スマートデバイスのセキュリティリスクについて 1. はじめに アーンスト アンド ヤングが64カ国 1836 社に行った調査 ( 1) によると 組織内でタブレットPCの使用を許許可している組織は 2011 年では全体の20% に過ぎませんでしたが 2012 年の調査では 44% に倍増し モバイル技術が急速に普及していることを示しています また 導入を検討している企業は35% に達し スマートデバイスに高い関心を示していることが伺えます 多くの金融機関では スマートデバイスを渉外端末として活用するほか スマートデバイスに最適化したサーービスを取引チャネルのひとつとして顧客に提供しています インターネットバンキングやネットトレードのサービスを提供する金融機関では スマートデバイスに適したウェブサイトの構築に加え 専用のアプリケーションを提供するケースも増えてきています 一方 前述の調査では スマートデバイスを利用することに伴う新たなリスクへの低減策として 多くの企業が ポリシーの改訂 セキュリティ意識向上活動の強化 を挙げていますが 暗号化技術の導入については40% にとどまる等 新しいテクノロジーへの対策が必ずしも十分ではないことも明らかにしています 本稿では スマートデバイスの特徴とセキュリティリスクについて スマートデバイスの利用者であり かつスマートデバイスを使ったサービスの提供者ともなりうる金融機関の立場から概観し いくつかのリスクに対するセキュリティ対策について説明します
2. スマートデバイスの特徴 公益財団法人金融情報システムセンター (FISC) の 金融機関等コンピュータシステムの安全対策基準 解説書第 8 版追補版 によると スマートデバイスとは スマートフォンおよび同様の機能を具備するタブレット型端末の総称とあります これまでの携帯電話等の情報機器と比べて スマートデバイスはユーザーがアプリケーションを追加 カスタマイズする等の拡張が自由に行えることが大きな特徴です ハードウェア面では ソフトキーボード タッチパネル 液晶ディスプレイ マイク スピーカ SIM カード等の基本的な入出力デバイスに加え カメラ 外部記憶メディア (SD カード等 ) や GPS 加速度センサーを備えている機種も多くなっています 外部機器とのデータ交換には USB コネクタを経由した PC との有線でのデータ交換に加え 3GおよびLTEネットワーク 無線 LAN IrDA( 赤外線通信 ) Bluetooth NFC( 非接触 ICカード ) 等の様々な無線通信に対応した機種が発表されています また プログラムやデータのストレージにはフラッシュメモリを使用しており 従来の携帯電話と比較すると大容量の記憶装置を搭載しています ソフトウェア面では 電話 メール Web ブラウザ ナビゲーション スケジュール アドレス帳等のソフトウェアが出荷時より標準で搭載されているほか Apple が提供する App Store や Google が提供する Google Play 等のマーケットからダウンロードしてデバイスにインストールすることも可能となっています 3. スマートデバイスのセキュリティリスク 前章で述べた通り スマートデバイスはラップトップ PC に匹敵する高い機能性を持っていますが それ故にセキュリティリスクも高くなっています リスクとしては次のようなものが挙げられます (1) 紛失や盗難等に伴うリスク スマートデバイスは携帯性が高いため 紛失や盗難の懸念があります 端末を紛失すれば業務に使用できなくなるだけでなく メールソフトやアドレス帳の情報 SD カードに保存したデータ等から 場合によっては大量の個人情報や会社の機密情報が漏えいするリスクがあります (2) 様々なネットワークと接続することによるリスク 前述の通り スマートデバイスは無線 LANや無線ネットワーク Bluetooth 等の通信手段を持っており 会社のネットワークとも接続可能な状態にあります このことは 次の 2 つの面でリスクとなります スマートデバイスが攻撃者の仕掛けた無線 LANアクセスポイント等に誤って接続し 通信を傍受され 機密情報が抜き取られるリスク スマートデバイスから社内ネットワークに接続する経路を通じて 社内システムに対し不正アクセス ( なりすまし等 ) が行われるリスク (3) ウィルス マルウェア等のリスク スマートデバイスでは ユーザーは主に公式マーケットからアプリケーションをダウンロードし インストールしています しかし 公式マーケットからダウンロードしたアプリケーションであっても 審査が十分に行われておらず 悪意のあるプログラムをインストールしてしまうケースが報告されています ( 2) (4) 自社開発アプリケーションに関するリスク モバイルバンキング等のアプリケーション設計に考慮洩れがあると 顧客の口座番号やパスワード 取引内容等の機密情報が他のアプリケーションからアクセスされる可能性があります また 悪意のある他のアプリケーションが 自社アプリケーション内の機能を呼び出して悪用するといったリスクも存在します Android アプリケーションのファイル (APKファイル ) を復号してソースコードを入手し 本来なかった悪意のある機能を組み込んで再配布される可能性もあります (5) OS の脆弱性を突いた攻撃のリスク スマートデバイス用 OS(iOS や Android OS 等 ) の脆弱性を悪用し 権限昇格や Dos 攻撃が行われるケースが報告されています 現状 Android OSを使用する端末の製造事業者は 自社端末仕様に適合するようAndroid OSをカスタマイズして 製品として出荷しています このため Android OSに脆弱性が発見された場合 各端末製造事業者は自社の端末用に修正プログラムを作成 配信する必要が生じます しかしながら 適時 適切に修正プログラムが提供されていないという問題が以前より指摘されています ( 3) 2 スマートデバイスのセキュリティリスクについて
4. リスクへの対応 当章では 前述したセキュリティリスクのうち 紛失や盗難に伴うリスク ウィルス マルウェア等のリスク 自社開発アプリケーションに関するリスク について 技術面 運用面での対応策を列挙します (1) 紛失や盗難に伴うリスクへの対応策 第三者によるデータへのアクセスを困難にする対策や アクセスが可能になった場合でも 被害を最小限にとどめる対策が考えられます 端末のロック機能の有効化端末を紛失 あるいは盗難にあった場合でも 第三者に容易に悪用されないよう デバイスの自動ロック機能を有効にします 端末利用者の認証デバイスの認証機能を有効にし 起動やロック解除を行う際の暗証番号を初期値から変更しておく必要があります ユーザーは組織のパスワードポリシーに従って暗証番号を設定し 定期的に変更する必要があります 端末の探索 ワイプ機能の利用端末を紛失した際に備え デバイスをMDM( モバイル機器管理 ) システムの管理下に置き 紛失時にはMDMの機能を使って端末位置の特定や回線経由でのデータ消去 ( リモートワイプ ) を行うことが考えられます OSの設定により 予め設定された回数を超えてパスワード入力を失敗した場合に 内蔵データやSDカードのデータを消去する ( ローカルワイプ ) の機能を持つ端末もあります デバイス内に機密データを保持させない第三者が認証機能をバイパスした場合に備えて 個人情報や業務上の機密データを デバイスやSDカードに残さないようにすることも考えられます 一例としてWebブラウザやシンクライアント等 デバイス内にデータが残りにくい手段を用いて業務フローを構築する等の方法が考えられます 機密データの暗号化デバイス上に個人情報や機密データを保持する必要がある場合は データの暗号化が可能なデバイスを採用し 暗号化を強制する必要があります 暗号化は SDカード等の外部デバイス内にあるデータについても行う必要があります 社内連絡体制の整備と周知徹底紛失した場合の手続きや連絡先を日頃から構成員に周知し 紛失した場合には速やかに報告され 組織的に対処できるようにしておくことが必要です (2) ウィルス マルウェア等のリスクへの対応策 基本的には 企業が所有する PC と同様の対策が必要となります ウィルス対策ソフトウェアの導入マルウェアからの防御 早期検出を目的として 市販のウィルス対策ソフトウェアを導入することが必要となります アプリケーションのインストールの制限 iosでは 設定によりデバイスへのアプリケーションのインストールを禁止させることが可能です またAndroid OSではマーケット以外からのインストールを禁止し マルウェアを導入する可能性を低減させる対策を講じることができます 起動可能なアプリケーションの限定 OSやMDMの機能を利用し 起動可能なアプリケーションを限定することで 仮にマルウェアを導入しても起動しないように設定することが可能です 感染時の対応手順の整備と要員の意識付けウィルスやマルウェアへの感染を認識した場合の ユーザーおよびIT 管理部門の対応手順と責任分担を定め 徹底することが必要です Android 端末の場合は インストール時にアプリケーションに与える権限を確認する画面が表示されるので 必要以上の権限 ( 電話帳へのアクセス等 ) を要求するアプリケーションはインストールしない等の意識付けも有効です スマートデバイスのセキュリティリスクについて 3
(3) 自社開発アプリケーションに関するリスクへの対応策 自社で開発したアプリケーションは ユーザー ( 顧客 ) の環境下で使用されますが ユーザーがデバイスの盗難にあう マルウェアに感感染する等の方法で アプリケーション自体 およびアプリケーションが生成したデータが攻撃を受ける可能性があります アプリケーションやデータを保護するために 次のような対策を検検討する必要があります ファイルへの適切なアクセス許可の付与自社アプリケーションがデバイス内部にデータを記録する際にはデは 他のアプリケーションから自由にアクセスされないよう ファイルやフォルダに適切なアクセス許可を付与し その適切性をテスト等等で確認しておくことが必要です 自社アプリケーション機能の外部からの利用制限自社アプリ内の機能が他のアプリから呼び出されて 悪用されることを防ぐために 呼び出し元を確認するロジックを設けるとともにに アプリ内の機能に適切なパーミッションを設定する必要があります アプリケーションの難読化アプリケーションが改ざんされ 不正利用されるリスクを低減するために ツールを使用して難読化を行うことが可能です 5. おわりに スマートデバイスおよびその関連技術は発展の途上にあるため 企業は従来のセキュリティ対策の延長では解決できないリスクを識別別し 必要な部分に効率的に対応していく必要があります 例えば 個人顧客に向けて大量にアプリを配信する企業では よ よりセキュアな設計 開発 検証を進める開発体制の整備が必要になるかもしれません また 個人所有のデバイスを業務に利用する BYODでは 様々な種類 管理状況のスマートデバイスが企業ネットワークに接続するため 境界部分の検疫機能の強化が必要となる場合があります 本稿では スマートデバイスのセキュリティリスクについて ほんの数例を説明しただけであり 実際にはさらに多くの課題を検討する必必要がありますが 金融機関におけるスマートデバイス活用の一助になれば幸いです 1 2012 年度情報セキュリティ グローバルサーベイ (GISS) http://www.shinnihon.or.jp/shinnihon-library/publications/ research/2013/2013-01-25.html 2 スマホにおける新たなワンクリック請求の手口に気をつけよう! (IPA) http://www.ipa.go.jp/security/txt/2013/05outline.html 3 スマートフォンへの脅威と対策に関するレポート (IPA) http://www.ipa.go.jp/about/technicalwatch/20110622.html 以 上 4
Ernst & Young ShinNihon LLC お問い合わせ先 新日本有限責任監査法人 金融アドバイザリー部 プリンシパル藤森一弘 Tel: 03 3503 1138 fujimori-kzhr@shinnihon.or.jp 新日本有限責任監査法人 金融アドバイザリー部 シニアマネージャー小桐重明 Tel:03 3503 1138 oto-shgk@shinnihon.or.jp 新日本有限責任監査法人 金融アドバイザリー部 シニア山口敏行 Tel:03 3503 1138 yamauchi-tshyk@shinnihon.or.jp アーンスト アンド ヤングについてアーンスト アンド ヤングは アシュアランス 税務 トランザクションおよびアドバイザリーサービスの分野における世界的なリーダーです 全世界の 16 万 7 千人の構成員は 共通のバリュー ( 価値観 ) に基づいて 品質において徹底した責任を果します 私どもは クライアント 構成員 そして社会の可能性の実現に向けて プラスの変化をもたらすよう支援します アーンスト アンド ヤング とは アーンスト アンド ヤング グローバル リミテッドのメンバーファームで構成されるグローバル ネットワークを指し 各メンバーファームは法的に独立した組織です アーンスト アンド ヤング グローバル リミテッドは 英国の保証有限責任会社であり 顧客サービスは提供していません 詳しくは www.ey.com にて紹介しています 新日本有限責任監査法人について新日本有限責任監査法人は アーンスト アンド ヤングのメンバーファームです 全国に拠点を持ち 日本最大級の人員を擁する監査法人業界のリーダーです 品質を最優先に 監査および保証業務をはじめ 各種財務関連アドバイザリーサービスなどを提供しています アーンスト アンド ヤングのグローバル ネットワークを通じて 日本を取り巻く世界経済 社会における資本市場への信任を確保し その機能を向上するため 可能性の実現を追求します 詳しくは www.shinnihon.or.jp にて紹介しています アーンスト アンド ヤング FSO( 日本エリア ) についてアーンスト アンド ヤングフィナンシャル サービス オフィス (FSO) は 競争激化と規制強化の流れの中で様々な要望に応えることが求められている銀行業 証券業 保険業 アセットマネジメントなどの金融サービス業に特化するため それぞれの業務に精通した約 3 万 5 千人の職業的専門家をグローバルに有しています また 各業界の規制動向を予測し 潜在的な課題に対する見解を提示するため 業種別にグローバル ナレッジ センターを設け 規制動向の収集や業界分析を行っています アーンスト アンド ヤング FSO( 日本エリア ) は グローバル ネットワークと連携して 約 1300 人の金融サービス業に精通した職業的専門家が一貫して高品質なサービスを提供しています 2013 Ernst & Young ShinNihon ih LLC. All Rights Reserved. 本書又は本書に含まれる資料は 一定の編集を経た要約形式の情報を掲載するものです したがって 本書又は本書に含まれる資料のご利用は一般的な参考目的の利用に限られるものとし 特定の目的を前提とした利用 詳細な調査への代用 専門的な判断の材料としてのご利用等はしないでください 本書又は本書に含まれる資料について 新日本有限責任監査法人を含むアーンスト アンド ヤングの他のいかなるグローバル ネットワークのメンバーも その内容の正確性 完全性 目的適合性その他いかなる点についてもこれを保証するものではなく 本書又は本書に含まれる資料に基づいた行動又は行動をしないことにより発生したいかなる損害についても一切の責任を負いません