企業モバイルに迫るセキュリティ脅威とは……モバイルアイアン社・ラゴー氏

エンタープライズ・モビリティ・マネージメント（EMM）向けの次世代クラウドソリューションである「MobileIron Cloud」を皮切りに、2014年から日本で本格的な展開を行っているモバイルアイアン社。来日した、セキュリティリサーチディレクターマイケル・ラゴー氏に、企業のモバイル活用を取り巻く状況や脅威動向について話を聞いた。

――　従来の企業ITシステムと、モバイルの違いは何ですか。

セキュリティという視点からモバイル考えた場合、従来のITセキュリティとは異なる点がいくつかあります。

最初は設計の違いです。モバイルOSでは、アプリケーションのサンドボックス化という手法をとっており、PCでは、すべてのアプリケーションがすべてのデータにアクセスできる一方、モバイルではアプリケーションとそのデータはそれぞれ切り離されています。

2つ目の違いは、ネットワークの境界があいまいになっていることです。モバイルデバイスは爆発的に増加し、データが至る所に存在しており、境界に置いたファイアウォールだけに依存することができなくなっています。

3つ目の違いは、BYOD端末の持ち込みや会社支給端末の私用利用など、従来のIT環境のようには、情報システム部門のコントロールが、モバイル環境に関しては効かないことです。

こうした理由から、従来のITポリシーをそのままモバイルに適用することが難しくなっています。

――　具体的にモバイルにはどのような脅威が存在しますか。

モバイルアイアンによるさまざまな調査の結果、モバイルに関する脅威の要因は、すべて次の4つのカテゴリのいずれかに整理できることがわかりました。

1つ目はジェイルブレイクやルート化、などのアプリケーションのサンドボックス化を壊してしまう、OSのセキュリティ侵害に関連するものです。

2つ目の脅威は、悪意を持つ、あるいはリスクの高いアプリです。App StoreやGoogle Playで入手できるアプリの中には、パスワードをクリアテキストで保存したり、セキュアな通信プロトコルを使っていないなど、リスクの高い振る舞いをするものがあります。

3つ目の脅威は、ユーザによるデータ漏えいです。たとえばユーザは、許可されたクラウドサービスと個人のクラウドサービスの区別はつきません。このためデータ漏えいがさまざまな形で起こる可能性があります。

最後に紹介する4つ目の脅威は、以前から言われていることですが、セキュアでないWi-Fiネットワークです。コーヒーショップや空港、ホテルなどのオープンWi-Fiを使った企業ネットワークへのアクセスは、インターセプション攻撃やMITM攻撃を受ける可能性があります。

――　日本市場でのモバイルアイアン製品の手応えはどうですか。

日本でも事例が多く出ています。モバイルキャリアが提供する MDM では満足できずに乗り換えるお客様が多くいます。最近では、Office 365をセキュアに使いたいので、Per-App VPNs を使うケースなどがありました。

――　ありがとうございました。

企業モバイルを取り巻く脅威の4類型～モバイルアイアン社マイケル・ラゴー氏