第171号コラム:澤田 忍 幹事(株式会社NTTデータ 技術開発本部
 セキュリティ技術センタ)
題:「スマートフォンやタブレット型端末の情報セキュリティについて思うこと」

■スマートフォンやタブレット型端末の台頭
昨年、自宅PCの調子が悪くなり、次第にiPadをメインで利用するようになった。
電源ボタンを押せばすぐ起動し、手のひらやひざの上、どこでも持って行って使える便利さ、直感的な操作、見やすい画面。
非常に多くの情報とネットワークで結ばれ、新聞や電子書籍を読んだり、SNSでコミュニケーションし、様々な利用用途を実現している。
スマートフォンやタブレット型端末(以降、スマートデバイスと呼ぶ)は、通話やメールだけでなく、電子書籍やゲーム、SNS、企業システム接続、営業用ツール、決済、GPS、カメラ、ICカード機能など、様々な利用方法を実現している。AR(Augmented Reality)のような、PCでは考え付かなかったような興味深いアプリケーションなど、使い方次第で無限に利用用途が広がるデバイスだと感銘を受けた。今年度、スマートデバイスはPCの売り上げを上回ると予想されている。

■インターネットに接続する端末の変遷
20世紀のインターネットの出現は、グローバライゼーションを進め、ライフスタイルやビジネスを大きく変革した。
このインターネットを利用する端末も、さまざまな変遷を遂げることになる。

80年代から普及したデスクトップPCやノートPCといったパソコン端末は、スタンドアロンで利用できることが前提となっており、Officeのようなパッケージ製品を端末に直接インストールし、端末のローカルで動作させて利用していた。
一方、スマートフォンやタブレット型端末は、インターネット経由でアプリケーションやコンテンツをダウンロードしてローカルで動作させることが前提となっている。通常の音声通話や携帯電話(以降、フィーチャーフォンと呼ぶ)・PHS単独で使用可能な通信機能だけでなく、本格的なネットワーク機能、PDAが得意とするスケジュール・個人情報の管理など、多種多様な機能を持つ。
さらには、クラウド型サービスとスマートデバイスを連携させるアプリケーションも次々と世に出てきている。将来的には、スマートデバイスのみならず、家電製品、医療・電力管理といったマルチデバイスからサーバにアクセス可能なM2M型のクラウド型サービスに移行していくかもしれない。その際に注目されているのがオープンなウェブプラットフォームとして多種多様な機能を実現可能なHTML5であり、数年のうちに標準化される見込みである。

■スマートフォンやタブレット型端末のセキュリティ上の脅威と対策
スマートデバイスに搭載されるOSはいくつか存在するが、国内のシェアにおいて、iOSを利用したiPhoneやiPadはクローズドなプラットフォームで音楽配信などの魅力的なサービスで顧客を獲得している一方、OSの仕様がオープンで開発の際に端末ベンダーやキャリアの選択の自由度が高いAndroid OSを搭載した端末が優勢になると予測されている。
フィーチャーフォンの携帯電話回線網はクローズドで安全ではあるが、アプリケーションやコンテンツの利用はキャリアにより強く制約されている。スマートデバイスは、携帯電話回線網に加えてWifiなどのインターネット回線を利用するため、クラッカーによる攻撃やマルウェアなど脅威が増加すると考えられる。
App Store(iOS端末向けのアプリケーションマーケット)は審査済みアプリケーションが登録されているため、審査に多少時間がかかるが安全面では一段フィルターがかかっていると言える。一方、Android OS端末向けのAndroid Marketはアプリケーションの登録時に未審査であるため、多様なアプリケーションが登録可能だが安全面で懸念が生じている。いずれにしても、マルウェアが仕込まれたアプリケーションをダウンロードし、端末に保存された個人情報を取得されるといった問題が生じている。
またAndroid OSは、OSの仕様がオープンであるがゆえに、OSの脆弱性をついた攻撃や、管理者権限を獲得されセキュリティ機能を改変されるといったリスクがある。フィーチャーフォンのように、端末ハードウェア、OS、アプリケーション、コンテンツなど、キャリアが仕様を厳格に決めた垂直統合型モデルとは異なり、それぞれ違うステークホルダがOSやアプリケーションを開発している水平分離型モデルである。責任分界点が不明瞭なため、包括的なセキュリティ対策をどのように実施すべきか手探りで検討している状態である。
特に、スマートデバイスは可搬性に優れているため、端末の盗難・紛失時に備えて、端末上のデータ保護技術や、MDM(Mobile Device Management)製品といった端末管理技術の必要性が叫ばれている。
エンタープライズ向けの利用形態を考慮して、どのようなセキュリティ対策をどこまで講じるべきか、バランス良く検討する必要がある。

■スマートデバイス利用形態の特徴を考慮して企業や個人の「情報」を保護すること
一般企業における情報漏えい事故において最も多い流出経路は紙媒体で、その次はUSBデバイスである。
一方、一回の事故で流出数が最も多い流出経路はUSBデバイスである。USBデバイスのような電子記録媒体は、一回の盗難・紛失によって漏えいする情報量が圧倒的に多い。そして、電子データは流出した際に回収が非常に困難である。
スマートデバイスは電子記録媒体であるとともにネットワーク接続も可能であり、取り扱う情報は多種多様で、取扱にはさらなる注意が必要と言える。

今までは会社で貸与されるノートPCや携帯端末等の「端末」自体を盗難・紛失から物理的に保護し、HDDに格納されたデータを暗号化やユーザ認証等で保護し、インターネット経由でサーバ接続したとしてもID/パスワード・IPアドレス・VPN接続等によってアクセス制御を堅牢に行うと言った対策が一般的であった。これと同じ考え方で保護すべきスマートデバイスの資産は下記のとおりである。
<スマートデバイス端末ローカル上の情報(HDD、メモリ)>
・アドレス帳
・スケジュール表
・メール
・電子ファイル(Office文書など)
・写真、動画、画面メモ
・ブラウザのブックマーク、閲覧履歴、ID/パスワード、クッキー情報
これらの情報について、iOSやAndroid OSにおいていまだに対策が不十分な点があるため、システム構築の際に十分なセキュリティ対策を講じていく必要がある。

ところで、スマートフォンやタブレット型端末はクラウドサービスを利用可能な設計となっている。
<スマートデバイス端末からのアクセス先に格納された情報>
・クラウドサービス、オンラインストレージ上の各種データ
 -メールやスケジュール帳
 -ドキュメント共有サービスに格納されたデータ
 -写真や動画等の共有サービスに格納されたデータ
 -SNSの個人情報や記事に記載されたプライバシー情報
このようにスマートデバイス端末からアクセス可能な接続先の情報の種類や場所は非常に幅広く、一元的なセキュリティ対策が困難で、情報漏えいの際の影響が非常に大きいと言える。守るべき情報や保護方法、正しい方法で利用されているかを追跡できることが望ましい。

スマートデバイスからSNSやメール、ドキュメント管理システムといったクラウド型サービスを利用可能な端末を盗難された場合、あるいは紛失して不正利用された場合を考えてみよう。端末から接続する際のID/パスワードが分かった場合、さらにはいくつかのサービスは端末上からID/パスワードなしで利用できるものもあるため、クラウド上に保存された情報が簡単に漏えいされる状態になる。
このような、クラウド上やオンラインストレージ上の情報漏えいがスマートフォンやタブレット型端末、将来的にマルチデバイスを利用する際に懸念される重大な脅威である。エンタープライズ向けにスマートデバイスを利用する際、当初はノートPCやフィーチャーフォンと同様のセキュリティ対策を検討すると考えられるが、将来的にスマートデバイス本来の特徴を十分生かしたクラウドサービスとの連携を想定した場合、利用形態の変化に応じて、エンタープライズ利用に耐えうるセキュリティ対策を施していく必要がある。

■包括的でバランスの良いセキュリティ
現在、多くの企業がスマートデバイスを用いた開発や新規ビジネス発案を行うべく検討を進めている。企業が開発する際には開発手法を、利用するお客様向けには利用方法を、システム運用者向けには運用方法を提示する必要がある。その際に、セキュリティに関わる対策やポリシーも併せて検討すべきである。しかし、今のところ「まずは利用方法を検討する」議論が主であり、「必要なセキュリティ対策やセキュリティポリシーを検討する」といった視点についてはまだ不十分に感じられる。
スマートデバイスを企業向けに導入する際には、技術的な対策だけでなく、開発・利用・運用方法についても全体的なバランスを考慮して、包括的に整備していくことが必要である。そして、開発者・利用者・運用者を啓発・教育し、スマートデバイスの特徴を生かして有効活用するための基盤を作ることが非常に重要であると考える。

【著作権は澤田氏に属します】