- 2020/11/12
- セキュリティ
スマートフォンのセキュリティについて企業が知っておくべきこと
Post by : Sean Mooney
モバイルデバイスは、誰にとっても日常生活に欠かせないものであるだけでなく、あらゆる企業にとってビジネスを円滑に機能させるための基盤となっています。多くの人がプライベートでもビジネスでもスマートフォンを利用していることから、企業データの漏洩の脅威が高まっています。ハッカーの攻撃手法が進化するにつれ、企業環境への侵入口として、スマートフォンのセキュリティの脆弱さを狙った攻撃が増えてきています。
スマートフォンは、ビジネス(社内イントラネットやメールなどへの接続)だけでなく、個人情報へのアクセス(金銭管理や買い物など)にも利用されるようになり、エンドポイントのスマートフォンユーザーも企業も危険にさらされるようになっています。
特に、スマートフォンにダウンロードするアプリの種類が増えているため、危険性が増しています。iOSとAndroidのモバイル端末向けの アプリが市場に多く出回るようになるにつれ、どのスマートフォンを使用しているかに関わらず、そのセキュリティへの関心が高まっています。
オペレーティングシステムのセキュリティ – Android とiOS
AndroidとiOSのどちらが安全かについては議論が絶えません。事実、どちらにも長所と短所があります。多くの人がAndroidのセキュリティに疑問視していることは、 Androidアプリの提供有無やAndroidスマートフォンとしての販売有無の規制がないことです。
しかし、Android端末はかなり細かい設定ができるため、ユーザーはプライバシーの設定を完全に制御することができます。また、ユーザーはAndroid端末を最新の状態に保ち、未知のアプリや疑わしいアプリをダウンロードしないようにすることで、デバイスの安全性を確保することができます。
一方、AppleのiOSは、Appleによって厳重に管理されており、Apple App Storeで提供されるアプリは厳重に管理されています。これほどの管理によって、Appleはスマートフォンであっても良好なセキュリティを確保できています。
しかし、AppleのiPhoneでもマルウェアやハッキングを受ける可能性がある脆弱性が発見されています。つまり、セキュリティを100%保証できるスマートフォンのOSは存在しないのです。
いずれにしても、ほとんどのスマートフォンユーザーは、オペレーティングシステムがどれだけセキュアなものであっても、安全ではないアプリをたまたまダウンロードしてしまったときには、必ずしも自分を守ることができるわけではないということです。残念ながら、スマートフォンをプライベートとビジネスで利用することに伴う潜在的なリスクは、ほとんどの従業員が考えているようなものではありません。
スマートフォンに対する一般的なサイバー脅威
一般的な脅威として、マルウェア(トロイの木馬、スパイウェア、ウイルス)、サイバー詐欺(フィッシング)、悪意のあるデータ侵害(ブルートフォース攻撃)、ソフトウェア/ハードウェアのセキュリティの弱点(ゼロデイ脆弱性)などがあります。
スマートフォンの脅威で圧倒的に多いのはトロイの木馬で、モバイルマルウェア全体の90%以上を占めています。
スマートフォンの基本的な注意事項
企業は、従業員がスマートフォンを利用する際に、以下のことを意識してもらう必要があります。
- できるだけ早く、常に最新バージョンのOSにアップデートすること。アップデートプログラムには、最新のマルウェアを阻止できるセキュリティパッチが含まれているため、スマートフォンのセキュリティを確保するうえで非常に重要です。
- 会社がインストールしたデータ保護プログラムを無効にしたり、迂回したりしないこと。会社から提供されるスマートフォンには、おそらくIT部門によって機密データを保護するセキュリティプロトコルがインストールされています。これらの保護機能はやや面倒で処理に数秒かかることもありますが、会社の重要なデータの安全性を確保するためには必要不可欠です。
- アプリはOSネイティブのアプリストアからのみダウンロードすること。基本的には、Apple、Google Play、またはMicrosoftのストアのみを利用してください。それでも、ダウンロードする際は、アプリストアやインターネットでアプリのレビューを見つけて読むようにしましょう。
- アプリをダウンロードする前に、必ずアプリの安全性を確認すること。ほとんどのスマートフォンでは、ダウンロードする前にアプリの安全性を確認することができます。
- スマートフォンでは、常にリモートデータの「ワイピング(消去)」を設定しておくこと。これを設定しておくと、デバイスの紛失や盗難にあった場合に、インターネットブラウザを介してWebサービスにログインして、すべてのデータを消去することができます。
モバイルセキュリティはサイバーセキュリティプラットフォームに不可欠な要素
今日の企業では、スマートフォンのセキュリティに関する基本的な行動を従業員に教育することの重要性に加えて、組織のサイバーセキュリティプラットフォームに不可欠な要素として、堅牢なモバイルセキュリティシステムの必要性が認識されています。
スマートフォンのセキュリティは、スマートフォンやそのユーザーの行動だけでなく、デバイスのセキュリティを制御・管理するために企業のサーバーにインストールされたモバイルデバイス管理(MDM)技術にも依存しています。強力なセキュリティを確保するためには、この両者の連携が求められます。
モバイルデバイスのセキュリティに対する脅威は以前から存在していましたが、テレワークの増加とともに、その脅威も増加傾向にあります。日常業務でのスマートフォンの利用が増えたことで、企業の機密情報を盗み出す新たな機会が生れ、サイバー犯罪者たちの関心を集めています。その結果、モバイルセキュリティは、あらゆる企業のサイバーセキュリティプラットフォームの不可欠な要素となっています。
ホワイトペーパー「モバイルのサイバー脅威を検知するためのユースケースTOP10」
モバイルデバイスに対するサイバー攻撃を検知し、優先順位を付け、対応するMobile Threat Defense(MTD:モバイル脅威対策)ソリューションの能力を評価するときに重要なことは、それが包括的なエンドポイント保護戦略とどのように統合されるかを理解することです。
本ホワイトペーパーでは、企業がMobile Threat Defense(MTD:モバイル脅威対策)を実施する上で必要なユースケースTOP10をまとめてあります。MTD製品の選定の際に活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/4590/
