企業モバイルを取り巻く脅威の4類型 ~ モバイルアイアン社 マイケル・ラゴー氏 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

企業モバイルを取り巻く脅威の4類型 ~ モバイルアイアン社 マイケル・ラゴー氏

製品・サービス・業界動向 業界動向

エンタープライズ・モビリティ・マネージメント(EMM)向けの次世代クラウドソリューションである「MobileIron Cloud」を皮切りに、2014年から日本で本格的な展開を行っているモバイルアイアン社。来日した、セキュリティリサーチ ディレクター マイケル・ラゴー氏に、企業のモバイル活用を取り巻く状況や脅威動向について話を聞いた。

―― 従来の企業ITシステムと、モバイルの違いは何ですか。

セキュリティという視点からモバイル考えた場合、従来のITセキュリティとは異なる点がいくつかあります。

最初は設計の違いです。モバイルOSでは、アプリケーションのサンドボックス化という手法をとっており、PCでは、すべてのアプリケーションがすべてのデータにアクセスできる一方、モバイルではアプリケーションとそのデータはそれぞれ切り離されています。

2つ目の違いは、ネットワークの境界があいまいになっていることです。モバイルデバイスは爆発的に増加し、データが至る所に存在しており、境界に置いたファイアウォールだけに依存することができなくなっています。

3つ目の違いは、BYOD端末の持ち込みや会社支給端末の私用利用など、従来のIT環境のようには、情報システム部門のコントロールが、モバイル環境に関しては効かないことです。

こうした理由から、従来のITポリシーをそのままモバイルに適用することが難しくなっています。


―― 具体的にモバイルにはどのような脅威が存在しますか。

モバイルアイアンによるさまざまな調査の結果、モバイルに関する脅威の要因は、すべて次の4つのカテゴリのいずれかに整理できることがわかりました。

1つ目はジェイルブレイクやルート化、などのアプリケーションのサンドボックス化を壊してしまう、OSのセキュリティ侵害に関連するものです。

2つ目の脅威は、悪意を持つ、あるいはリスクの高いアプリです。App StoreやGoogle Playで入手できるアプリの中には、パスワードをクリアテキストで保存したり、セキュアな通信プロトコルを使っていないなど、リスクの高い振る舞いをするものがあります。

3つ目の脅威は、ユーザによるデータ漏えいです。たとえばユーザは、許可されたクラウドサービスと個人のクラウドサービスの区別はつきません。このためデータ漏えいがさまざまな形で起こる可能性があります。

最後に紹介する4つ目の脅威は、以前から言われていることですが、セキュアでないWi-Fiネットワークです。コーヒーショップや空港、ホテルなどのオープンWi-Fiを使った企業ネットワークへのアクセスは、インターセプション攻撃やMITM攻撃を受ける可能性があります。


―― 日本市場でのモバイルアイアン製品の手応えはどうですか。

日本でも事例が多く出ています。モバイルキャリアが提供する MDM では満足できずに乗り換えるお客様が多くいます。最近では、Office 365をセキュアに使いたいので、Per-App VPNs を使うケースなどがありました。

―― ありがとうございました。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 個人・小規模事業者向けの「FFRI yarai」を発売(FFRI)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×