュリティトレーニングを受けていないこと、開発をサードパーティに委託していることなどを挙げた。

同社では、このような懸念に対して、クラウド上でセキュリティの脆弱性をチェックする「Fortify-on-Demand」を提供している。主にデベロッパー向けの機能だが、委託開発したアプリの納品時のチェックとして利用されるケースもあるという。 まだ、日本語されていないが、日本HPでは対応策なども提供するコンサルティングサービスを提供している。