@ITspecial

pr

 「禁止」前提のセキュリティ対策から脱却せよ
企業におけるスマートフォン導入の障壁を
払しょくする対策とは

2011/8/3

急速に普及し始めたスマートフォンを業務にも活用し、生産性や効率向上に役立てたいと考える企業が増えている。だがここで浮上する「壁」がセキュリティだ。スマートフォンにはPCとは異なるどんなセキュリティリスクがあるのか。これまで蓄積してきたセキュリティ技術がどのように役立つのか。2人の専門家が語る。

スマートフォンの業務活用を阻む「セキュリティ」

 今、個人が利用するモバイルデバイスとして、スマートフォンが急速に普及している。最近では、アップルのiPhoneに加え、Android™ OSを搭載したスマートフォンがキャリア各社から続々と登場し、街中や電車内などでスマートフォンを手にしている姿が当たり前のように見られるようになった。

 この急速な普及にともない、企業においてもスマートフォンを導入し、業務に有効活用しようという機運が高まりつつある。多くの企業では、スマートフォンの導入によって、業務効率の向上やシステムのパフォーマンス向上、売上拡大、コスト削減などを見込んでいるようだ。

 一方で、企業がスマートフォンを導入検討するにあたって大きな懸念材料となっているのがセキュリティ対策。実際に、セキュリティへの不安が障壁となって、スマートフォンの導入に踏み切れない企業も少なくないという。

 それでは、スマートフォンの企業利用においては、どのようなセキュリティ対策が求められるのか。また、具体的にどんなセキュリティリスクがあるのか。トレンドマイクロ マーケティング本部 エンタープライズマーケティング部 プロダクトマーケティングマネージャーの転法輪浩昭氏とITR シニア・アナリストの舘野真人氏に聞いた。

モバイルPCとは異なる新たなポリシーを

 「国内企業でのスマートフォン/タブレットの導入意欲が高まっているが、その多くは、従来までのモバイルPCの代替としてこうした新種のデバイスを位置付けている。従って、セキュリティ対策もモバイルPCの延長線上にとらえる向きが少なくない。しかし、そうした考え方は必ずしも正解とはいえない」と指摘するのは、ITRの舘野氏だ。

sakamoto
ITR シニア・アナリスト 舘野真人氏

 舘野氏は続けて、「ちなみに、モバイルPCについてどんな対策を行っているのかを調査すると、“社内のデータを保存させない”“私的なデバイスを持ち込ませない”など、基本的に利用を制限または禁止することによって、情報漏えいを防ごうとする傾向が強い。しかし、スマートフォンはプライベートのライフスタイルにより密着しており、禁止することを前提にしたセキュリティ対策では、業務にうまく活用できない」と述べた。

 従来のモバイルPCは、業務に必要な時だけ持ち運んで使うのが一般的で、プライベートと業務の切り分けが明確だった。これに対してスマートフォンは、普段から肌身離さず身に付けているものだ。プライベートな時間であっても、外部から社内のデータにアクセスできるようにして業務効率化を図るなど、従来のモバイルPCとは違う、スマートフォンのメリットを生かしたセキュリティポリシーが必要になるという。

 トレンドマイクロの転法輪氏も、「スマートフォンを業務で活用するに当たっては、たとえそれが私物であっても、社内情報を扱う以上、従来のモバイルPCと同レベルの情報漏えい対策が必要になるのは当然だ。ただ、その一方で、スマートフォンがもたらすワークスタイルの多様化を生かすには、従来のモバイルPCとは違った、スマートフォンの特性に合わせた新たな発想のセキュリティポリシーを策定し、徹底させることも重要だと考える」と述べている。

図1

図1 スマートデバイスにはPCとも携帯電話とも異なるリスクが存在する

 このような、モバイルPCの代わりにスマートフォンを導入するという流れでは、IT部門がスマートフォンのセキュリティポリシーをコントロールできるだろう。だが企業によっては、従業員に配布する携帯電話の発展形としてスマートフォンが導入されるというケースもある。「この場合、総務部主導でスマートフォンの導入が進むことが想定される。端末だけが先に配布されてしまい、IT部門が関わるべきセキュリティ対策が後回しにされてしまう危険性がある」と、ITRの舘野氏は警鐘を鳴らす。

 これに対してトレンドマイクロの転法輪氏は、「スマートフォンのセキュリティ対策が、“空白地帯”になっている企業があるのは事実。ただ、最近では、スマートフォンがセキュリティインシデントになり得ることをIT部門も認識し始めているので、積極的にスマートフォンのセキュリティポリシー策定に乗り出す傾向にある」と述べた。

 しかし、スマートフォンはパーソナル感が強く、手軽に持ち運びできてしまう。このため、ポリシーを策定しただけでは万全とはいえない。

 そこで転法輪氏は、「併せてMDM(Mobile Device Management)ツールを利用して、リモートロックやリモートワイプ、パスワード管理など、テクノロジの側面から情報漏えい防止を支援していくことも重要だ」と語り、スマートフォンの情報漏えい対策には、セキュリティポリシーの策定と、MDMツールによるデバイス管理の両輪が必要であるとの考えを述べた。

図2

図2 デバイスそのものの保護とMDMツールによるデバイス管理、そしてセキュリティポリシーの策定という3つの要素が必要

PCの世界における蓄積を生かしたマルウェア対策を

 PCにおけるセキュリティ対策として、情報漏えい対策に加えてもう1つ、欠かせないのがマルウェア対策である。トレンドマイクロでは、PCに対する新たな脅威を検出する技術や不正アクセスを防ぐ技術を提供しており、そのテクノロジはほぼ確立されているといってよい。

tenpolin
トレンドマイクロ マーケティング本部
エンタープライズマーケティング部
プロダクトマーケティングマネージャー
転法輪浩昭氏

 「PCのマルウェア対策はいたちごっこ。幅広く普及しているPCを狙う新たな脅威をいち早く検出して、それに対する定義ファイルを提供する――この取り組みを長年続けてきたが、蓄積されたノウハウやWebからの脅威の対策に有効なWebレピュテーションのデータベースなどは、これから普及拡大するスマートフォンでのマルウェア対策にそのまま生かすことができるはず」とトレンドマイクロの転法輪氏はいう。

 ITRの舘野氏も、「最近、とくにAndroid OSを狙うマルウェアが急増しているが、そうした攻撃を防ぐためには、全世界からのユーザーからのフィードバックを受け取り、検知に役立てられるような仕組みやプロセスが不可欠だ。その意味では、これまで培ってきたPCにおけるマルウェア対策のノウハウがスマートフォン向けの対策でも有効に機能するのではないか」との見解を示した。

 ただ、「Android OS搭載のスマートフォンのマルウェア対策は、気を抜くことができない。今後、さらなる対策が必要だ」と、2人とも声をそろえる。

 これは、OSからデバイスまでアップルという企業に管理されているiPhoneに対し、Android端末はオープンアーキテクチャを採用しているからだ。ベンダによって独自のカスタマイズが施されたり、バージョンが異なったりで、脆弱性が狙われやすいという問題点もある。さらにOS自体のライフサイクルが非常に短く、少し前の機種でもバージョンアップの対象から外れてしまうというケースも珍しくない。

 一方で、オープンアーキテクチャであることのメリットも大きい。PCの業務ソフトなどとの連携や独自アプリケーション開発などが容易に行えることから、企業へのスマートフォン導入はiPhoneよりもAndroid端末のほうが主力になると見られている。

 「Android OS搭載のスマートフォンは、さまざまなセキュリティリスクの不安を抱えながら、今まさに企業への導入が進もうとしている。それだけに企業のIT部門は、『端末ありき』ではなく、セキュリティ対策まで考えた上で、スマートフォンの企業導入を検討してほしい」と、トレンドマイクロの転法輪氏は訴える。

高度なマルウェアが登場する一方で、単純な「紛失」ミスも

 では、スマートフォン特有のセキュリティリスクには、どんなものがあるのだろうか。

 ITRの舘野氏は、まず、SMSを利用してワンタイムパスワードの情報をクラックし、盗み取ってしまう脅威を挙げる。「いままで携帯サイトで当たり前のようにオンラインバンキングをやっていた人が、その感覚のままでスマートフォンを使っていると、大きな被害に遭う危険性がある」という。

 また、ルート権限を奪取するマルウェアにも注意が必要だ。「ルート権限は、通常はユーザーがアクセスできないシステム領域だが、今年に入って、その領域にも感染するマルウェアが出てきている。これはMDMツールを使って初期化しても消去できず、とてもやっかいだ。もし通話機能をクラッキングされたら、通話内容が盗聴されるだけでなく、勝手に電話をかけられて、金銭的な被害につながることも想定される」と、その危険性を強調する。

 トレンドマイクロの転法輪氏は、スマートフォン内の情報を盗み取ったり、リモートから操作したりするマルウェアの存在を挙げた。

 「Android端末の権限を奪取し、遠隔から操作して不正活動に利用するボット型の不正プログラムも発見されている。しかも不正プログラムの数は今年に入って16倍と急増している。一方iPhoneでも、Jailbreakした端末に感染するマルウェアが見つかった。たとえ個人の持ち物でも、スマートフォンの中には取引に関連する情報など、企業にとって重要ないろいろなデータが保存されている。今後は、それらを狙う攻撃の増加、巧妙化に注意が必要だ」

 また、マルウェアによる高度な攻撃だけでなく、単純にスマートフォン自体を紛失してしまうというセキュリティリスクも見逃せないと、トレンドマイクロの転法輪氏は付け加える。

 「紛失してしまったスマートフォンにパスワードがかかっていなければ、保存されている情報はすべて漏えいしてしまうことになる。これは単純なミスではあるが、最も起こりやすいセキュリティリスクであり、企業での利用に際してまず対策すべきところだ」と力を込める。

スマートフォンのセキュリティリスクを解消

 トレンドマイクロでは、こうしたセキュリティリスクを解消し、企業でのスマートフォンの安全な利用を支援するべく、セキュリティ対策とデバイス管理に対応した「Trend Micro Mobile Security 7.0」を8月3日から出荷する予定だ。

 「Trend Micro Mobile Security」は、Android OS搭載のスマートフォンなどを対象に、不正プログラムの検索や不正なWebサイトへのアクセスを防止するセキュリティ対策とともに、充実したデバイス管理機能を提供する。

 デバイス管理機能としては、盗難/紛失時の端末データの消去、位置情報(GPS)による端末の検索、カメラやBluetoothといった機能の使用制限などを搭載。さらに、OSなどのデバイス情報の取得やパターンファイル情報の一元管理、ポリシーの集中管理機能も提供し、企業におけるスマートフォンの統合管理も支援する。

 スマートフォンの企業導入に当たってセキュリティ対策に頭を悩ませているIT管理者は、トレンドマイクロの「Trend Micro Mobile Security」を検討してみてはいかがだろう。

AndroidはGoogle Inc.の商標です。

関連リンク
トレンドマイクロ

Trend Micro Mobile Security 7.0

Trend Micro Mobile Security 体験版ダウンロード

提供:トレンドマイクロ株式会社
アイティメディア営業企画
制作:@IT 編集部
掲載内容有効期限:2011年9月2日