Pages

Monday, May 24, 2021

スマホの情報資産を守るために、我々が講じるべきセキュリティ対策とは? - ASCII.jp

スマホの高機能化に伴い、その利用におけるセキュリティリスクは高まっている。スマホでできることが増えた分、個人情報など管理すべき情報も広範囲に及んでいるためだ。スマホに保存されている情報の漏えいなどが原因で、犯罪やトラブルに巻き込まれるケースも少なくない。2021年時点でのスマホの実情を踏まえ、どのようなリスクがあり、どういった対策が必要かを考えていきたい。

 

停滞するスマホのセキュリティ対策

 

 「手のひらサイズのパソコン」と例えられるスマートフォン(以下、スマホ)。その進化によって、私たちの生活やビジネスは便利かつ快適に変化を遂げた。技術革新による低コスト化が進み、スマホの高機能化はさらに加速している。カメラやスピーカーなどエンターテイメント関連の機能拡充はもちろんのこと、セキュリティにも配慮した機能が搭載され、その安全性も高まっている。

 スマホのめざましい進化の一方で、セキュリティ対策の実施状況は伸び悩んでいるように思われる。IPAが実施した2020年度の調査「情報セキュリティの倫理と脅威に対する意識調査【脅威編】」における、スマホなどスマートデバイスのセキュリティ対策状況は図1のとおり、「端末内のアプリのアップデート」が約64%、「信頼できる場所からアプリをインストールする」が約61%、「OSのアップデート」が約55%となっている。

図1: セキュリティ対策状況:スマートデバイス利用者(IPA調査資料より引用)

 その他の項目でも、ワースト3となった「リモートロックなどの不正利用防止機能」の実施状況が約26%という数字をはじめ、スマホを利用する際の危険性に対する適切な対策について、依然として浸透していない実態が浮かび上がってくる。

スマホの「情報資産」とは?

 情報セキュリティ対策において基本となるのは、「情報資産を盗み出されない、悪用されないためにどのような策を講じるか」という考えであり、これはスマホであっても変わらない。まずは、「どのような情報が盗難・悪用されると危険か」を的確に把握すること。自分のスマホを片手に、どのようなものが情報資産にあたるかをリスト化してみるのも一考に値する。

 個人情報、行動履歴

 個人情報の宝庫とすら言えるスマホには、住所や電話番号、職業、会社名、ID・パスワードといった情報をはじめ、買い物履歴、銀行取引、Webサイトの閲覧履歴など、多様な情報が格納されている。また、プライベート写真のExifデータに保存されている撮影場所や時間、SNSへの投稿情報も、内容によっては個人情報や行動履歴として悪用されるリスクがある。最近では複数のソースから情報を収集し、得た情報を組み合わせる手法が攻撃者の常套手段となっている。

 アカウント情報

 モバイル決済が普及した結果、スマホに格納されるアカウント情報を狙う攻撃は増加傾向にある。銀行、ECサイト、SNS、メッセンジャーなどのアカウント情報は、それぞれパスワード設定などといった対策が講じられているはずだ。しかし、二段階認証が基本となりつつある金融機関のアプリなどであっても、攻撃者はあらゆる手で厳重な対策を突破すべく、その奪取を試みる。攻撃者は、金銭的なメリットが高ければ、あらゆる方法でその詐取を試みることは頭に入れておきたい。

スマホにおける「3つのリスク」

 先に挙げたスマホの情報資産を守るためには、想定されるリスクを把握しておく必要がある。具体的なリスクとして挙げられるのは、モノ自体を盗難・紛失してしまう「物理的リスク」、技術の脆弱性につけ込まれる「技術的リスク」、そして、自らのリテラシー不足による「人的リスク」だ。

 物理的リスク

 スマホにおいて、最もわかりやすいリスクは「他人の手に渡ってしまうこと」だ。スマホにログインされてしまうことで、自分になりすましたSNSでの情報発信や金融アプリを悪用した不正送金、ECサイトなどで勝手な注文を行うといった実害が伴う可能性もある。さらに、巧妙な攻撃者の場合、時間をかけてスマホ内の情報資産を抜き出して、身代金を要求するようなケースも考えられる。

 技術的リスク

 テクノロジーの結集とも言えるスマホには自ずと脆弱性がつきまとう。脆弱性の存在は攻撃者の侵入リスクがあるということを意味する。最近では「ゼロデイ脆弱性」という言葉が聞かれるように、攻撃者は侵入経路とすべく、常に脆弱性を探し回っている。一般的なユーザーのほとんどは、その技術に関して専門的な知識を持っているわけではないため、リスクとして捉えておく必要があるだろう。

 人的リスク

 個人所有が前提のスマホは、個人の情報と紐づいてしまうことが少なくない。そのため、取り扱うユーザーそれぞれのリテラシーや習慣で危険性は大きく変わることになる。公共の場所でスマホを無造作に置きっぱなしにする、パスワードを誕生日などのわかりやすいものにしてしまう、あるいはうっかり外で忘れてきてしまう、といった行為をはじめ、セキュリティが確保されていないような公衆Wi-Fiの利用、フィッシングメールの被害なども人的リスクとして挙げられる。

スマホで気をつけたい情報セキュリティにおけるポイント

 スマホを利用する際に想定されるリスクを踏まえ、対策を講じる以前に、まずは自分の意識を変えるようにしたい。以下のポイントは基本的な事項として、しっかりと頭に入れておきたいところだ。

 盗難、紛失は一定の割合で発生する

 飲み会に参加した際にスマホを紛失し、翌日になって慌てる。電車やトイレ、喫茶店に忘れてしまい、急いで戻る。そんな経験をした人も少なくないはずだ。個人の認識や注意力に関わらず、盗難と紛失は一定の割合で発生してしまう可能性があることを認識しておくようにしたい。そして、紛失した場合を想定し、事前にできる対策は適切に講じてくおくことだ。

 インターネットにアップした情報は完全には取り消せない

 インターネット上にアップした情報を完全に取り消すことは難しいということも覚えておいてほしい。もし、自分の個人情報が含まれた文章や写真などを誤ってアップしてしまうと、取り返しがつかなくなる可能性もある。以前、話題となったバイトテロ動画なども、SNSの一定時間後に自動的に削除される機能を使っていたものの、拡散され炎上に至った。少々言い過ぎかもしれないが、個人の弱みとなる情報を収集している人々が少なからず存在し、待ち構えているというくらいに考えるほうが適当かもしれない。

 インターネット上には危険な仕掛けが溢れている

 不正なサイトへ誘導し、個人情報や金銭をだまし取るといった、インターネット上の詐欺が横行している。大手企業のサービスを偽装するといった手口も常套化しており、本物だと信じ込ませる手口は巧妙化する一方だ。意識していても詐欺に気づくことができない場合もあるため、先述した情報資産に該当する情報を要求された際には疑ってみる、手続きを中断するといった「一度立ち止まる」習慣をつけておくとよいだろう。

 「無料」には何らかの理由が存在する

 生活やビジネスに便利なアプリの中には「無料」のものもあるが、なぜそのアプリが無料なのかを考えたことがあるだろうか。最近の悪質なアプリには、端末内に保存されている個人情報を不正にサーバーへ送信しているケースもある。要するに、無料で利用させる代わりに、個人情報を入手している可能性があるということだ。厳格な審査を行っている公式アプリストア経由であっても、不正な動作を見抜けないケースもある。他のユーザーからのアプリへの評価を確認するのはもちろんのこと、提供元の情報も最低限確認するようにしたい。

 重要な情報へのアクセスには複数のカギをかける

 自らの情報資産の中でも、特に重要な情報へのアクセスには複数のカギをかけることを徹底したい。大切な情報を守るにあたって、必須ともいえる。最近では二段階認証、二要素認証が利用できるアプリも増えてきている。パスワードのみの場合でも、複雑な15桁以上のパスワードに設定すること、パスワードの使い回しは極力避けること、といった基本的な対策だけでも安全性は向上する。対策を講じた結果、煩雑になりかねないパスワード管理についてはESETなどのセキュリティソフトにも搭載されている、パスワード管理ツールを利用するなど、重要な情報資産を盗まれないための対策は適切に講じておきたい。

最新スマホで対応しておきたい情報セキュリティ対策

 セキュリティに関する機能も進化しているスマホだが、せっかくの機能も適切に利用しなければ意味のないものとなってしまう。どのようなセキュリティ対策を講じるべきか、その基本となる4点について紹介していく。

 セキュリティアプリのインストール

 年々、攻撃の手口は高度化している。一見、安全に見えるWebサイトでも危険が潜んでいることもあれば、公衆Wi-Fiから通信内容を盗み見られることも、アプリからデータを窃取されるケースも存在する。そこで、まず推奨したいのがセキュリティアプリのインストールだ。特に、Androidスマホでは、セキュリティ対策アプリのインストールは必須とも言える状況となっている。例えば、ESETのAndroid向けアプリ「ESET モバイル セキュリティ」は、定義ファイルが自動でアップデートされるウイルス対策をはじめ、偽サイトへのアクセス防止など、強力なセキュリティ機能を備えている。30日間無料で試用できるため、まず使い勝手を確認するためにも、インストールしてみることをおすすめしたい。

 OS、アプリの適切なアップデート

 脆弱性が発見され、その対応が行われるまでの隙を狙う「ゼロデイ攻撃」が一般化していることもあり、アプリやOSのアップデートはできるだけ速やかに適用しておきたい。最近ではアプリの提供元もセキュリティ対策を強化する傾向にあり、脆弱性に対するアップデートを頻繁に行っているものもある。OSに関するアップデートは緊急性の高いものもあるため、その場合はなるべく早めに応じるようにしたい。「面倒だ」と放っておくことが危険性につながるという認識を持つべきだ。

 アプリの権限を適切に設定する

 個人情報や行動履歴などが重要な情報資産との認識は持っていながら、アプリの権限を適切に設定していないユーザーも少なくないはずだ。特に、ゲームなどでSNS連携が必要な場合など、要求される権限を疑いもせずに許可してしまってはいないだろうか。他にも、懐中電灯の機能だけのアプリにもかかわらず、連絡先へのアクセスを要求するなど、提供される機能では不要と思われる権限を要求するようなアプリもある。一度、インストールしているアプリごとに、適切な権限設定となっているか見直しておきたい。

 iOSは14にバージョンアップして以降、権限の許可に関連するセキュリティ対策を強化しており、不要とみなされる権限が要求される場合などに通知を出して警告してくれるようになっている。こうした通知が表示された場合は必ず確認するようにし、必要に応じて適切に設定を変更するようにしておきたい。

 盗難、紛失時に備えた対策を講じておく

 人間はミスをする生き物であり、盗難や紛失は完全には防げないという前提で対応を考えておきたい。だからこそ、「紛失することを前提に何をしておくか」、「なくした時にどう対応するか」が大切になる。手元から無くなった場合に、被害を最小に抑えるための対処方法を事前に把握して、必要な対策を講じておきたい。

 まずは、大切な情報を「別の安全な場所にバックアップしておくこと」。そして、紛失した際に速やかに端末を発見できるように「位置情報をオンにしておく」、その上で紛失時に慌てず探せるように、事前に探すことを試しておきたい。そして最後は、勝手に操作されることを防ぐために、「画面ロックを設定し、推測されやすいパスワードを避けること」もしておけばより安全性は高まるはずだ。

 以上4つがスマホの基本的なセキュリティ対策となる。また、ESETなどのセキュリティソフトに搭載されている、遠隔ロック機能などを有効に活用することも安全性を高めることに寄与するだろう。

スマホ利用時のリスクを理解し、適切な対策を

 スマホをはじめ、情報セキュリティ対策の第一歩は、「リスクを知ること」と言える。しかし、専門家でない限り、すべてのセキュリティ知識やトピックを収集し、リスクを網羅することなど現実的とは言えない。だが、自らが所有するスマホの機能を前提とした、想定されるリスクぐらいは最低限として理解しておくようにしておきたい。

 進化を続けるスマホは今後もさまざまな機能が搭載されていくことだろう。新しい機能を利用することで、どのように安全性が向上するのか、あるいは、どのようなリスクが新たに生じるのかといった点はしっかりとキャッチアップするようにしたい。攻撃者の手法も年々高度化・巧妙化してきている。その手法を把握することも被害抑制の第一歩となるはずだ。スマホを安全に利用し、さまざまな恩恵を享受するためにも、関連する情報収集を習慣化し、必要に応じて適切な対策を行うことを心掛けてほしい。

■関連サイト

Adblock test (Why?)


からの記事と詳細 ( スマホの情報資産を守るために、我々が講じるべきセキュリティ対策とは? - ASCII.jp )
https://ift.tt/3ww7GxM
科学&テクノロジー

No comments:

Post a Comment