モバイルセキュリティとは？必要性と種類

モバイルセキュリティとは、スマートフォン、タブレット、ノートパソコンなど、モバイルデバイスを保護するための戦略、インフラ、ソフトウェアのことです。モバイルデバイスのサイバーセキュリティには、ローカルデバイス上のデータと、デバイスに接続されたエンドポイントやネットワーク機器の保護が含まれます。ユーザーがデスクトップよりもモバイルデバイスを好む傾向が続くにつれて、モバイルデバイスは攻撃者にとってより大きな標的となるでしょう。

出張や在宅勤務をするユーザーが増えるにつれ、企業の従業員を含め、モバイルデバイスはますます日常生活に溶け込むようになってきています。かつてインターネット閲覧はデスクトップに限られ、出張の多い従業員はノートパソコンしか持っていませんでした。現在では、インターネットを閲覧する方法としてモバイルデバイスが好まれており、これらのデバイスからのトラフィックはデスクトップよりも多くなっています。

モバイルデバイスの攻撃対象はデスクトップよりもはるかに大きく、企業のセキュリティにとってより重大な脅威となっています。デスクトップは主に外部からの攻撃によって脅威を受けますが、モバイルデバイスは物理的および仮想的な攻撃に対して脆弱です。ユーザーはどこへ行くにもモバイルデバイスを持ち歩くため、管理者はより多くの物理的な攻撃（盗難や紛失など）や、サードパーティ製アプリケーションやWi-Fiホットスポットからの仮想的な脅威（中間者攻撃など）を心配しなければなりません。デスクトップは企業ネットワークから移動しないため、管理者はネットワークとエンドポイントのセキュリティを管理するのが容易です。しかし、モバイルデバイスの場合、ユーザーはデバイスをroot化したり、任意のアプリを追加したり、物理的に紛失したりする可能性があります。

このような多くの理由から、企業はモバイルデバイスに関する戦略を立てる際に多くのオーバーヘッドを抱えることになります。オーバーヘッドがかかったとしても、モバイルデバイスはデータの完全性に重大な脅威をもたらすため、モバイルセキュリティは重要です。

モバイルデバイスに対する物理的な脅威には、主にデータ損失と情報窃盗の2つがあります。自然災害もまた、データ損失の原因となる問題ではありますが、情報窃盗の原因にはなりません。紛失したデータは復元できますが、情報窃盗は組織にとって高額な損失をもたらす問題となります。モバイルデバイスには、デバイスが盗まれた際に情報窃盗を防ぐための画面ロック機能が備えられています。しかし、攻撃者が画面ロックを回避し、ストレージデバイスを取り出して情報を抽出することを防ぐには、その技術は十分に高度でなければなりません。

デバイスが盗まれた場合、携帯電話をロックする前には、ホーム画面にアクセスするために何度かPIN入力の試行が要求されるはずです。このセキュリティ機能により、ホーム画面のPINに対する総当たり攻撃を防ぐことができます。機密データのある端末の場合は、ホーム画面の暗証番号を何度か間違えると、端末の全データが削除されるワイプアプリケーションを使うべきです。また、暗号化されたストレージドライブは、攻撃者がPIN機能を回避してデバイスから直接データを流出させることを阻止します。

管理者はデスクトップにインストールされるアプリケーションをブロックできますが、モバイルデバイスを持つユーザーは何でもインストールできます。サードパーティのアプリケーションは、モバイルデバイスのセキュリティにいくつかの問題をもたらします。企業はモバイルデバイスを取り巻くポリシーを策定し、未承認のサードパーティ製アプリケーションをインストールすることの危険性をユーザーに理解してもらう必要があります。

ユーザーが携帯電話をroot化することはできないはずですが、一部のユーザーはroot化し、オペレーティングシステム内部のセキュリティ制御の多くを使用不能にします。root化されたデバイス上で実行されるサードパーティ製アプリケーションは、多くの攻撃方法を用いて攻撃者にデータを開示する可能性があります。また、サードパーティのアプリケーションには、マルウェアやキーロガーが埋め込まれていることもあります。マルウェア対策プログラムをインストールすることは可能ですが、root化されたデバイスでは、これらのアプリケーションさえもマルウェアに操作される可能性があります。

モバイルデバイス、特にBYOD（Bring-your-own-Device）は、内部ネットワークにとって脅威となります。マルウェアがネットワークをスキャンして、開いているストレージロケーションや脆弱なリソースを探し出し、悪意のある実行ファイルをドロップして悪用することは珍しくありません。これは、十分なセキュリティが確保されていないモバイルデバイス上で気づかないうちに発生する可能性があります。

管理者は、BYOD を使用するすべての人にマルウェア対策を強制的にインストールさせることができますが、それでもソフトウェアが最新であることは保証されません。企業が顧客や従業員向けにWi-Fiホットスポットを提供している場合も懸念事項となります。従業員がWi-Fiに接続し、他のユーザーがデータを読み取れる場所でデータを転送すると、ネットワークが中間者（MitM）攻撃に対して脆弱になり、攻撃者が認証情報を盗んだ場合、アカウントが乗っ取られる可能性があります。

モバイルアプリは、エンドポイントを使用してデータや内部アプリケーションに接続します。これらのエンドポイントはデータを受信して処理し、モバイルデバイスにレスポンスを返します。エンドポイントやウェブベースのアプリケーションは、組織に脅威をもたらします。アプリケーションによって使用されるエンドポイントは、攻撃者を阻止するために、認証と認証制御によって適切にコード化されなければなりません。不適切に保護されたエンドポイントは、攻撃者の標的になる可能性があり、攻撃者はエンドポイントを利用してアプリケーションを侵害し、データを盗むことができます。

モバイルデバイスの普及がますます進んでいるため、ウェブベースの攻撃の中には、これらのユーザーを標的にしたものも存在します。攻撃者は、公式サイトのように見せかけたサイトを利用し、ユーザーを騙して機密データをアップロードさせたり、悪意のあるアプリケーションをダウンロードさせたりします。動画やその他のメディアソースを見るには、アプリをダウンロードする必要があると攻撃者がユーザーに伝えることも珍しくありません。ユーザーはアプリをダウンロードしても、それがデバイスの脆弱性を探り、データを開示するための悪意のあるアプリであることに気がつきません。

モバイルデバイスを使用する組織には、攻撃者からモバイルデバイスを保護するためのいくつかの選択肢があります。モバイルセキュリティのコンポーネントは、モバイルデバイスを取り巻くサイバーセキュリティ戦略を定義するために使用できます。企業戦略にインフラを追加するだけでなく、デバイスにインストールできるものとできないものをユーザーに指示する BYOD およびモバイルデバイスポリシーを策定することも重要です。

以下のコンポーネントは、モバイルデバイスに向けられた攻撃から組織を守るのに役立ちます。

• ペネトレーションスキャナ： 自動スキャンサービスを利用して、エンドポイントの脆弱性を見つけることができます。エンドポイントで使用すべきサイバーセキュリティはこれだけではありませんが、データ侵害に使用される可能性のある認証や認可の問題を見つけるための最初のステップとなります。
• VPN：遠隔地からネットワークに接続するユーザーは、常にVPNを使用するべきです。モバイルデバイスにインストールされたVPNサービスやクラウドセキュリティは、デバイスからエンドポイント、あるいはデバイスから内部ネットワークへのデータを暗号化します。モバイルデバイスから内部ネットワークへの企業トラフィックを保護するために特別に設定されたサードパーティサービスも数多くあります。
• 監査とデバイスコントロール： 管理者はスマートフォンやタブレットを遠隔操作することはできませんが、ユーザーにリモートワイプ機能や追跡サービスのインストールをリクエストすることはできます。GPSを利用して盗まれたデバイスの位置を特定したり、リモートワイピングソフトウェアで重要なデータをすべて削除したりすることができます。
• メールセキュリティ： フィッシングは、すべての組織にとって最大の脅威の1つです。メールサービスは通常、ユーザーがメールメッセージを取得できるようにモバイルデバイスに追加されています。あらゆるフィッシングメッセージが、悪意のあるリンクや添付ファイルを使ってモバイルデバイスを標的にする可能性があります。メールフィルターは、疑わしいリンクや添付ファイルを含むメッセージをブロックしなければなりません。