特別企画

スマートフォンやタブレット端末の市場が急拡大。個人利用のみならず、業務用に導入する企業も増えている。ネット上のアプリケーション(コンテンツ)を自由にダウンロードしてクライアント端末の使い勝手を高められるなど、従来のケータイと一線を画す利便性が支持される一方、このようなスマートフォンのオープン性がビジネス利用におけるセキュリティリスクとして顕在化している。こうした中、京セラコミュニケーションシステム(以下KCCS)では、企業のスマートフォン活用を支援する「スマートフォン向けセキュリティサービス」を提供。スマートフォンをめぐるセキュリティの現状と対策についてリポートする。

INDEX

1.スマートフォン市場の拡大とともに顕在化するセキュリティリスク

ネットワークサービス事業本部 技術顧問 徳丸 浩

今、このページを会社や自宅のPCで閲覧している人だけでなく、スマートフォンを利用して移動中の電車内などで読んでいる人も多いのではないだろうか。

ケータイの利便性とPCの機能性を併せ持つスマートフォンやタブレット端末は、多種多様な製品が国内外のベンダから市場に投入され利用者が急増している。起動の早さや操作のしやすさなどが特長だ。

しかし、スマートフォンの利便性が多くのユーザに評価される一方、セキュリティの懸念事項も指摘されている。「スマートフォン向けのアプリケーションの中には、ユーザが知らないうちに個人情報(年齢、性別など)や位置情報を外部に送信するものもあり、プライバシーを侵害される恐れがあります」とKCCSネットワークサービス事業本部 技術顧問 徳丸浩はセキュリティリスクについて述べる。

セキュリティ事業部 アセスメント課 課長 間嶋 英之

こうしたセキュリティリスクの背景には、(1)スマートフォンの市場拡大とともに、対応するアプリケーションとアプリケーション開発者が増加、(2)アプリケーションの開発・実装方法は認知されてきたものの、セキュリティ対策の観点では対応策が不十分、(3)アプリケーション上に重要な情報(個人情報やクレジットカード番号など)を保持した場合、端末上のデータが攻撃対象になり、通常の操作をしたつもりがユーザの想定しない重要情報の漏えいが起こる可能性などが挙げられる。

現在は直接的なセキュリティの被害はなくても、「ユーザやアプリケーション配信事業者は、こうしたスマートフォンのアプリケーションを取り巻く実情を理解する必要があります」とKCCS セキュリティ事業部 アセスメント課 課長 間嶋英之は述べる。そして、ユーザは信頼できるアプリケーションのみ使用することや、アプリケーション配信事業者は提供するアプリケーションの内容を事前にチェックするといった対策が求められる、と助言する。

2. スマートフォンの信頼性確保で期待されるアプリケーションの事前検査

スマートフォンのセキュリティに関心を寄せるユーザも増えている。独立行政法人情報処理推進機構(IPA)の「2010年度 情報セキュリティの脅威に対する意識調査」(調査期間:2010年10月25日~11月1日、調査対象:15歳以上のPCインターネット利用者、有効回答数:5019名)において、スマートフォン利用時の意識調査を実施。それによると、利用時の不安要素として「スマートフォン本体の紛失・盗難」(54.5%)が最も多く、以下、データの盗難・漏えい(48.7%)、第三者による不正利用(39.7%)、ウイルス感染による不正利用(39.5%)と続く。

また、必要性を感じているセキュリティ対策は、ウイルス対策ソフト(53.4%)、データ(個人情報など)の暗号化による紛失時の対策(43.6%)、リモートロックなどの不正利用防止機能(36.3%)、携帯アプリケーションに対するキャリアなどの第三者による事前検査(31.0%)となっている。「この意識調査の結果からも、端末の紛失・盗難時のセキュリティ確保やアプリケーションの事前検査による信頼性確保がポイントになります」と間嶋は述べる。

ちなみに、IPAではスマートフォンのAndroid™ OSを標的としたウイルスに関する注意を喚起している。正規のアプリケーションに、Geinimi(ゲイニミ)と呼ばれるボット型ウイルスを抱き合わせた不正なアプリケーションが第三者のアプリケーション配信サイト(Android™ マーケット外)で公開されているというもの。現時点(2011年1月21日現在)では国内で具体的な被害は確認されていないものの、ウイルス感染した端末は、意図しないメールの送受信や個人情報の漏えいといった被害に遭う可能性があり、利用者は注意が必要だという。

3. セキュリティリスクの要因となる不適切な端末の設定

ネットワークサービス事業本部 技術顧問 徳丸 浩

「セキュリティに関する限り、ケータイとスマートフォンは別物と認識する必要があります」と徳丸は強調する。これまで日本のケータイは“ガラパゴス”と形容されるように“閉じた世界”の端末であり、インターネットを介したウイルス感染やOSなどの仕様に起因する情報漏えいのリスクがほとんどないセキュアな端末とモバイル通信網により、個人情報などが守られていた。

それに対し、スマートフォンはオープンソースの採用やインターネットの利用など“オープンな世界”の端末である。「オープンであるがゆえにスマートフォンは世界中で利用され、アプリケーションも容易に入手できるなど、さまざまな利点があります。その半面、セキュリティリスクも高くなります」と徳丸はスマートフォンの利便性と危険性がトレードオフであることを指摘する。

スマートフォンやタブレット端末は、ネット上で公開・配布されるアプリケーションをダウンロードして使い勝手を高められるなど、その利便性は多くのユーザが実感している。

個人利用の場合、お気に入りのアプリケーションをインストールして楽しむのはそれこそ自由だが、ビジネス利用では考えものだ。業務に関係のないアプリケーションをインストールする問題に加え、アプリケーションに悪意のあるプログラムが含まれ、企業の情報が漏えいするリスクも皆無でない。

さらに、AppleのiOSやGoogleのAndroid™ などスマートフォンのOSに起因する問題も指摘されている。端末の管理権限(root権限)を解除するルート奪取やJailbreak(ジェイルブレイク、脱獄の意)と呼ばれるメーカーサポート対象外の使い方により、セキュリティリスクが増すからだ。「ケータイと異なり、スマートフォンはユーザ自身による端末の設定変更も可能です。不適切な設定により、端末の紛失時にアプリケーション内の個人情報や機密情報が第三者に盗み見られるといったリスクもあります」と徳丸は述べる。例えば、スマートフォンのアプリケーションに保存されたユーザIDやパスワードが第三者に盗まれ、企業内のサーバへ不正アクセスされるといったリスクもある。

【次ページ】4. 広範な対応策が求められるスマートフォンセキュリティ