Vol.3:スマートフォンのセキュリティ対策について(2012.1.14)
第3回の今回は、スマートフォンのセキュリティ対策についてです。
スマートフォンの利用者は、ここ最近急激に増加しており、
個人だけではなく企業での導入も進んでいます。それに伴い、
スマートフォンを狙った攻撃も多数確認されるようになってきました。
このスマートフォンにおける主な脅威とセキュリティ対策はどのようなものかについて、
企業での利用の観点から説明します。
「スマートフォン」は、従来の携帯電話(「フューチャーフォン」などと呼ばれています)に
携帯情報端末(PDA)の機能等を合わせ持ち、アプリケーションをインストールすることで、
柔軟に機能が拡張できる携帯端末です。
スマートフォンには、iPhone(iOS)、Android、BlackBerry、Windows Mobileなど
いくつかのプラットフォームがあります。その中でも、現在の主流はiPhone(iOS)と
Androidになっています。そのため、スマートフォンに対する脅威は、この2つの
プラットフォームに集中しています。
スマートフォンの主な脅威としては、コンピュータウイルス感染、紛失・盗難、
社内ネットワークへの無許可の接続、などがあります。
まず、コンピュータウイルス感染では、スマートフォンに付属しているソフトウェアの
脆弱性を悪用するものがあります。
これは、主にiPhone(iOS)に対して行われる攻撃で、iOSに付属するウェブブラウザである
Safariの脆弱性を悪用して、ウェブサイトを閲覧させる、またはファイルを開かせるなどして、
スマートフォンの端末に設けられた制限を取り外す行為(「脱獄」;Jailbreak、と呼ばれています)
をさせます。端末の制限が解除されることにより、攻撃による被害を受けやすい状態になります。
次に、正規のアプリケーションを装ったコンピュータウイルスを端末にインストールさせる
攻撃があります。
これは、主にAndroid端末に対して行われる攻撃で、スマートフォンに付属するソフトウェアの
脆弱性の有無には関係なく、利用者が正規のアプリケーションを装ったコンピュータウイルスの
インストールを許可してしまった場合に成功するものです。
配布元が信頼できるかどうか、インストール時に表示される「アクセス許可」の一覧に
当該アプリに不自然なアクセス許可が含まれていないかどうかを確認し、インストール可否の
判断をすることが推奨されています。
紛失・盗難でも、スマートフォンの場合は携帯電話の場合より、影響がより大きくなります。
それは、スマートフォン自体がデータを格納できるストレージにもなっているなど携帯電話
よりも豊富な機能を持っているためです。
社内ネットワークへの無許可の接続についても、スマートフォンが従来の携帯電話としての
接続(3G回線)だけでなく、Wi-FiやBluetoothでの接続もできることから、影響がより大きくなります。
これらの脅威に対応するため、いくつかのスマートフォン用のセキュリティ対策ソフトが
提供されています。
主な機能として、端末の利用ポリシーを一括設定及び変更、リモートでの端末ロック・データ消去、
位置情報・発着信番号履歴の取得、デバイス利用(無線LAN、カメラ、アプリケーションインストール)
の制限等があります。(これらは、MDM;Mobile Device Managementなどと呼ばれています)
スマートフォンの利用者は、リスクとそのセキュリティ対策にどのようなものがあるかを
理解することが重要です。(iPadなどのタブレット端末においても、スマートフォンと
同様のリスクがあるため、同様にリスクとそのセキュリティ対策を理解することが重要です)
また、企業内でスマートフォンを利用する場合、運用管理ルールの策定はもちろんのこと、
リテラシー(基礎的な使いこなし能力)教育をすることが不可欠です。そして、スマートフォンの
更なる高機能化や利用者数の増加、想定される脅威等、今後の様々な状況を加味した柔軟な運用が
必要になります。
そのためには、日本ネットワークセキュリティ協会(JNSA)やIPA、
日本スマートフォンセキュリティフォーラム、総務省から公開されているスマートフォンの
セキュリティガイドラインなどを参考にするとよいでしょう。
―――――――――――――――――――――――――――
スマートフォンのセキュリティに関する参考資料
―――――――――――――――――――――――――――
◇「スマートフォン活用セキュリティガイドラインβ版」
(日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/2010/smap_guideline_Beta.pdf
◇「スマートフォンのセキュリティ<危険回避>対策のしおり(第1版)」
(IPAセキュリティセンター)
http://www.ipa.go.jp/security/antivirus/documents/8_smartphone_v1.pdf
◇『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』【第一版】
(日本スマートフォンセキュリティフォーラム)
http://www.jssec.org/dl/guidelines2011_v1.0.pdf
◇「スマートフォン・クラウドセキュリティ研究会 中間報告
~スマートフォンを安心して利用するために当面実施されるべき方策~」(総務省)
http://www.soumu.go.jp/main_content/000139819.pdf
文責:
長谷川 長一(はせがわ ちょういち)
株式会社ラック セキュリティアカデミー プロフェッショナルフェロー
【詳細はこちら ⇒ http://www.lac.co.jp/】
プロフィール:
情報セキュリティコンサルティングや監査に従事した後、社内外で技術者から
ユーザーまで幅広く情報セキュリティ教育業務に携わっている。
CISSP、公認情報セキュリティ主任監査人。
