米Lookoutは8月27日、同社ブログでAOSP(Androidオープンソースプロジェクト)のガイドラインに沿わないAndroid端末の市場が拡大する一方で、こうした端末を企業が導入する際にリスクが生じると指摘した。
Androidスマートフォンはその市場の成長から、端末の高機能化が進んでおり、600ドル程度がバリューゾーンとされている。その一方で、より手ごろな価格でカスタマイズ可能な、AOSPガイドラインに沿わないAndroid端末の市場も拡大の様相を呈している。
標準的なAndroid端末に使用されるアプリはGoogle Playストアに集約され、アプリテストと検査プロセスをへていたが、AOSPガイドラインに沿わない端末が台頭することで、状況は複雑になりつつある。
スマートフォンメーカーや通信会社の大多数はOpen Handset Allianceのメンバーであり、AOSPを通してメーカーが独自にカスタマイズしたAndroid端末を提供している。また、標準的なAndroid端末はGoogleのシステムアプリケーションを実行し、Google Playストア経由でのアプリをダウンロードを推奨している。
一方で、Android端末ビジネスに対して先日10億ドル以上を資本調達した小米(シャオミ)や、カスタマイズしたAndroid OSのユーザーが5000万人を超えたと発表したCyanogenMod(サイアノジェンモッド)のように、標準的なAndroid端末の独占的マーケットを崩そうしている企業も出てきている。こうした端末は、機能美や使いやすさ、リーズナブルな価格といった点から、ユーザーに受け入れられ始めている。
このように台頭してきているAOSPガイドラインに沿わない端末を社員が業務で使用するようになれば、企業ネットワークにそのような端末が接続されることとなり、企業にとっての脅威となりうる。
標準的な端末では、「Googleによる検査」「メーカーによる検査」「通信会社による検査」をへており、企業はこれまで、セキュリティ面および性能面でのベストプラクティスを実装するためにこうした2重、3重の検査レイヤーをへた端末を使用してきた。
一方、AOSPガイドラインに沿わない端末は、通信会社を通じずに販売されているので、実質的にメーカーレベルでの検査しか受けていない。
その上、AOSPガイドラインに沿わない端末は、アプリダウンロードの推奨マーケットであるGoogle Playストアを利用する必要がないので、アプリ検査を行う体制が整えられていない可能性が高いWebサイトやサードパーティアプリストアから、アプリをダウンロードすることが多くなる。
そのため、企業のIT管理担当者は、端末から削除不能であるシステムアプリケーションと、端末上で実行されるアプリの双方に対し、脆弱性とその他のセキュリティ問題を検査をする必要が出てくる。
こうした問題の緩和策となり得るのは「可視化の確保」だという。危険な可能性のあるアプリや脆弱性のある端末が企業ネットワークに入り込んだことを検知できれば、修復についての意思決定を早く行える。また、自社ネットワークにアクセスしているアプリについて把握できれば、特定のアプリを利用している従業員がアクセスできるデータを制限することも容易となる。
