法人市場におけるモバイル化の波は、もはや説明する必要がないほど、多くの企業を飲み込んでいます。BYOD、企業によるモバイルデバイスの導入など、その事例は枚挙にいとまがない状況にあります。
一方で、「これまでフィーチャーフォンしか導入しておらず、これからモバイルデバイスを導入する」という状況の企業も多く、「モバイルデバイスを導入する時にどのような対策、どのようなソリューション導入をすれば良いのか」がわからない情報システム部門の人も多いことかと思います。
そこで、携帯キャリアやソフトウェアベンダーなどに「ソリューションが必要な理由、プラットフォームのどういう機能を利用すれば良いのか」を寄稿解説いただき、モバイルデバイス導入時の悩みをスッキリ解決します。
第4回はスマートフォンに特化したセキュリティベンダーのLookoutの方に、MDMとMAM、モバイルセキュリティ、それぞれの役割を解説していただきます。
企業によるスマートデバイスの活用における課題
企業が激しい競争環境で生き残るために、スピード感あふれる対応が情報システム部門にも求められる中で、スマートデバイスの導入をスタートした企業、検討中の企業が多いことでしょう。一方で、スマートデバイスに対するリスクを懸念するあまり、導入に踏み切れない企業もまた、多いのではないでしょうか。
スマートデバイスの特徴は、"いつでも手軽に利用できる"ポイントにあり、いつでもネットにつながり、さまざまなリソースにアクセスできるメリットがあります。そして、そのデバイスによって企業のデータを扱えるようになればなるほど、いつでもどこでも「迅速にビジネスを加速できる」という大きなメリットを生み出すわけです。
このことから、スマートデバイス活用においては、「生産性向上とセキュリティによる制御のバランス」が重要なポイントになると考えています。こうした特徴を持つスマートデバイスにおいて考えなければいけないセキュリティリスクは、「紛失・盗難」「社員によるデバイスからの情報漏えい」「外部からの侵入による被害」の3つです。
スマートデバイスに求められるセキュリティ
企業は、MDM(モバイルデバイスマネジメント)とMAM(モバイルアプリケーションマネジメント)、モバイルセキュリティの3つをバランスよく設定することで、スマートデバイスに対してフルスタックのセキュリティを実装できます。つまり、スマートデバイスの業務活用を促進しつつ、セキュリティを確保することが可能となるわけです。
MDMは、デバイスのキッティングや機能制限、アプリケーションを配備できます。多くのサービスでデバイス位置の検索機能が用意されていることも特徴の1つです。機能を制限することで、リスクある行為の防止が可能となりますが、多用してしまえば運用コストが増加するほか、利便性も低下してしまいます。
MAMでは、文書コピー制御や外部アプリにおけるドキュメント参照の禁止、暗号化などにより企業情報を取り扱うアプリからの情報漏えいを防止するための機能を提供します。これらの機能を利用するには、業務で利用するアプリがMAMに対応する必要があります。
モバイルセキュリティは、機密情報・個人情報の搾取や、遠隔からのデバイス操作、デバイス破壊といったさまざまな目的で作成されたマルウェアの侵入防止などを行います。また、広告や課金、作者が意図しない動作を引き起こす「リスクウェア」の侵入も阻止します。マルウェア感染による情報漏えいはMAMなどで保護できないので、モバイルセキュリティによる防御が必要となります。ほかに、デバイスの脆弱性を狙った攻撃や、Jailbreak/Root化といった行為からもデバイスを保護します。
高度化するスマートデバイスへの外部からの攻撃
特に、スマートデバイスに対するマルウェアの増加・進化は目を見張るものがあります。侵入方法は巧妙化し、攻撃は高度化を進めています。
- アプリストアからの侵入
プラットフォーマーや携帯キャリアによる主なアプリストアは一定の審査が行われており、マルウェアが自社ストア上に展開されないような対策を施しています。ただ、そうした審査の目をかいくぐり、マルウェアが公開される事例は後を立ちません。
例えば、ストア経由で配信されたリスクウェア「InstaAgent」は、Google PlayやApp Store上で公開され50万回以上ダウンロードされていた人気アプリでした。しかし、2015年11月に個人情報を盗み出すリスクウェアであることが判明し、その後ストアから削除されました。
- サイドローディングによる侵入
公式アプリストア経由ではなく、メールやWeb、USB接続を経由して侵入してくる脅威も存在します。これらは"横道"から侵入してくるため、「サイドローディング」と呼ばれています。サイドローディングで提供されるアプリは、アプリストアの審査を通らないために脆弱性を保持していたり、悪意あるコードや利用が禁止されたりしているAPIを実装していることがあります。MDMによって「アプリストアへのアクセスは禁止している」という企業においても、サイドローディングによる脅威の侵入に注意すべきと言えます。
いったんマルウェアに感染すると、企業・個人情報の搾取や金銭要求、遠隔操作、スパム送信、外部システム接続といった悪意ある行動が攻撃者により行われることになります。
また、Androidを狙うマルウェアの中には、自身をシステム・アプリケーションとしてインストールさせるものも存在します。この場合は、工場出荷状態に戻してもマルウェアを駆除することは難しく、感染端末を廃棄処分しなければいけなくなるケースもあります。
理想的なセキュリティ対策と導入時の課題
ビジネスでは、より一層のスピード感が重要視され、ワークスタイル変革が求められます。そうした状況下では、スマートデバイスが取り扱う機密データ量は増加の一途をたどることになります。その一方で、スマートデバイスを狙った攻撃の増加と高度化は止むことなく、より包括的なリスク対策の導入が求められます。
今後企業は、社員がスマートデバイスをより活用できる環境を整備しつつ、企業内部からの脅威と企業外部からの脅威に対処できる環境を築き上げる必要があります。まずは、業務におけるスマートデバイスのユースケースを見直し、下記の注意事項に配慮しつつ、セキュリティ対策を導入してみてください。
著者プロフィール石谷匡弘(Masahiro Ishigai)
モバ イルセキュリティの啓蒙活動を行うLookoutのエバ ンジェリスト兼エンジニア。これま でグローバルIT企業にて大規模エンタープライズ向けミッションクリティカルシス テムの提案や構築に携わる。同時に、CISSPを保持しデータセンタセキュリ ティ、モバイルセキュリティ、SOCの提案と広くエンタープライズに 求められるセキュリティ対策の提案活動を行う。現在はLookoutにおいてモバイルセキュリティ対 策の提案活動の他、モバイルセキュリティの認知度向上へ向けた啓蒙活動に従事する。
ルックアウトジャパン エバンジェリスト 兼 エンジニア