増大するモバイルセキュリティの脅威、対策のためのポイントとは？

ハイブリッドワークの導入や業務効率化のために、スマートフォンやタブレットを業務に活用する企業が増えています。それに伴って、モバイル端末を狙ったセキュリティ攻撃も増加しています。モバイル用のOSはPCと仕様が異なるため、専用のセキュリティ対策が必要だったり、社員全員の端末を管理しきれなかったりなど、モバイル特有の難しさがあり、対策が後手に回っているケースも少なくありません。

OPEN HUBでは、モバイルセキュリティをテーマにしたウェビナーを開催しました。第1部ではNTTコミュニケーションズ（以下、NTT Com）のソリューションサービス部でチーフコンサルタントを務める北川公士がホストとなり、NTT ComとNTTドコモのセキュリティ専門家による、モバイルセキュリティの脅威と現状についてのクロストークを。第2部ではNTT Comでセキュリティ対策のソリューションを提供する情報処理安全確保支援士を務める小林真透が、セキュリティ戦略の立て方についての説明を行いました。モバイルセキュリティ対策に悩む方々にとっては必見の内容をお伝えします。

---

ワークスタイルの変化で増えるモバイル端末の活用

場所や時間にとらわれずに働くフレキシブル・ハイブリッドワークを取り入れる企業が増えつつあります。そんな変化に伴い、スマートフォンやタブレットを業務で使うシーンが増えてきました。NTTドコモ モバイル社会研究所が発行する『データで読み解くモバイル利用トレンド2022-2023』でも、テレワークで利用している機器として、Android/iOSのタブレットやスマートフォンを活用しているユーザーが多く、特にスマートフォンはテレワークにおけるコミュニケーションのキーアイテムとして多く利用されています。

モバイルを活用した業務改革も進んでいます。NTT Comのソリューションサービス部でSASEソリューションの責任者としてプロジェクトに携わる城征司は、「モバイルを活用した営業チームの業務改革をお手伝いしたり、例えば建設業界では工事現場でタブレットによる情報共有を進めたりなど、さまざまな業種でモバイルを積極的に取り入れています」と説明します。

その一方で、課題になっているのがモバイルに対するセキュリティ攻撃です。NTTドコモの情報セキュリティ部でセキュリティインシデントハンドリング（CSIRT）に取り組む儀間哲仁氏は、昨今のモバイルセキュリティの脅威について「フィッシング詐欺が増えており、スマホを起点としたセキュリティ被害が広がる傾向にあります」と警鐘を鳴らします。

モバイルを起点としたセキュリティインシデントが拡大

モバイルセキュリティに関する最大の脅威は、個人情報が集約され、金融サービスとも連携が進むデバイスを起点に被害が拡大することです。

儀間氏は「フィッシング詐欺に引っかかると、その後端末にマルウェアをインストールさせられ、不正SMSの踏み台にされたり、ドコモの金融サービスであるd払いの不正送金につながってしまう。また、連携している銀行口座からの不正送金が発生するなど、被害が他社を含めたものに広がる可能性があります」と説明します。なかには、正規のアプリストアに登録されていたアプリが攻撃者からアクセス可能な構造になっていたためにマルウェアをインストールされてしまうなどの問題も発生しています。

SMSを使ってユーザーを詐欺サイトに誘導しようとする「スミッシング」も増加しており、モバイルセキュリティにおける課題となっています。スミッシングでは、宅配業者や税金還付の案内を装った内容のメッセージが届き、詐欺サイトに誘導して個人情報を抜き取ろうとしてきます。

「スミッシングは高齢者が引っかかりやすく、非常に危険です。その点、2022年からドコモ回線が搭載している『危険SMS拒否設定』機能は、危険な詐欺SMSを排除するもので、抜本的な撲滅の一助になっています。ただ、最近はフィルタリングをすり抜けて届く詐欺SMSが増えつつあり、改めてモバイルセキュリティの強化が求められています」（城）

モバイルセキュリティに関する基本的な考え方

年々脅威が高まるモバイルセキュリティについて、どのような対策が有効なのでしょうか。

儀間氏は、生体認証やセキュリティキーを使った「FIDO認証」のメリットを提唱します。FIDO認証とは、端末とサーバーでそれぞれ「秘密鍵」と「公開鍵」を持ち、サーバー側からの要求に対して端末での生体認証の結果を返すことでログインする仕組みのことです。パスワードと異なり、盗まれたり忘れたりする可能性が少なく、不正アクセスや情報漏えいのリスクも低減されること、また利便性も高いといったメリットがあります。

北川は、「PCもモバイルも同じで、万が一インシデントが起こっても被害を最小限に抑えられるゼロトラストのような原理原則に則るべき」という立場に立ち、そのうえで「モバイルだからこそより注意すべきリスクに留意しなくてはなりません」と付け加えます。

モバイルならではのリスクの筆頭に挙げられるのが、紛失や盗難のリスクです。紛失対策へはMDM（Mobile Device Management）の導入のほか、また遠隔ロック機能などといった対策が有効です。

またモバイルOSとPCのOSの仕様の違いにより、PCでは実現できたセキュリティ対策がモバイル端末には適応できないこともあるので、そうした技術的なリスクも考慮しなくてはなりません。

さらに気をつけたいのが意図しない内部不正です。個人のデバイスから悪意なく業務ファイルを外部に送信してしまったり、危険なアプリをダウンロードしてしまったりといった事故は枚挙にいとまがありません。

こうした業務用モバイル端末のセキュリティ対策として取り入れたいのがSASE（Secure Access Service Edge）です。ネットワークへの多彩なアクセスや認証を可能にし、さらにアクセス先の安全性チェックやウイルス感染の防止、端末自体のセキュリティを強化するエンドポイントセキュリティなど、さまざまなレベルで対策を行うことで、端末とネットワークをリスクから守ることができます。

いずれにせよ、モバイルの業務活用は今後も進んでいくと見られています。城は「こうした流れのなかで、モバイル端末でもPCと同等の機密情報を扱うようになっていく」と指摘。ますますモバイル端末がセキュリティ攻撃の対象となることが考えられます。

こうした状況に対して、NTTドコモとNTT Comはモバイルセキュリティソリューションを共同で展開していくことを表明しています。モバイルネットワークやコミュニケーションにおけるセキュリティノウハウがあるNTTドコモと、企業向けソリューションとしてセキュリティ強化を支援してきたNTT Comの知見を合わせることで、個人と組織、両方のモバイルセキュリティ対策をサポートしていくのです。

企業が抱く「モバイルセキュリティに対する懸念」とは

クロストークに続いて登壇したのが、NTT Comのソリューションサービス部に在籍し、情報処理安全確保支援士の資格を持つ小林真透です。

小林は、ビジネスにおけるモバイル端末の利用とそれに伴うセキュリティリスクが増大していることを踏まえ、多くの組織が抱いているモバイル端末のセキュリティの懸念として次の3つを挙げました。

1つめは、モバイル端末のセキュリティ基準の定め方が不透明であること。企業のセキュリティ担当者も、PCに対する対策はできていても、モバイル端末に対するセキュリティ基準は明確化されておらず、何をどこまで行うことが正解なのかがわからない状態です。

2つめは、セキュリティ対策導入後の保守・運用に対応できるかという懸念です。1人ひとりに支給されているモバイル端末の管理は煩雑になりがちで、ユーザーのセキュリティ意識もバラバラのため、どこまできめ細かく保守・運用を進めるべきかが把握しきれないという不安があります。

3つめは、モバイル端末のセキュリティ導入に関する知見不足です。セキュリティソフト間の干渉が起こったり、同じOSでもメーカーによって挙動が異なったりなど、モバイルOS特有の事象に悩まされるケースも少なくありません。

今すぐ行うべきモバイル端末のセキュリティ対策

これらの課題に対し、小林は次のように提言します。

「まずモバイル端末のセキュリティ基準については、安全性と利便性の両立を考え、業務活用を損なわないように設計しなくてはなりません」と語り、基準を決める3つのポイントを紹介しました。

1つめは「情報を守る」こと。2つめは、ネットワーク認証やアクセスに関して「社内ポリシーを遵守する」こと。3つめは、モバイル端末への攻撃を検知・防御するために「侵入を防ぐ、見つける」ことです。つまりPCと同等のセキュリティ基準をモバイル端末に適応することがポイントとなります。

この3つの基準に準拠したモバイルセキュリティ対策を実現できるのが、docomo businessブランドで展開する「モバイルセキュリティソリューション」です。

「情報を守る」ではMDMやMAM（Mobile Application Management）、社内ポリシーの遵守に関してはIAM（Identity and Access Management）、端末への不正侵入検知・防御ではMTD（Mobile Threat Defense）という3分野のコンポーネントを組み合わせ、PCと同様のセキュリティ基準を実現します。

また保守運用に関しても、24時間365日問い合わせ可能な窓口を用意し、困りごとに迅速に対応。社員の増加による端末追加キッティングにも対応できるので、情報システム部門の過重労働のリスクもありません。

最後に小林は、「NTTドコモとNTT Comの豊富な実績を背景に、各企業のモバイル要件や活用を踏まえた最適なモバイルセキュリティ対策を提案し、導入、運用保守までを対応させていただくことで、企業のモバイル活用による業務変革を強力にサポートします」と話し、講演を終えました。

新生ドコモグループでは、安心、安全な通信環境をご提供するために、今後も時代の変化に合わせたセキュリティ対策の開発、普及を進めてまいります。