スマートフォンのビジネス利用でポイントになるスマートフォンセキュリティの現状と対策

2011年02月24日

スマートフォンやタブレット端末の市場が急拡大。個人利用のみならず、業務用に導入する企業も増えている。ネット上のアプリケーション(コンテンツ)を自由にダウンロードしてクライアント端末の使い勝手を高められるなど、従来のケータイと一線を画す利便性が支持される一方、このようなスマートフォンのオープン性がビジネス利用におけるセキュリティリスクとして顕在化している。こうした中、京セラコミュニケーションシステム(以下KCCS)では、企業のスマートフォン活用を支援する「スマートフォン向けセキュリティサービス」を提供。スマートフォンをめぐるセキュリティの現状と対策についてリポートする。

1. スマートフォン市場の拡大とともに顕在化するセキュリティリスク

今、このページを会社や自宅のPCで閲覧している人だけでなく、スマートフォンを利用して移動中の電車内などで読んでいる人も多いのではないだろうか。

ケータイの利便性とPCの機能性を併せ持つスマートフォンやタブレット端末は、多種多様な製品が国内外のベンダから市場に投入され利用者が急増している。起動の早さや操作のしやすさなどが特長だ。

しかし、スマートフォンの利便性が多くのユーザに評価される一方、セキュリティの懸念事項も指摘されている。「スマートフォン向けのアプリケーションの中には、ユーザが知らないうちに個人情報(年齢、性別など)や位置情報を外部に送信するものもあり、プライバシーを侵害される恐れがあります」とKCCSネットワークサービス事業本部 技術顧問 徳丸浩はセキュリティリスクについて述べる。

ネットワークサービス事業本部 技術顧問 徳丸 浩

こうしたセキュリティリスクの背景には、(1)スマートフォンの市場拡大とともに、対応するアプリケーションとアプリケーション開発者が増加、(2)アプリケーションの開発・実装方法は認知されてきたものの、セキュリティ対策の観点では対応策が不十分、(3)アプリケーション上に重要な情報(個人情報やクレジットカード番号など)を保持した場合、端末上のデータが攻撃対象になり、通常の操作をしたつもりがユーザの想定しない重要情報の漏えいが起こる可能性などが挙げられる。

現在は直接的なセキュリティの被害はなくても、「ユーザやアプリケーション配信事業者は、こうしたスマートフォンのアプリケーションを取り巻く実情を理解する必要があります」とKCCS セキュリティ事業部 アセスメント課 課長 間嶋英之は述べる。そして、ユーザは信頼できるアプリケーションのみ使用することや、アプリケーション配信事業者は提供するアプリケーションの内容を事前にチェックするといった対策が求められる、と助言する。

セキュリティ事業部 アセスメント課 課長 間嶋 英之

2. スマートフォンの信頼性確保で期待されるアプリケーションの事前検査

スマートフォンのセキュリティに関心を寄せるユーザも増えている。独立行政法人情報処理推進機構(IPA)の「2010年度 情報セキュリティの脅威に対する意識調査」(調査期間:2010年10月25日~11月1日、調査対象:15歳以上のPCインターネット利用者、有効回答数:5019名)において、スマートフォン利用時の意識調査を実施。それによると、利用時の不安要素として「スマートフォン本体の紛失・盗難」(54.5%)が最も多く、以下、データの盗難・漏えい(48.7%)、第三者による不正利用(39.7%)、ウイルス感染による不正利用(39.5%)と続く。

また、必要性を感じているセキュリティ対策は、ウイルス対策ソフト(53.4%)、データ(個人情報など)の暗号化による紛失時の対策(43.6%)、リモートロックなどの不正利用防止機能(36.3%)、携帯アプリケーションに対するキャリアなどの第三者による事前検査(31.0%)となっている。「この意識調査の結果からも、端末の紛失・盗難時のセキュリティ確保やアプリケーションの事前検査による信頼性確保がポイントになります」と間嶋は述べる。

ちなみに、IPAではスマートフォンのAndroid™ OSを標的としたウイルスに関する注意を喚起している。正規のアプリケーションに、Geinimi(ゲイニミ)と呼ばれるボット型ウイルスを抱き合わせた不正なアプリケーションが第三者のアプリケーション配信サイト(Android™ マーケット外)で公開されているというもの。現時点(2011年1月21日現在)では国内で具体的な被害は確認されていないものの、ウイルス感染した端末は、意図しないメールの送受信や個人情報の漏えいといった被害に遭う可能性があり、利用者は注意が必要だという。

3. セキュリティリスクの要因となる不適切な端末の設定

「セキュリティに関する限り、ケータイとスマートフォンは別物と認識する必要があります」と徳丸は強調する。これまで日本のケータイは"ガラパゴス"と形容されるように"閉じた世界"の端末であり、インターネットを介したウイルス感染やOSなどの仕様に起因する情報漏えいのリスクがほとんどないセキュアな端末とモバイル通信網により、個人情報などが守られていた。

それに対し、スマートフォンはオープンソースの採用やインターネットの利用など"オープンな世界"の端末である。「オープンであるがゆえにスマートフォンは世界中で利用され、アプリケーションも容易に入手できるなど、さまざまな利点があります。その半面、セキュリティリスクも高くなります」と徳丸はスマートフォンの利便性と危険性がトレードオフであることを指摘する。

スマートフォンやタブレット端末は、ネット上で公開・配布されるアプリケーションをダウンロードして使い勝手を高められるなど、その利便性は多くのユーザが実感している。

個人利用の場合、お気に入りのアプリケーションをインストールして楽しむのはそれこそ自由だが、ビジネス利用では考えものだ。業務に関係のないアプリケーションをインストールする問題に加え、アプリケーションに悪意のあるプログラムが含まれ、企業の情報が漏えいするリスクも皆無でない。

さらに、AppleのiOSやGoogleのAndroid™ などスマートフォンのOSに起因する問題も指摘されている。端末の管理権限(root権限)を解除するルート奪取やJailbreak(ジェイルブレイク、脱獄の意)と呼ばれるメーカーサポート対象外の使い方により、セキュリティリスクが増すからだ。「ケータイと異なり、スマートフォンはユーザ自身による端末の設定変更も可能です。不適切な設定により、端末の紛失時にアプリケーション内の個人情報や機密情報が第三者に盗み見られるといったリスクもあります」と徳丸は述べる。例えば、スマートフォンのアプリケーションに保存されたユーザIDやパスワードが第三者に盗まれ、企業内のサーバへ不正アクセスされるといったリスクもある。

ネットワークサービス事業本部 技術顧問 徳丸 浩

4. 広範な対応策が求められるスマートフォンセキュリティ

ケータイでは、サーバ側のセキュリティ対策に留意していれば情報を守ることができた。だが、スマートフォンでは端末に保存された重要な情報が漏えいするリスクがあり、ケータイと異なるセキュリティ対策が必要になる。ノートPCの社外持ち出しの制限など、厳密なセキュリティポリシーを運用する企業でも、スマートフォンのセキュリティ対策となるとまだ手付かずというところも少なくないだろう。

スマートフォンのセキュリティとひと口にいっても、幅広い対策が求められる。例えば、不特定多数のユーザにサービスを提供するキャリアやアプリケーション配信事業者は、不正なアプリケーションが流通しないようクライアント側のアプリケーションの脆弱性をチェックする必要がある。

また、アプリケーション開発事業者は、位置情報の取得をユーザへ通知する仕組みや重要情報を端末に残さない工夫など、開発のガイドラインも必要になるだろう。そして、スマートフォンを導入する企業は「アプリケーションの脆弱性を事前にチェックすることに加え、セキュリティリスクとなるルート奪取やJailbreakの禁止など、端末設定基準の策定や端末紛失時の対応策も必要になります」と間嶋はスマートフォンセキュリティのポイントを述べる。

セキュリティ事業部 アセスメント課 課長 間嶋 英之

5. 企業のスマートフォン活用を支援するセキュリティサービス

スマートフォンのセキュリティ対策を打ち出す事業者が増える中、KCCSの優位性はどこにあるのだろうか。徳丸は「長年にわたり、PCやケータイのセキュリティ対策などで培ってきた豊富なノウハウと実績がKCCSの強みとなっています」と強調する。例えば、auのケータイ端末で動作するアプリケーション実行環境(BREW)の開発もその1つ。端末とサーバの連携によりアプリケーションが動作するため、「これまでサーバ上のアプリケーションについて、セキュリティをチェックしてきました。このノウハウと技術はスマートフォンにも応用できます」(徳丸)。
また、間嶋は「KCCSにはスマートフォン向けのアプリケーションを開発する部門があり、開発段階からスマートフォンのセキュリティを実装するためのノウハウを蓄積しています。こうした技術力や経験を活かし、スマートフォン向けセキュリティサービスを展開しています」と説明する。

KCCSでは企業ニーズに応え、すでにスマートフォンのアプリケーション診断(サーバ)を実施している。そして、新たにクライアントの診断サービスを提供する。クライアントにインストールされたアプリケーション内に個人情報などの重要情報が記録されている場合、情報漏えいのリスクの確認やルート奪取、Jailbreakによるリスクの確認などを行う。

サーバや端末のアプリケーション診断に加え、「企業が安心してスマートフォンを活用するためには、セキュリティレベルの確認やセキュリティポリシーの策定なども必要です。これらのサービスに加え、アプリケーション開発者向けのガイドラインなども順次、提供していく計画です」と間嶋は今後のサービス展開を説明する。

このように、スマートフォンのセキュリティリスクを理解した上で、必要な対策を講じることが企業やアプリケーション開発者・提供者に求められている。KCCSでは「スマートフォンアプリケーションのセキュリティ」に関する資料を用意しているので、対策の一助にしてみてはどうだろうか。

  • 「Google」「Android」「Androidマーケット」は、Google Inc.の商標または登録商標です。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。