目次はじめに... 3 モバイル業務への対応... 4 BYOD 現象... 4 モバイルマルウェア... 6 リスクとのバランス... 7 ISACA のモバイルリスク... 8 未来が現実に... 8 まとめ... 9 Webroot について

はじめにわずか 2 年ほどの間に Android 搭載デバイスは爆発的に増加しました 2011 年 Google のモバイルプラットフォームは 250% の伸びを示しバルセロナで開催された 2012 年モバイルコングレスで Google のモバイルおよびデジタルコンテンツ担当副社長 Andy Rubin 氏は毎日 85 万件以上のアクティベーションがあると発言しました全体では Google が認定する Android デバイスは全世界で 3 億台以上そのうち 1,200 万台がタブレットですしかもこの数には Google サービスを使用しない Kindle Fire や競合する Apple Microsoft および Bada プラットフォームからの膨大な販売数は含まれていません HP のようなベンダーから新しい製品やオペレーティングシステムまでもが登場したり消えたりするなか Apple Google RIM Microsoft は自社製品を定着させようとしています 2011 年末に Android の Ice Cream Sandwich がリリースされて Google のタブレットとスマートフォンの統合プロセスが始まって以来共通の統一された完全統合マルチプラットフォームオペレーティングシステムが急速に普及し始めています Apple は Mac OS と ios との統合に熱心に取り組んでおり一方で Microsoft Windows 8 ( 本書の執筆時点で 2012 年 10 月リリース予定 ) は初の PC ラップトップウルトラブックタブレットスマートフォン間共通 OS としてこの動きの先頭に立っています各ベンダーによるこうした統一の動きによってユーザーはベンダーのエコシステムのデバイスであればどれを使ってもすべてをできるだけ簡単に行えるようになり開発者は作成するアプリケーションの対応プラットフォームが 1 つですむようになりますこうしたことすべてが重なり PC とフィーチャーフォンからスマートフォンタブレット新たなフォームファクターのウルトラブックへの移行による多様化が進みモバイルコンピューティングはもはや生活の一部になっています米国だけ見ても新規電話契約全体の 43% をスマートフォン販売が占めていますヨーロッパでも同様の統計が出ておりアジアも急速にこれに近づいていますまさにモバイルインターネットの時代が到来しいつでもどこでもほぼどこにでもアクセスでき自分の時間や生活をよりコントロールできるようになったのです友人や同僚とのコミュニケーションコラボレーション共有仕事遊びに関して私たちがこれほど大きな能力を手にしたことはありませんでしたまたそのためのオンラインツールやアプリケーションも豊富に揃い比較的安価で利用できるようになりましたこの大変動であるモバイルテクノロジーを導入し利用してワークライフバランスをシンプルにする動きを牽引しているのは IT 部門ではなく職場でモバイルテクノロジーを使用したり使用することを要求しているユーザーですこのため IT 部門は急遽モバイルポリシーを策定し会社のネットワークに接続しているデバイスを把握したうえに個人のモバイルデバイスに保存されるようになった機密情報すべてをどう保護すればよいかを考えなければならなくなりました 2012 Webroot Inc. All rights reserved. 3

モバイル業務への対応このコンシューマ IT とエンタープライズ IT の大転換はイネーブルメント ( 導入して稼働できるようにする準備 ) かリスク管理かの利害対立も招きました経営陣やその他のユーザーは各自のデバイスを業務利用することを強く要求していますが多くはそれによって個人や組織が直面する重大なリスクを十分に理解していませんそれ以上に問題なのはベンダーの対応という点でも職場でのスマートデバイス使用に対する合理的なポリシーや管理の実装という点でもセキュリティ管理が立ち後れていることです全従業員の最大 70% がラップトップを使用しその多くが 2 ~ 3 台のインターネット接続されたデバイスも使用している現状では従業員が自宅や外出先で仕事をしたり IT 部門が承認していないデバイスを使用したりするのはもう珍しいことではなく実際にはほぼ常態化していますこのような状況によってリモートの作業でマルウェア感染率が上昇するなど多くのセキュリティ問題が発生していますまた監視やセキュリティポリシー適用が難しくなり全体的な可視性と管理レベルが低下することもありますこうした事態に対し Gartner ではエンドポイントセキュリティ市場は 2015 年までに完全に変わるだろうと予測していますこの予測では中央管理されたクラウド管理をモバイルデバイスセキュリティおよびモバイルデバイス管理と統合しさらにエンドポイントセキュリティと組み合わせてすべてのモバイルデバイスとプラットフォームに対応する製品が台頭すると見込んでいます BYOD 現象こうした事態に対し Gartner ではエンドポイントセキュリティ市場は 2015 年までに完全に変わるだろうと予測していますこの予測では中央管理されたクラウド管理をモバイルデバイスセキュリティおよびモバイルデバイス管理と統合しさらにエンドポイントセキュリティと組み合わせてすべてのモバイルデバイスとプラットフォームに対応する製品が台頭すると見込んでいますこのようにスマートモバイルデバイスの販売数が増えたため職場では BYOD (Bring Your Own Device: 私物デバイスの業務利用 ) ユーザーが増殖し無秩序リスクレベルが拡大してセキュリティポリシー手続き管理が一切無視されるおそれがありますさらにはモバイルポリシーが慎重すぎるためにビジネス上の優位が損なわれるという逆の動きも見られますそれ以外の多くはどっちつかずで様子を伺うという態度ですがどちらにしても問題ですこれではセキュリティ状況が原因で多大な損害が発生しかねませんこうした BYOD 業務利用による大転換の規模を裏付けるのが米国で Harris Interactive が実施したモバイルデバイスを使用した会社の情報のアクセス/ 保存に関するアンケートの結果です 1 1 1 アンケートは Harris Interactive により 2012 年 2 月 8 ~ 10 日に米国内で 2,211 人の成人 (18 才以上 ) と 1,320 人の米国の成人就業者を対象にオンラインで実施 2012 Webroot Inc. All rights reserved. 4

私物デバイスを業務に使用している成人就業者は 80% 超私物スマートフォンを使用している成人就業者は 24% 以下私物ラップトップを使用している成人就業者は 41% 以下私物デスクトップを使用している成人就業者は 47% 以下私物タブレットを使用している成人就業者は 10% 以下この結果によりモバイルアクセスが常態化していることまた現実にユーザーの作業生産性向上に効果をもたらすことが確認されました実際にはこれらのモバイルアクセス方法のほとんどは少し前から実施されているためこの中で特に目新しいのはスマートフォンとタブレットの使用です同じ Harris Interactive の調査では次の報告もしています会社のデータを暗号化しているユーザーは 33% 未満自動ロックを有効にしているタブレットユーザーは 10% 未満自動ロックを使用しているスマートフォンユーザーは 25% 以下自動ロックを有効にしていないラップトップユーザーは 66% 以下この調査ではベストプラクティスから自動ロックパスワード保護暗号化を有効にすることとセキュリティ意識の向上とユーザー教育のコストを割くことでモバイルアクセスの問題の多くは解決されると結論付けていますこうしたアクションを実行するのは賢明なことですただしそれはこれまで通用していただけで私物デバイスでいつでもどこでもどこにでもネットワークアクセスするリスクの多くは軽視されています最近 Decisive Analytics が実施した別のアンケートでは米国英国ドイツの 440 人の CEO と IT 担当役員に質問をしています回答者の 78% はすでにスタッフがラップトップスマートフォンタブレットなどの私物デバイスを使用することを許可しておりそれらのデバイスにセキュリティソフトウェアをインストールすることを要求していましたこのようにセキュリティテクノロジーを導入していても回答企業のほぼ半分がリモートアクセスまたはモバイルアクセスが原因でセキュリティ侵害の被害に遭ったことを認めましたそしてこうしたセキュリティ脅威を軽減する鍵として従業員の BYOD 行動の管理に関する教育が挙げられましたこれらのセキュリティ問題を抜きにすれば質問に対し IT 担当役員のほぼ半分が BYOD により競争力が向上したと回答していますまた 70% の CEO が競争力の向上を確信し BYOD を革新性と創造性を広げ生産性を高めて従業員の維持と採用に役立つツールと見ていますこの調査では企業は BYOD を導入してビジネスの潜在性を解き放つ一方で原則として容認するが放任ではない柔軟なセキュリティポリシーを適用することが必要だと結論付けています Webroot 自身が 2011 年に実施したリモートユーザーとセキュリ 2012 Webroot Inc. All rights reserved. 5

ティリスクに関する RSA グローバル調査のアンケートでもリモート/モバイルアクセスの利用増加と組織で発生するセキュリティ侵害件数の著しい増加の間には直接の相関があることが判明しました単純に言うとリモートユーザーが増えるほどセキュリティリスクは大きくなるのですモバイルマルウェア 2010 年前半 Webroot はスマートモバイルデバイスの普及に伴い組織のニーズが劇的に変化し全般的なセキュリティリスクは引き続き増大すると予測しましたそして 2010 年末までに Android スマートフォンおよびタブレット版の Webroot Mobile Security を消費者に提供しました Apple ではなく Android を選択することについても十分に検討しました Android プラットフォームの方がはるかに開放されていてユーザーはほとんどのサイトからアプリケーションをダウンロードできます Android アプリケーションストアは (Apple の App Store とは異なり) 厳重な管理が行われておらず事前のアプリケーションレビュープロセスが省略されている場合もありますプラットフォームとしての Android は依然として大幅に分化しておりさまざまなバージョンがあるのが当たり前になっていますアプリケーションの権限 ( 動作するデバイス上でアプリケーションがアクセスするリソース) には位置データ個人情報連絡先などが含まれることが多くさらにユーザーが利用規約を読まないためデータ盗難または紛失のリスクが一層大きくなっています Android を選んだのは正解でしたそれ以降このプラットフォームは頻繁にマルウェアの標的にされています攻撃には Android マーケットやサードパーティのアプリケーションストアを介して広がった悪意のあるアプリケーショなどさまざまな方法が使われていますユーザーはアプリケーションをダウンロードしなくても Android のリスクにさらされます事前インストールされた Android アプリケーションの多くは無制限の権限が設定されており攻撃者は以前の分化した OS バージョンやこれらのアプリケーションをうまく悪用してマルウェアをインストールするのに十分な権限を獲得します iphone や ipad なら独自の脆弱性にさらされていないと言っているわけではありません ios デバイスもデータ漏洩の被害に遭いやすいことは同じですが原因は主に iphone や ipad の不測の紛失や盗難です公正を期すと Google は定期的に脆弱性にパッチを適用していますしかし多くのユーザーのデバイスは最新バージョンになっていませんこれは通信事業者やデバイスメーカーがユーザーには更新するよりも最新 OS がインストールされた次期のデバイスを購入して欲しいと考えているためです独立系のマルウェア防止テスト機関である AVTest.org は Android マルウェアが 2012 年の最初の 4 か月で 450% 増加したことを確認していますメーカーや通信事業者はただちにそのポリシーを変えることを検討すべきではないでしょうか 2012 Webroot Inc. All rights reserved. 6

2012 年前半 Webroot は Android ユーザーから以下のようなマルウェアを確認しました 1.5% スキャンでのマルウェア検出 0.68% インストールシールドでのマルウェア検出 0.88% 実行シールドでの検出 0.86% ファイルの検出 16 2% 悪意のある URL の検出 AVTest.org はまた 2010 年 7 月には 10 万件未満だった Android マーケットのアプリケーションが現時点で 450,000 を超えていると推定しています Android マーケットは最も急成長しているソフトウェア市場であり新しいアプリケーションが増えるにつれてマルウェアの数も増えています Android マルウェアは過去数年間に急増した PC マルウェアと同様の高い増加率を示しています Android からのマルウェア脅威にはフィッシングバンキング用トロイの木馬スパイウェアボットルート悪用 SMS 詐欺プレミアムダイアラ偽インストーラなどがありますまたダウンロード用トロイの木馬に関する報告もありますこれはインストールされた後に悪意のあるコードをダウンロードするアプリケーションですつまりこれらのアプリケーションは Google Android マーケットでの公開中に Google のバウンサーテクノロジーで簡単に検出することができません急激な増加と脆弱性の悪用しやすさつまりこの領域にはサイバー犯罪者を引きつける貴重なモバイルデータが豊富にあるということですリスクとのバランス状況は明らかです BYOD によって会社所有のデバイスと私物デバイスの境界線が曖昧になりましたリスクは大きくなりデータ紛失やその他の侵害の可能性は高まっていますこれに対して論理的に考えると他者が経験しているタイプの侵害を避けるには適用可能で現実的なモバイルデバイスリスクポリシーを導入することが不可欠ですこれらのポリシーと管理には組織のリスクプロファイルに沿った BYOD アクセスのレベルも正確に反映し書面や他のセキュリティ認識トレーニングによって明確に伝える必要があります次は実用レベルのことを考えましょう適切な対策を実施して会社の情報と個人の情報のどちらも保護するにはポリシーや管理で何を義務付けるかを検討する必要があります検討すべきリスクに関して 2010 年に ISACA から Securing Mobile Devices (モバイルデバイスの保護 ) というタイトルの優れたガイドが公開されました考え方は最新とは言えませんが大変参考になります www.isaca.org から無料でダウンロードできます 2012 Webroot Inc. All rights reserved. 7

ISACA のモバイルリスク 1. アクセスされるモバイルアプリケーションはどの程度安全かデバイス侵害とネットワーク攻撃の両方に使用できるその権限レベルの脆弱性はどの程度か?(これによりなんらかの詳細なアプリケーション管理統制の必要性が高くなる) 2. デバイスのマルウェア脆弱性への露出はどの程度か?(エンドポイントマルウェア防御の必要性 ) 3. 小型デバイスの紛失または盗難のしやすさは?(リモート消去暗号化パスコード自動ロック使用認証の必要性 ) 4. 室内 ( 移動中以外 ) でのデバイス上のデータのストレージセキュリティに対するリスクは?(ローカルデータの暗号化の必要性 ) 5. データのバックアップ同期復元の方法は?( 紛失盗難データ破損時の障害時回復戦略の必要性 ) 6. 移動中のデータとその傍受に対するリスクは?( 傍受を止めるにはどのような種類のリンクが必要か) 7. Bluetooth 接続の表示のリスクは?( 乗っ取りを防ぐために Bluetooth の表示を制限する必要性 ) 8. 内蔵マイクとカメラによるリスクは? ( 乗っ取りや盗聴という観点からこれらを検討する必要性 ) 9. どのようなユーザー認証 /アクセス制御が必要か?(どのような認証が必要かアクセスされるデータへの依存レベルはどの程度か) 10. データ漏洩のリスクは? ( 個人データと企業データを分離して両方を保護する必要性デバイスからインターネット経由クラウド経由または Bluetooth 経由などでデータをエクスポートする場合の管理を検討する必要性 ) 11. デバイス管理を統制しているのは誰か?(ユーザーのデバイスを管理するのは誰かエンタープライズ IT でのみ管理されるのは何かそれと引き替えにユーザーは何を得るか) このリストは完全ではありませんが私物デバイスの使用に関してまず決めなければならないいくつかの重要事項を優先度付けするのに役立ちます当然組織内のデータ使用とデータアクセスに対してすでに存在するコンプライアンスや規制管理を追加する必要がありますさらに同じく重要な項目としてこれらすべてをどの程度簡単に管理するかを理解する必要があります未来が現実にそしてようやく本書の冒頭で述べたこのテクノロジーの大変動を収束させることができるようになりました 2012 Webroot Inc. All rights reserved. 8

Webroot はあらゆるタイプのエンドポイントと PC サーバーおよびモバイルデバイスでの Web 使用に対応したエンドポイントセキュリティがきわめて重要だと考えていますそして管理とユーザー統制を容易にするためには統合されたクラウドベースのセキュリティスイートインフラストラクチャを使用する必要がありますこのアプローチでは場所や使用するデバイスに関係なくユーザーの統制保護適用および説明責任が統一されますそのソリューションが SecureAnywhere Business Mobile Protection です SecureAnywhere Business Mobile Protection は急速に拡大するモバイルオペレーティングシステム Android と ios 向けに市場をリードする保護と統一された管理を実現しますまた Webroot Intelligence Network と連動して高度なアンチマルウェア検出紛失デバイス保護セキュアな Web ブラウズを提供し不必要な通話や悪意のある URL が含まれるおそれがある SMS メッセージをブロックします Webroot はこれを Webroot SecureAnywhere Business プラットフォームに統合し 1 つのガラス窓から一元的に IT 管理者が PC とモバイルデバイスの両方を管理できるようにします 30 日間の無料試用版をご利用になれます詳しくは以下のサイトをご参照ください www.webroot.com/mobileforbusiness 高い可視性を備えた新しい高度なエンドポイント管理統制アプローチの仕組みをより詳細に理解するには Webroot SecureAnywhere の無料試用版をダウンロードして Webroot 管理ポータルにアクセスしてみてください数分で稼働状態にできますまとめ BYOD ではテクノロジーの所有者が IT 部門ではないために多くの問題が発生しますそれでもアクセス権の鍵を握っているのは IT 部門ですそのためユーザーによる私物デバイスの業務利用と引き替えに管理権限ネットワークアクセスデータ管理をどこまで委譲するかバランスを取れるようにする必要がありますユーザーになぜ特定のアクティビティが許可または禁止されるのかを説明し特に IT セキュリティはユーザー自身とそのデバイスそれを利用して働いている組織の保護に役立つことを認識させる必要があります当然最初に着手するのは会社のモバイルポリシーの策定ですその後すぐに従業員に対しポリシーをなぜ制定するのかポリシーがあらゆる関係者の保護にどう役立つかをわかりやすく何回か説明しますそれが片付いたらポリシー適用の検討段階に入りますそれに関連してデバイスにアンチマルウェアソフトウェアをインストールしまたパスコード暗号化その他の配備しやすい保護 (リモート消去や定期バックアップなど) を配備するための管理がすべてアクティブになり実装されます同時にモバイルデバイスユーザーの多い企業では管理コストを削減し監視レポートセキュリティ管理を簡素化するためにモバイルデバイス管理機能が不可欠になります 2012 Webroot Inc. All rights reserved. 9

適切に実施され管理された BYOD への相互補完アプローチを実現できればその効果として生産性を大幅に向上させながらデータの使用とアクセスを誰もが受け入れられるリスク範囲内で適切に管理できるようになります Webroot について Webroot は企業および個人のインターネットセキュリティに関する問題を防止することを目的にしています 1997 年設立でコロラド州に本社を置く非公開企業の Webroot は約 350 人の従業員が北米欧州およびアジア太平洋地域の世界各国で業務に携わっていますウェブルート株式会社本社所在地 107-0062 東京都港区南青山 3-13-18 313 南青山 8F 2012 Webroot Inc. All rights reserved. 10

目 次 はじめに... 3 モバイル 業 務 への 対 応... 4 BYOD 現 象... 4 モバイル マルウェア... 6 リスクとのバランス... 7 ISACA のモバイル リスク... 8 未 来 が 現 実 に... 8 まとめ... 9 Webroot について

目次はじめに... 3 モバイル業務への対応... 4 BYOD 現象... 4 モバイルマルウェア... 6 リスクとのバランス... 7 ISACA のモバイルリスク... 8 未来が現実に... 8 まとめ... 9 Webroot について