モバイル アプリのセキュリティ脅威を回避する方法


(この記事は 2016 10 27 日に Office Blogs に投稿された記事 How to avoid mobile app security scares の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

職場のモバイル化により各自のデスクから解放され、相手が同じ部屋、同じビル、または国内にいるかどうかにかかわらず、効率的に共同作業を行うことが可能になりました。モバイル化を実現するモバイル デバイスやアプリ、ポリシーにより、新しい働き方が生まれました。しかし、電子ネットワークが広がるにつれて企業のセキュリティ リスクも高まっています。

セキュリティ脅威は決して軽視できません。些細な問題が企業に大きな損失をもたらすこともあります。IBM (英語) と Ponemon Institute が実施した調査では、データ漏えい 1 件あたりの企業の平均損害総額は 379 万ドルにも上ると報告されています。このため、企業は自社の保護のための手段を講じる必要があります。

BYOD を管理しシャドウ IT を抑制

職場のモバイル化を望む社員が増えるにつれて、個人所有デバイスの業務利用 (BYOD) ポリシーの規定が一般的になっています (英語)。Aberdeen Group の調査 (SearchSecurity (英語)) によると、対象企業の 77% が上層部からの生産性向上の指示でモバイル化を始めています。しかし、無許可アプリの使用がサイバー攻撃の脅威となります。

SearchSecurity (英語) によると「BYOD が浸透するということは、社員が個人所有のスマートフォンやタブレットを、おのおのの場所において、また各自でモバイル アプリをダウンロードして業務に使用するということである」と述べています。このように、安全性が保証されていないアプリを無許可で (または無意識に) 組織内で使用することをシャドウ IT と呼び、組織を脅威にさらす原因となっています。企業が BYOD のベスト プラクティス (英語) に関してプロアクティブな IT ポリシーを規定しても、社員が必ずそれを守るとは限りません。

情報を最大限に保護するためには、脅威からのネットワーク監視 (英語)、BYOD ポリシーの作成、使用可能なアプリのリスト提供、安全なモバイル戦略の重要性に関する継続的な社員教育などを行う必要があります。

モバイル アプリのセキュリティに対する投資

理想的なのは、アプリケーションによるデータへのアクセス時や他のアプリとの連携時に起こり得るあらゆる可能性を開発者が予測し、安全性を考慮して一から設計することですが、現実はそうもいきません。開発者やソフトウェア企業はモバイル アプリケーションの開発にばく大な投資を行っていますが、セキュリティ関連の予算はあまり多くありません。モバイル アプリのセキュリティ関連の不具合にほとんど注意が払われていないため、その脆弱性により深刻な脅威が発生することがあります。IBM と Ponemon Institute が実施した調査 (TechTarget (英語)) では、モバイル アプリの開発予算は平均 3,400 万ドルですが、セキュリティ関連の予算はそのうちわずか 6% です。

企業のデータや情報へアクセスするアプリについては、データ漏えいが発生してしてからではなく、アプリの開発段階からセキュリティを確保しておくことが重要です。

脆弱性や脅威の監視が必要な場所

マイクロソフトによる 2016 年のサイバーセキュリティに関する傾向 (英語) では、公表されたすべての脆弱性のうち 44.2% が Web ブラウザーや OS 以外のアプリケーション (主にモバイル アプリ) で発見されたものでした。

「セキュリティ チームの多くは OS や Web ブラウザーの不具合の修正に重点を置いていますが、公表されている脆弱性の数を見ると実際これらに関するものは少数で、ほとんどはアプリケーションで発見されています。セキュリティ チームはアプリケーションの脆弱性の評価と対応に十分な時間を割くべきであり、これを怠ると環境内に存在する多数の脆弱性を見逃すことにつながります」

アプリケーションを基盤とする脅威 (マルウェアやスパイウェアなど) 以外にも、Web を基盤とする脅威 (フィッシングやダウンロードによるもの、ブラウザーへの攻撃など)、ネットワーク関連の脅威 (ネットワークへの攻撃や Wi-Fi のスニッフィングなど)、物理的な脅威 (デバイスの紛失や盗難など) のように、さまざまな要素がモバイル セキュリティの欠陥により脆弱性となり得ます。

真のモバイル セキュリティでは、大局的に状況を見て、ネットワークの脅威を継続的に監視します。前述のような脆弱性の発生をカバーするために、幅広いセキュリティ アプローチを採用しましょう。

モバイル セキュリティを最優先に

現在では、リモート ワーカーや出張が多い社員に限らず、多くの人が当たり前のようにモバイル デバイスから企業の情報にアクセスできます。BYOD の普及により多くのメリットが得られる一方で、サイバー脅威が増加していることも無視できません。最高レベルのセキュリティを維持するためには、プロアクティブなセキュリティ対策を実装して脅威を最小限に抑える必要があります。安心してクラウドにアクセスするためには、エンタープライズ クラスのセキュリティを提供するソリューションが必要です。モバイル セキュリティに優先的に取り組むことで、漏えいを根本的に防止することができます。

関連資料

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content