写真1●NRIセキュアテクノロジーズでMSS事業本部MSS開発部ITセキュリティスペシャリストを務める原田大氏
写真1●NRIセキュアテクノロジーズでMSS事業本部MSS開発部ITセキュリティスペシャリストを務める原田大氏
[画像のクリックで拡大表示]

 「スマートフォンのセキュリティ対策ソフトを過信してはいけない」---。NRIセキュアテクノロジーズでITセキュリティスペシャリストを務める原田大氏(写真1)は2011年12月15日、「スマートフォン&タブレット2011冬」で講演し、スマートフォンを業務で安全に利用するためのポイントを解説した。

 企業は現在、BYOD(私物解禁)やBCP(事業継続計画)の需要を受け、Android搭載機、iPhone/iPadといったスマートフォン/タブレットを業務に利用し始めている。講演では、これらの端末を安全に使うために押さえておかなければならないポイントとして、脅威の最新動向、セキュリティ製品の動向、セキュリティの運用方法、を提示した。

スマホは攻撃者にとって“使いやすい”デバイス

 原田氏はまず、最近の脅威の動向として、スマートフォンの特性を生かすかたちで攻撃手法が多様化していると指摘した。例えば、QRコードで誘導して侵入経路を確保する、Twitterやブログ、短縮URLで誘導する、音声通話を録音・送信する、といった具合だ。

 攻撃の背景にある目的は、現在のところは、一般消費者を利用して詐欺を働き、クリック報酬型広告やアフィリエイトから金銭を稼ぐ、というものが多いという。ところが、将来的には、特定の組織や企業を狙い撃ちする標的型攻撃に悪用される可能性が高く、注意が必要だと指摘した。

 というのも、企業の情報を狙う場合、スマートフォンは攻撃者から見て“使いやすい”デバイスになっているからだという。「メールを見たり、アドレス帳から従業員の情報を取得したりできる。また、内蔵マイクを利用すれば盗聴器としても利用でき、会議の内容が筒抜けになってしまう。さらに、攻撃対象を絞り込む際に位置情報を利用できる。位置情報をウォッチすることで、端末の所有者が霞が関の官僚であることが推測できたりする」(原田氏)。

パソコンとは違う防御技術が必要に

 狙われやすいスマートフォンを守るには、幾重にもセキュリティを組み合わせた多重の防御が大切、と原田氏は続ける。従業員の教育(ITリテラシ)、ウイルス対策ソフトやURLフィルタリングソフトの導入、OSのバージョン統制、アプリケーション統制(利用できるアプリと利用できないアプリを強制)、などが大切だという。

 こうした多重防御が必要になる背景には、Windowsパソコンと比べて、技術面においても運用面においても、セキュリティを維持することが難しいという状況がある。例えば技術面では、OSが備えるセキュリティ機能が逆にあだとなり、セキュリティソフトでできることが少ないという。システム管理者権限を得られない、サンドボックス構造のため別のアプリケーションの領域を見られない、といった具合だ。

 スマートフォン向けのセキュリティソフトとしては、遠隔操作やデータの遠隔消去、インストールアプリの把握などが可能なMDM(モバイル端末管理)ソフトが一般的だ。だがいくつかのMDMソフトには「“わな”がある」と原田氏は指摘する。それは、スマートフォン利用者が、簡単にMDMソフトを無効化できることだ。「iPhone OTA(Over-The-Air)による配布などのように、利用者が設定を削除できない仕組みを採用したソフトを選ぶことが大切」(原田氏)という。

 また、2011年に社会問題化した標的型攻撃に対抗するには、シグネチャ形式のマルウエア対策ではなく、振る舞い検知型のマルウエア対策が必要になるという。標的型攻撃では、1社だけをピンポイントで狙って既知のマルウエアを用いずに攻撃するからである。

私物端末の運用ポリシーを整備せよ

 運用面でも、スマートフォンはセキュリティの維持が難しい。私物であることなどが災いし、セキュリティポリシーやルールの適用が困難になるからだ。原田氏は、オンライン雑誌「Computerworld」(IDGインタラクティブ)の調査記事(2011年7月)を引き合いに出し、私物端末を業務で利用するルールを用意しているかどうかについてのデータを提示した。これによると、ルールがあるという回答が37%、ルールがないという回答が52%、分からないという回答が11%だった。

 ルールを整備するポイントとして原田氏は、私物端末へのセキュリティ対策をどうするか、サポートする端末の多様性をどうするか、労務管理(業務時間や端末費/通信費)など労働組合との調整をどうするか、の三つを挙げた。そうした上で、私物利用におけるポリシーの例として米Unisysが作成したサンプルポリシーと、国内2社の例を紹介した。

 Unisysが作成したサンプルポリシーは、強固な管理の例だ。社員は、私物を使い始める際に誓約書へのサインを求められ、端末には証明書をインストールしなければならない。さらに、端末の紛失時と退職時には会社がリモートで全データを消去することにも合意する必要がある。

 国内事例の一つは、管理職(希望者)による承認ワークフロー作業を、私物端末のWebブラウザーから実施するというものである。特定の種類のWebブラウザーからのVPN接続を許可する。同社も、使い始める際には誓約書への同意を必須にしているという。

 もう一つの国内事例は、全社員(希望者)にリモートデスクトップ環境を許可するというものだ。自席のWindowsパソコンと仮想デスクトップ環境に、iPadなどのタブレットからアクセスし、Windowsの画面を遠隔操作する。ID/パスワードとOTP(ワンタイムパスワード)のハードウエアトークンを利用する。こちらも、使い始める際には誓約書への同意が必須となる。

■変更履歴
私物端末の運用ポリシーの導入事例として、国内2社のほかに米Unisysの例を挙げていましたが、米Unisysが作成したサンプルポリシーを米Unisys自身は導入していませんでした。以上、お詫びして訂正します。本文は修正済みです。 [2011/12/16 20:20]