セキュリティベンダーが公開しているブログの中から、今回は主にモバイル関連の話題をいくつか紹介しよう。
米シマンテックは、モバイルデバイスをとりまくセキュリティの現状について調査した結果をブログで発表した。企業では、個人所有のものも含めてモバイルデバイスの導入が広がり、従業員の生産性を高めている。現在最も使われているモバイルプラットフォームのほとんどはセキュリティを念頭に置いて設計され、従来のパソコンのプラットフォームに比べれば明らかに水準は高いものの、モバイルデバイスから定期的にアクセスされる企業資産を保護するにはまだ十分とは言えないと同社は指摘する。
一般的にスマートフォンは、外部企業が管理しているパブリッククラウド環境のサービスと連携する。同時に、多数のユーザーがモバイルデバイスと自宅のコンピュータを直接同期させている。いずれの場合も、重要な企業資産は企業による管理の範囲を越えた多くの安全ではない場所に保存されている可能性がある。
この問題の核心をとらえ、解決策を探るために、調査では現在最も人気のある2種類のモバイルプラットフォーム、米アップルの「iOS」と米グーグルの「Android」のセキュリティモデルを詳細に分析した。
それによると、iOSのセキュリティは完璧ではないものの、よく設計されており、ほとんどの種類の攻撃に対して高い抵抗力があることが証明されている。Androidは、従来のデスクトップパソコンやサーバー向けOSのセキュリティモデルより大幅な改善を施していることは確かだが、やはり完璧ではない。特に二つの欠点があるとしている。一つは、そのプロブナンス(来歴)システムから、攻撃者が匿名でマルウエアを作成し、配信できるようになっていること。もう一つは、パーミッション(権限)システムが極めて強力でありながら、最終的に重要なセキュリティの判断をユーザーに委ねていることである。残念ながら、多くのユーザーはその判断を下す技術的能力を持ち合わせていないため、ソーシャルエンジニアリング攻撃の発生を招くことになっていると指摘する。
企業にとって忘れてならないのは、iOS端末もAndroid端末も今や単独で動作するものではなく、ほとんど常になんらかのクラウドサービスか、自宅や職場のパソコン、あるいはそのすべてに接続していることだ。iOSもAndroidも適切に導入すれば、ユーザーはデータ漏えいのリスクを冒さずに端末とプライベートクラウド、エンタープライズクラウドと同期することができる。しかし、こうしたサービスが従業員に簡単に悪用される場合もあり、承認を得ていない従業員の端末上やクラウド上に企業データが公開される危険性がある。
企業は早急に、有効なデバイスセキュリティ戦略を策定して、こうしたデバイスによるリスクの緩和を図る必要があるとシマンテックは忠告している。なお、詳細な調査結果(PDF文書)は同社サイトからダウンロードできる。
