多くの企業が導入を考えるスマートフォン。その際に、大きな阻害要因になるのがセキュリティだ。実際のところ、スマートフォンにはどのようなセキュリティの脅威があるのか。まだ課題が残されているのか。スマートフォンセキュリティ研究所を立ち上げたラックの最高技術責任者、西本常務に聞いた。
スマートフォンセキュリティ研究所を立ち上げた。狙いは何か。
安心してスマートフォンを使っていけるよう、スマートフォンにどのような脅威が出てきそうかを研究することが目的だ。
どこに弱点があるか、どうすると弱点を突かれるか、弱点を突かれると何が起こるかといったことを押さえないと、防御方法が分からないし、脅威について周囲に伝えることもできない。
中でも一番注力しているのは、アプリケーション開発・配布の自由度が高いAndroidだ。管理者権限(ルート)を取るにはどういう方法があって、各機種でどのような対応が取られているか、攻撃をどうやって発見して、それに対してどうすればいいのか。場合によっては、このメーカーのこの機種については、こういう対応がなされているから何もする必要はない、といったことも分かる。
それとは別に、KDDIなどと共同で立ち上げたスマートフォンセキュリティフォーラムもある。
フォーラムは、企業でのスマートフォンの利用促進を目指している。企業ユーザーからは、「今はセキュリティ面を考えて利用を禁止しているが、従業員からの導入ニーズを止められない」などという声が多く聞かれる。スマートフォンが普及していくように、そうした企業に向けて、「こうしておけば大丈夫」というモデルを見せていきたい。
金融機関のディーリング担当者、社会インフラ設備の運転人員などが業務で使うとなれば話は違うが、そこを区別するのは当たり前。少なくとも一般の企業で安心して使えるように、その方法を提示していく。
Geinimiなど、Androidをターゲットにしたマルウエアが現れていることについて、どう見ているか。ブログなどでいろいろと情報も流れている。
少しあおり過ぎだろう。それほど不安に思う必要はない。確かにマルウエアは出てきているが、現状では、普通に使うアプリケーションの中にそういうマルウエアがあるわけではない。パソコンのように普通に使っているうちに感染してしまうという類のものでもない。特定のアプリケーションマーケットからダウンロードしたアプリケーションに含まれているだけで、ユーザーが好き勝手にダウンロードしたりしなければ被害は受けない。
現状では、そういう判断材料となる情報があまり伝わっていない。今出回っているアプリケーションが何種類くらいあって、日本のユーザーがダウンロードしたアプリケーションがどのくらい、そのうちどの程度の割合でウイルスが紛れ込んでいたかなど、そういう状況を伝えていくべきだろう。
使い方をきちんと周知しておけば安心して使えると。
そう。これはAndroidのアプリケーションプラットフォームのぜい弱性と言っていい。他人が作ったアプリケーションを改造して再配布することも、技術的にはできてしまう。だから、企業で安心して使うには、使っていいアプリケーションと、それをダウンロードしていいマーケットを限定し、それを周知徹底する。
重要なのは、そういう使い方に関するコンセンサスだ。実は、そういう点でスマートフォンはソーシャルメディアとよく似ている。ソーシャルメディアも、現在は多くの企業が利用に悩んでいる。
もう少し具体的に言うと?
我々は「サイバー119」というサービスを提供している。これは、情報漏えいや不正侵入といったセキュリティ事故が発生したときにオンサイトで人を派遣し、緊急対応と復旧支援を行うサービス。実はこのサイバー119の案件で、この半年ほど内部告発に関連するものがすごく増えてきている。
こうした内部告発を気にする企業では、情報が漏れ出す元になるソーシャルメディアは使いにくい。逆に言えば、檻の中から使うように、ある程度の制限の下で使えるなら浸透していくはず。そういう企業ではスマートフォンも導入しやすいだろう。
西本 逸郎(にしもと・いつろう)氏
(聞き手は、河井 保博=日経コミュニケーション,取材日:2011年4月4日)
