※本記事は、マカフィー株式会社 プロダクトマーケティング部スペシャリスト 松久育紀によるものです。
去年の後半から本格的にAndroid OSを搭載したスマートフォンが日本市場にも出始めたことにより、それまで実質iPhoneとBlackBerry、Windows Mobileのみであったスマートフォン端末選択の幅が広がり、それに伴い市場も急激な伸びを見せています。
IDC Japanによると、スマートフォンの2010年国内出荷台数は約500万台となり、法人加入者は2010年が65万人、2011年には約2倍の134万人、2014年には554万人に達すると予測されています。同様にiPadを始めとしたメディアタブレットも出荷台数が2010年は50万台、2011年は142万台と、こちらも市場の拡大が顕著です。一方、ノートブックPCの出荷台数は2010年803万台、2011年799万台とほぼ横ばいの推移と予測されており、これからのモバイルデバイス市場の中心がスマートフォンやメディアタブレットになることは間違いないといえるでしょう。その可搬性の高さや高機能性、ノートPCと比較した場合の低コスト性などの利点から、実際にビジネス目的でスマートフォンやタブレットを導入する企業も徐々に増え始めています。さらに、ITコンシューマライゼーションによって、個人利用と企業利用の境界はより曖昧なものとなり、個人所有のスマートフォンやタブレットから企業のネットワークやシステムにアクセスするケースも今までより格段に増えていくと思われます。
スマートフォンやタブレットの普及に伴うITコンシューマライゼーションが進むことによって、企業の生産性の向上やコストの削減が期待される一方、企業の機密データの保護を懸念する声もあげられています。マカフィーが実施したモバイルデバイスの企業利用に関する調査(2011年5月発表)によると、調査対象企業の7割が携帯端末に対する依存度が1年前よりも高くなったと回答しています。また、回答者の半数以上がITコンシューマライゼーションによってセキュリティ問題が増えると答えており、約半数(45%)は個人所有の端末と関連技術を社内で管理することが必要と考えていることが明らかになっています。
スマートフォンを企業で使用する上でのセキュリティ問題とは?
では、実際にスマートフォンやタブレット端末を企業で使用する場合、どのようなセキュリティリスクが発生するのでしょうか。右記の図表3は前述のマカフィーが実施した調査内のセキュリティ問題に関する質問への回答ですが、この結果から携帯端末におけるセキュリティリスクは大きく分けて3つに分類できます。
まず1つ目は、情報漏えいに関するリスクです。スマートフォンやタブレットは小型で可搬性が高い一方、盗難や紛失のリスクも高い傾向にあります。携帯端末の紛失・盗難は10社に4社の割合で発生しており、紛失・盗難にあった端末の半数に重要なビジネスデータが保存され、紛失したケースの3分の1以上で金銭的な被害が出ているというデータもあります。また、クレジットカード番号やショッピングサイトのアカウント情報などの個人情報を保存しているユーザーも50%以上に上っています。端末自体にパスワードやPINコードでロックをかけていないユーザーも多くデータの暗号化も行っていないため、端末を紛失・盗難した場合の情報漏えいに対するリスクはかなり大きいといえるでしょう。
2つ目のリスクは、携帯端末に対するポリシー制限がされていないことによる、社内システムへの不正端末のアクセスです。マカフィーの調査によれば、95%の企業は携帯端末用のセキュリティポリシーを策定していますが、そのポリシーを正確に理解している従業員は3分の1にも満たない状況です。管理者側でも、ポリシーの作成や、データと端末の使用状況を監視・報告するのが簡単だと答えたのはわずか1割です。ポリシーが存在してもそれが遵守されていなければ、意味をなさないといえるでしょう。携帯端末からのインターネット接続やダウンロードには制限を設けなければ、企業で未承認のアプリケーションがインストールされた状態で企業システムに接続されてしまう危険性が発生します。
3つ目のリスクは、スマートフォンをターゲットにしたマルウェアの脅威です。携帯端末を狙ったマルウェアの数は年々増加していますが、特に2010年からAndroid OSを狙ったマルウェアの数が増加しており、2011年もその傾向は続いています。作成されるマルウェアも日々進化しています。端末の起動阻止やSMSの削除など端末単体に影響を及ぼすものだけでなく、個人情報や金銭窃盗を目的としたものも作られ、手法の巧妙化が進んでおり、中にはPCウイルスとの連携を行うものや、権限昇格を行って端末そのものを乗っ取ってしまうような高度なマルウェアも出始めてきています。マルウェアに対する危険性はPCと同じレベルにまで高まってきているといっても過言ではないでしょう。
iOSとAndroid OSのセキュリティの仕組みと相違点
ここからは、さらに詳しくスマートフォンに対するセキュリティリスクに関して見ていきたいと思います。現在のスマートフォン市場において、プラットフォームシェアの80%はAndroid OS, iOS, BlackBerryで占められており、BlackBerryがシェアを落とす一方で、Android OSとiOSは確実にシェアを拡大し続けています※。この2つのスマートフォン向けOSは、しばしば販売台数や機能で比較されがちですが、ここでは、セキュリティの観点で見た場合の両者の違いについて見てみましょう。
※comScore Reports April 2011 U.S. Mobile Subscriber Market Shareより
まず、スマートフォンにおけるセキュリティの仕組みには以下のようなものがあげられます。
- 配布アプリケーションのコントロール
- プラットフォームベンダによる配布先の制限
- OSが持つアクセスコントロールの使用
- OSが提供するAPIの使用を制限
- 遠隔削除(キルスイッチ)
- OSレベルでの端末の暗号化
1,2は各プラットフォームベンダによる配布先サイトの運営です。iOSであればAppStore、Android OSであればAndroidマーケットという形でベンダがアプリの配布サイトを用意しており、アプリの審査を行い、問題がない場合にのみ配布を許可しています。しかし、iOSに比べると、Andoridマーケットの審査はあまり厳格に行われておらず、またAndroid OSの場合、Androidマーケット以外でもアプリの配布が可能なため、配布されるサイトやアプリの安全性を保証できないという問題があります。
3,4はOSに実装されたセキュリティモデルになり、ユーザーカウントやパーミッションによってシステムへのアクセス制限を行っています。iOSにおけるJailbreakや、Andorid OSにおけるRoot化といったものは、このアクセス制限を無くすための手段です。
Android OSアプリケーションのパーミッション例
5はプラットフォームベンダがリモートから特定の端末内のアプリを消去する技術で、Googleは過去に少なくとも2回使用したことが明らかになっています。いずれもAndroid端末からマルウェアを除去するための措置でした。
6は、iOS4以降には標準で搭載されているハードディスクの暗号化機能で、Android OSの場合、OS側には搭載されていないが、端末メーカーによっては独自に搭載している機種も存在します。上記以外にもiOS4以降のローカルワイプ機能などもありますが、基本的にはOSのセキュリティ機能だけを比較すると、両者共に大きな違いはないように思われます。しかし、実際にはAndorid OSにおけるマルウェアの数や被害は、iOSよりはるかに多いのが現状です。この理由は、いくつかありますが、最も大きいのはAndroid OSがオープンソースのシステムであるということです。
Android OSは、LinuxをベースにしたオープンソースのOSであり、アプリケーション開発が誰でも可能で、作られたアプリも配布が自由で、世界中の誰でもインストール可能です。オープンソースであるがゆえに、ソースコードを閲覧することも可能で、悪意を持ったマルウェア開発者は、ソースコードを解析することにより脆弱性を見つけることができます。また、Linuxで見つかった脆弱性がそのままAndroid OSにも存在することもあり、実際にそれらの脆弱性を狙ったマルウェアも作成されています。加えて、前述のようにアプリケーションの審査もAndroidマーケットでは厳密に実施されていないため、実に50種類以上のトロイの木馬がAndroidマーケットからリリースされています。
それに対してiOSは、上記のような情報の公開を制限することで、セキュリティをある程度確保できていますが、脆弱性が全くないというわけではなく、「JailbreakMe」といったiOSの脆弱性を利用してJailbreakを行うようなツールも作られています。
JailbreakMe - Safari の脆弱性を利用したブラウザベースの脱獄(Jailbreak)手法。iPhoneやiPadからサイトに接続し、リンクをスライドするだけでJailbreakが完了する。
スマートフォンやタブレット端末の脅威を防ぐためには
ここまでスマートフォンやタブレット端末におけるセキュリティリスクやマルウェアについて述べてきたが、これらの脅威を防ぐ基本的な方法として以下の項目があげられます。
- 端末には必ずパスワードロックをかける
- 企業ネットワークへ接続する端末にはセキュリティポリシーを徹底させる
- 知らないアプリケーションや不要なアプリケーションのインストールはしない
- アプリケーションマーケットの素性をチェックする
- インストール時にパーミッションを確認し、怪しいと思ったらインストールしない
- 端末のJailbreak、root化を絶対にしない
- セキュリティソフトウェアの導入を行う
企業でスマートフォンやタブレットを使用する場合、個人所有のデバイスを含めた企業ネットワークに接続するすべての携帯端末に対してこれらの対策を行うのは、決して容易ではありません。企業でスマートフォンやタブレット端末をビジネス利用する場合のセキュリティ対策の実践編としては、MDM製品やマルウェア対策製品の導入が必要です。
※この記事は、McAfeeの運営しているブログから、注目のエントリーを編集部でピックアップし、転載しているものです。
