イベントレポート
Security Days 2013
「セキュリティソフトの対策に限界も」総務省が考えるスマホの安心利用
(2013/3/4 11:36)
3月1日に開催されたセキュリティ関連イベント「Security Days 2013」に、総務省の中谷純之氏(情報流通行政局情報セキュリティ対策室課長補佐)が登壇。自ら事務局を務めた総務省の「スマートフォン・クラウドセキュリティ研究会」の報告を踏まえ、スマートフォンを安心して利用するために、携帯電話キャリアや端末メーカー、アプリ提供サイト、ユーザーが取り組むべき方策を解説した。
セキュリティソフトによる対策には限界も
総務省は2011年10月、スマートフォン・クラウドセキュリティ研究会を発足。2012年夏に提出した最終報告では、スマートフォンのセキュリティ上の脅威と課題としてまず、マルウェアや脆弱性を含むアプリや、利用者情報を外部に送信するアプリがあると指摘している。
中谷氏によれば、Android OSではセキュリティソフトによる対策に限界があり、情報漏えいや不正課金の脅威があるという。「スマートフォンは、アプリが別のアプリを干渉できない構造。そのため、セキュリティアプリでも他のアプリの挙動を完全に監視できない。管理者権限があればすべての挙動を監視できるPCのセキュリティソフトとは事情が異なる」。
「日本特有」のOSの脆弱性とは
スマートフォンのOSについても脆弱性がある、と中谷氏。「日本特有の問題」と前置きした上で、OSベンダーがセキュリティパッチを提供しても、各端末メーカーや携帯電話キャリアで動作検証を行うため、「セキュリティパッチがユーザーに届くまでに時間がかかる」と説明する。
また、Windowsでは公表されているOSのサポート期間が、スマートフォンの一部のOSでは不明瞭なことも課題の1つだと指摘。「新型のOSが出たことによって、急に旧型のOSのサポートが断ち切られることもある。その結果としてユーザーがマルウェアにさらされることになる」。
スマートフォンの通信路についても、脆弱な暗号化・認証方式を使用する公式無線LANにセキュリティの欠点があると指摘。「フィーチャーフォンは主に3Gネットワークで通信していたが、スマートフォンでは無線LANが活用されるようになった」といい、脆弱な公衆無線LANでは通信パケットが傍受される脅威が存在すると話した。
携帯電話市場の構造変化も、スマートフォンの脅威を高めた要因の1つ。これまで携帯電話キャリアは、ネットワークやアプリ、OS、端末を「垂直統合」で管理し、セキュリティを確保していた。一方、スマートフォン市場は各レイヤーで多彩なプレイヤーが展開する「水平分業」。OSやアプリ、ネットワークなどのセキュリティを個別に確保しなければならず、脆弱な公衆無線LANや、不正なアプリが出回る可能性が増えたという。
ユーザーが自衛できる環境の整備を
事業者が行うべきセキュリティ対策としては、不正なアプリを「作らせない」「流通させない」「インストールさせない」という3原則を強調。「ユーザーが自衛できる環境の整備」も重要といい、事業者はアプリの性質を可視化する取り組みを強化するべきだと提案した。
「アプリケーションの利用規約にはデータへのアクセス状況などが表示されているが、利用者にとっては内容がわかりにくい。電気通信事業者協会(TCA)ではアプリケーション提供サイト向けガイドラインの検討が進んでいるが、これによってアプリケーション掲載の最低限の基準が可能な限り統一されることが望ましい。」
ユーザーが自衛できる環境の整備という意味では、一部の事業者が対策を進めている。一例として中谷氏は、インストール済みのアプリで電話帳や個人データを参照・送信する可能性のあるアプリを一覧表示し、アプリの利用判断をしてもらう、NTTドコモの「個人データチェック」機能を紹介。KDDIも同様の「プライバシースキャン」機能を提供予定という。
iOS 6では、アプリのデータへのアクセスをコントロールできるようになったことを紹介。具体的には、設定画面に「プライバシー」という項目が加わり、GPSで得た現在地、電話帳、カレンダー、写真などの情報を、アプリが使うかどうかを選べるようになり、その設定をアプリごとに変更できるようになったと説明した。
クラウドの積極活用がセキュリティの課題を解決?
最終報告ではさらに、スマートフォンで利用するクラウドサービス側にセキュリティの不備があった場合に、情報漏えいの危険性があることを指摘。「スマートフォンのユーザーは端末内かネットワーク上のどちらにデータがあるかを意識しないこともあり、無意識にクラウドサービスを利用しているケースもある」。
スマートフォンのクラウド利用に関するセキュリティ対策としては、「クラウドの利用の有無」をアプリに明示することに加えて、アプリが利用するクラウドサービスの情報などをもとに、アプリ提供サイト運営者がアプリの安全度を総合的に判断することも有効ではないかと話した。
こうした課題があるクラウドサービスだが、反対に積極的に活用することでセキュリティを確保できる可能性があると、中谷氏は指摘する。「スマートフォンをシンクライアント化することで、データ漏えいの危険性を軽減できる。(OSやアプリに相当する機能のセキュリティを)クラウド事業者側で一元管理するといった使い方も考えられる」。
最終報告ではこのほか、ユーザーが最低限取るべきセキュリティ対策として、「スマートフォン情報セキュリティ3か条」を立案。1)OSを更新、2)ウイルス対策利用ソフトの利用、3)アプリケーションの入手に注意――といった3点について、政府は広報やウェブサイト、パンフレットなどに加え、テレビや新聞を活用してユーザーに啓発していくという。