開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/09/10

スマホの情報漏えい対策を、3つのリスクレイヤから考える

【連載】スマートフォンのセキュリティを徹底考察(4)

スマートフォンからの情報漏えい対策を考えるときに漏えいリスクは、「ネットワークレイヤ」「OSレイヤ」「アプリレイヤ」の3つに分類するとわかりやすい。これは、スマホセキュリティ対策でよく耳にするMDMやMAM、MCMがどう違うのかを理解する上でも重要だ。日本スマートフォンセキュリティフォーラム協会会員で、『スマートフォンの業務利用におけるセキュリティ対策』の著者でもある吉田 晋 氏に、最新事情やデータと共に考察いただいた。

吉田 晋

吉田 晋

北海道出身。早稲田大学理工学部卒業後、株式会社本田技術研究所に入社し大型二輪車の設計に14年間携わる。
その後株式会社コネクトワンを設立し代表取締役社長に就任。マルチな端末とマルチな業務システムを一つに繋ぐというコンセプトに特化した「ConnectONEシリーズ」をリリース。多くの企業の支持を得る。
現在、日本スマートフォンセキュリティフォーラム会員。(技術部会ネットーワークワーキンググループ・クラウドタスクフォースリーダー)


情報漏えい防止視点からの3つのリスクレイヤとは

 スマートフォンからの情報漏えい対策を考えるときに漏えいリスクは「ネットワークレイヤ」「OSレイヤ」「アプリレイヤ」の3つのレイヤに分類することができる。これは、スマホセキュリティ対策ソリューションとして注目を集めるMDM(Mobile Device Management)やMAM(Mobile Application Management)、MCM(Mobile Contents Management)がそれぞれどう違うのか、またその役割を理解する上でも重要だ。第4回となる今回は、この3つのレイヤについて解説する。

photo
スマートフォン情報漏えいリスクレイヤ

photo
情報漏えいリスクレイヤとMDM/MAM/MCM

ネットワークレイヤ

 本レイヤからの情報漏えいでまず考えられるのは通信傍受によるデータ漏えいである。社団法人日本スマートフォンセキュリティ協会発行の「スマートフォンの業務クラウド利用における、端末からの業務データの情報漏洩を防ぐことを目的とした、企業のシステム管理者のための開発・運用管理ガイド」(以下、スマクラガイド)には、スマートフォンのWi-Fiの自動接続における情報漏えいの危険性についてこう述べられている。

photo
なりすまし公衆Wi-Fiから情報が漏えいする。
Wi-Fiの自動接続
公衆無線LANのホットスポットになりすまして接続した端末とのデータのやり取りを傍受する犯罪をWfiフィッシングと呼びます。通信が暗号化されていない場合は、犯人はインターネットでやりとりした内容が盗むことが可能です。特にスマートフォンはWi-Fiの自動接続を有効にしていると、ユーザーが気づかず上記のようななりすましホットスポットに接続してしまうリスクがあります。
(スマクラガイド P.104より)

 本漏えいリスクへの対策はVPNやSSLといった通信の暗号化が一般的である。これらの通信暗号化手法はスマートフォン以前のパソコン時代から使われている実績のある(枯れた)技術である。スマートフォンの業務利用に対する情報漏えい対策はこれらの手法は必須であるといえよう。

OSレイヤ

 本レイヤからの情報漏えいで考えられるのは、次の4つのケースが考えられる。

■ユーザが意図せず悪意のハッカーによって情報が抜かれるケース
(1) マルウェアによる情報漏えい
(2) OS不正改造による情報漏えい

■ユーザーが情報を不正に端末に保存し、紛失や誤操作で漏えいするケース
(3) 公式アプリによる機密データ保存
(4) 構成プロファイル削除によるスクリーンショット保存

 ここからは、各ケースについて詳しく見ていこう。

スマートフォン・携帯電話 ジャンルのトピックス

スマートフォン・携帯電話 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!