スマートフォンのセキュリティにおける根本的な3つの問題

　スマートフォンが個人ユーザーに普及し、その利便性が肌感覚で浸透していくにつれ、業務でもスマートフォンを利用したいというニーズが高まっている。時間を有効活用でき、ブラウザやビューワーをはじめ高度なアプリケーションを利用できるため、企業にとっても生産性向上や意志決定の迅速化が図れる。導入に積極的な企業も、ここのところ急激に増えてきた印象だ。

　この現状について、日本スマートフォンセキュリティフォーラム協会（JSSEC）のクラウド・タスクフォース リーダーで、コネクトワン 代表取締役社長、近著に『スマートフォンの業務利用におけるセキュリティ対策』のある吉田 晋 氏は、次のように語る。

「実際に、企業の注目は日増しに高まっています。たとえば弊社コネクトワンでも、社内システムへの接続ゲートウェイサーバ『ConnectONE』を提供しているのですが、ここのところ、お問い合わせの9割がスマートフォン絡みのものとなっています。そこでヒアリングしたお客様の現状や、JSSECでの活動を通して得た情報などからみても、スマートフォンのセキュリティについて、いまだにさまざまな問題が山積していると感じています」

　業界の最先端で活動し、市場とベンダーがどう動いているかを注視している吉田氏は、続いて具体的な問題点を指摘した。

「導入にあたって、『セキュリティを確保しなければならない』という問題意識は、IT担当者の多くが強く感じているところです。しかし、本当は何が危険なのか、何を優先して進めればよいか、十分に把握しきれていない方が多いように思います。私は、スマートフォンのセキュリティにおける根本的な問題は、3つに集約できると考えています」


　吉田氏の考える3つの根本的課題、その1つめは「従来のPC運用の延長で考えるので効率が悪い」というものだ。スマートフォンのOSの特性を理解せず、PCのOSの延長線上で運用やセキュリティを捉えるため、費用対効果が小さくなるという。

「たとえばWindowsだと、管理者権限とユーザー権限というように、アカウントごとに権限を分けて運用できます。しかしスマートフォンは、基本的にユーザー権限しか用意されておらず、セキュリティベンダーであっても管理者権限でアクセスできるわけではありません。これはつまり、セキュリティツールを導入しても、ユーザー側で解除したりできるということです。スマートフォンのOS自体が、『管理者がいる』という発想ではないのです」


　2つめは、「防ごうとしているインシデントが統計上のインシデントとずれている」点だ。つまり、起こる可能性が高いインシデントへの対策より、非常にレアなインシデントへの対策にコストが割かれている現状があるという。

「たとえばスマートフォンからの情報漏えいは、端末の紛失・盗難か、運用ルールの不徹底がほとんどです。紛失・盗難対策としては遠隔操作でデータを消去する『リモートワイプ』が主流なものの、詳しくは後述しますが、こちらの効果も非常に限定的です。起動時のパスワード入力を徹底させるだけでも、ほぼ同様の効果は得られますしね」


　3つめは、「技術動向がドラスティックに変化する」ところだ。たとえばOSのバージョンアップは頻繁に行われ、しかも、かなりドラスティックに変更されることが多い。

「特に重要なのは、その変化に最初に対応するのがユーザーだという事実です。次にIT担当者、最後にセキュリティベンダーという、PCやサーバの世界とは逆の現象が起こっている。セキュリティベンダーやIT担当者が主導でコントロールできないということです」

　本連載では、スマートフォンのセキュリティに関してさまざまな課題を取り上げるが、基本的にはこの根源的な3つの課題に収斂する。頭の片隅に残しておいていただくと、理解が深まるだろう。

　それでは次ページから、吉田氏にスマートフォンのセキュリティについて論じていただく。第1回のテーマは、「スマートフォンのメリット／デメリット」だ。

　　　次ページ >>　　スマートフォンのメリット／デメリット