お役立ち情報 多くの企業で利用されているiOSとAndroid。
PC用OSに比べて高い安全性を確保
しかし現在でも残っている脆弱性
業務端末のセキュリティというとPCのことを考えがちですが、最近ではスマートフォンやタブレットを業務目的で導入する企業も増えており、iOSやAndroidのセキュリティ対策も気になるところです。ではこれらのモバイルOSの安全性は、どの程度高いのでしょうか。結論から言えば、iOSやAndroidはPC用OSに比べ、かなり高い安全性が確保されています。
WindowsなどのPC用OSではアプリケーションを自由にインストールでき、アプリケーションからファイルシステムへのアクセスにも特に制約がありません。そのためマルウェアに感染しやすく、感染した場合の影響も大きくなっています。またマルウェアがシステム領域に常駐し、アンチウイルスソフトの検出を回避しながら、感染を拡大させてしまう危険性もあります。
これに対してiOSやAndroidでは、アプリケーションがシステムや他のアプリケーションと隔離された「サンドボックス」内で実行され、他のアプリケーションやシステム、データなどには基本的にアクセスできないようになっています。デバイス内に格納された個人情報や写真といったユーザーデータ、カメラやマイクなどのハードウェア機能に対しても、ユーザーの許可がなければアクセスできません。仮に不正アプリケーションが導入されてしまっても、これらの許可を求めるダイアログに慎重に対処すれば、影響を最小化できるのです。
またiOSの場合には、アプリケーションを「App Store」からしか入手できず、ここでApple社の厳格な審査が行われているため、不正な動作をするアプリケーションの導入も回避しやすくなっています。これに対してAndroidでは、正規のアプリケーション配信サイトである「Google Play」以外からもアプリケーションを導入できるため、iOSに比べて不正アプリケーションへの対応は弱めだと言えるでしょう。しかし企業内で利用する場合には、「Android Enterprise」を活用することで、導入可能なアプリケーションを制限することも可能です。このような運用を行うことでAndroidでも、不正アプリケーションの導入・実行を回避しやすくなります。
しかしここで述べたことはあくまでも「理論上は」ということであり、実際にはiOSやAndroidにもセキュリティ上の脅威は存在します。発見される数は少なくなっているとはいえ、いずれのOSにも脆弱性が依然として存在し、これを突くサイバー攻撃もなくなっていないからです。
常に攻撃者の後追いになるアップデート
その狭間での被害を回避することがセキュリティ対策では重要に
例えばAndroidにおける最近の脆弱性としては、JPCERTコーディネーションセンター(JPCERT/CC)の2020年9月13日〜19日のウィークリーレポートにおいて、「ユニクロアプリ」における複数のアクセス制限不備の脆弱性が指摘されており、この脆弱性を悪用することで遠隔の第三者が、任意のWebサイトにアクセスできる可能性があるとされています※1。また2017年に発見されたトロイの木馬型マルウェアである「Joker」の亜種も依然として発見され続けています。2020年9月だけでも64種類の新種が発見され、そのうち17種類はGoogleの公式ストアである「Google Play」に存在していたというニュースも報じられています※2。さらに、スマートフォンメーカーが提供するソフトウェアの脆弱性なども、複数報告されています。
脆弱性はiOSでも発見されています。最近では2020年9月にiOS 14.0とiPadOS 14.0がリリースされていますが、これによって数多くのセキュリティアップデートが行われていることがわかります※3。
これらの脆弱性を突く最新のサイバー攻撃からデバイスやユーザー、データを守るには、どうすればいいのでしょうか。アプリケーション導入のルールを厳格に運用する、セキュアな設定を徹底するといった対応だけでは、十分な安全性の確保は困難です。また常に最新のセキュリティアップデートを適用していても、新たに発見された脆弱性を突く攻撃には対処できません。そこでぜひお薦めしたいのが、「MobileIron Threat Defense(MTD)」のような脅威対策ソリューションの活用です。
MTDの最大の特徴は、機械学習によって有害だと考えられる活動を特定し、その防御を即座に行える点にあります。機械学習は、各デバイスから収集された膨大なデータをもとにクラウド上で行われ、これによって作られたモデルが各デバイスに配信されるようになっています。そのため最新の脅威にも的確に対応でき、いったん学習モデルをダウンロードしてしまえば、インターネットに常時接続しておく必要もありません。
さらに2020年7月にはフィッシングに対する防御機能も提供されており、さらに強固な保護が可能になっています。フィッシングURLデータベース検索機能が追加され、これにもとづくフィッシング攻撃の検出・防御を、メールやテキストメッセージ、SMS、SNSなど、幅広い通信手段で利用できるようになっています。
もちろんAppleやGoogleにおいても、脆弱性をいち早く発見し、それを潰すための取り組みが積極的に行われています。しかし新たな脆弱性を狙うサイバー攻撃は止むことがなく、このような「イタチごっこ」は今後も続いていくはずです。新たな脅威の登場と、それに対するアップデートの時間差は、常に存在し続けることになるのです。このようなタイムラグがもたらす被害を回避するには、MTDのような対策が必須だと言えるでしょう。
脚注
※1 https://www.jpcert.or.jp/wr/2020/wr203701.html#8
※2 https://www.itmedia.co.jp/enterprise/articles/2009/29/news077.html
※3 https://support.apple.com/en-us/HT211850
MobileIronとは
MobileIronは数々の受賞歴のある統合エンドポイント管理(UEM:Unified Endpoint Management)機能を基盤とする業界初のモバイルを中心としたゼロトラスト・プラットフォームです。
iOSやAndroidデバイスに加えて、MacやWindows 10などのPCも統合管理することが可能です。さらに、ゼロ・サインオン(ZSO)、多要素認証(MFA)、モバイル脅威防御(MTD)などのゼロトラスト技術を活用しています。世界大手の金融機関、情報機関、厳しい規制の対象となる企業など、20,000社以上のお客様がMobileIronを活用し、許可されたユーザー、デバイス、アプリ、サービスのみがビジネス資産にアクセスできる、シームレスかつセキュアなユーザー体験を実現しています。