スマートデバイスのセキュリティリスクについて

スマート

セキュリ

アーンスト・アンド・ レットPCの使用を許 2012年の調査では ます。また、導入を

1. はじめに

ていることが伺えま 多くの金融機関では スに最適化したサー ネットバンキングや に適したウェブサイ きています。 一方、前述の調査で として、多くの企業が すが、暗号化技術の 必ずしも十分ではな 本稿では、スマート 用者であり、かつス 場から概観し、いくつ

デバイスの

ティリスクについて

ヤングが64カ国1836社に行った調査（※1）によると、組織内でタブ 許可している組織は、2011年では全体の20％に過ぎませんでしたが、 は44％に倍増し、モバイル技術が急速に普及していることを示してい 検討している企業は35％に達し、スマートデバイスに高い関心を示し

に

ます。 は、スマートデバイスを渉外端末として活用するほか、スマートデバイ ービスを取引チャネルのひとつとして顧客に提供しています。インター やネットトレードのサービスを提供する金融機関では、スマートデバイス イトの構築に加え、専用のアプリケーションを提供するケースも増えて では、スマートデバイスを利用することに伴う新たなリスクへの低減策 が「ポリシーの改訂」「セキュリティ意識向上活動の強化」を挙げていま の導入については40％にとどまる等、新しいテクノロジーへの対策が ないことも明らかにしています。 トデバイスの特徴とセキュリティリスクについて、スマートデバイスの利 スマートデバイスを使ったサービスの提供者ともなりうる金融機関の立 つかのリスクに対するセキュリティ対策について説明します。

2. スマートデバイスの特徴

公益財団法人金融情報システムセンター（FISC）の「金融機関 等コンピュータシステムの安全対策基準・解説書 第8版追補 版」によると、スマートデバイスとは、スマートフォンおよび同様 の機能を具備するタブレット型端末の総称とあります。これまで の携帯電話等の情報機器と比べて、スマートデバイスはユー ザーがアプリケーションを追加、カスタマイズする等の拡張が自

2. スマ トデ イスの特徴

由に行えることが大きな特徴です。 ハードウェア面では、ソフトキーボード、タッチパネル、液晶ディ スプレイ、マイク、スピーカ、SIMカード等の基本的な入出力デバ イスに加え、カメラ、外部記憶メディア（SDカード等）やGPS、加 速度センサーを備えている機種も多くなっています。 外部機器とのデ タ交換には S ネクタを経由した Cとの 外部機器とのデータ交換には、USBコネクタを経由したPCとの 有線でのデータ交換に加え、3GおよびLTEネットワーク、無線 LAN、IrDA（赤外線通信）、Bluetooth、NFC（非接触ICカード） 等の様々な無線通信に対応した機種が発表されています。 また、プログラムやデータのストレージにはフラッシュメモリを使 用しており、従来の携帯電話と比較すると大容量の記憶装置を 搭載しています 搭載しています。 ソフトウェア面では、電話、メール、Webブラウザ、ナビゲーショ ン、スケジュール、アドレス帳等のソフトウェアが出荷時より標準 で 搭 載 さ れ て い る ほ か 、Appleが提供する「App Store」や Googleが提供する「Google Play」等のマーケットからダウン ロードしてデバイスにインストールすることも可能となっています。

3. スマートデバイスのセキュリティリスク

前章で述べた通り、スマートデバイスはラップトップPCに匹敵す る高い機能性を持っていますが、それ故にセキュリティリスクも 高くなっています。リスクとしては次のようなものが挙げられます。

(

1) 紛失や盗難等に伴うリスク

スマートデバイスは携帯性が高いため、紛失や盗難の懸念があ ります。端末を紛失すれば業務に使用できなくなるだけでなく、 メールソフトやアドレス帳の情報、SDカードに保存したデータ等 から、場合によっては大量の個人情報や会社の機密情報が漏 えいするリスクがあります。 スマートデバイスのセキ 2

(

2) 様々なネットワークと接続することによるリスク

前述の通り、スマートデバイスは無線LANや無線ネットワーク、 Bluetooth等の通信手段を持っており、会社のネットワークとも 接続可能な状態にあります

。

このことは、次の2つの面でリスクとなります。 ► スマートデバイスが攻撃者の仕掛けた無線LANアクセスポ イ 等 誤 接続 通信を傍受され 機密情報が抜き イント等に誤って接続し、通信を傍受され、機密情報が抜き 取られるリスク ► スマートデバイスから社内ネットワークに接続する経路を通 じて、社内システムに対し不正アクセス（なりすまし等）が行 われるリスク

(

_{3) ウィルス・マルウェア等のリスク}

スマートデバイスでは、ユーザーは主に公式マーケットからアプ リケーションをダウンロードし、インストールしています。しかし、 公式マーケットからダウンロードしたアプリケーションであっても、 審査が十分に行われておらず、悪意のあるプログラムをインス トールしてしまうケースが報告されています（※2）。

(

_{4) 自社開発アプリケーションに関するリスク}

(

_{4) 自社開発アプリケ ションに関するリスク}

モバイルバンキング等のアプリケーション設計に考慮洩れがあ ると、顧客の口座番号やパスワード、取引内容等の機密情報が 他のアプリケーションからアクセスされる可能性があります。ま た、悪意のある他のアプリケーションが、自社アプリケーション内 の機能を呼び出して悪用するといったリスクも存在します。 A d idアプリケ シ ンの イル（APK イル）を復号して Androidアプリケーションのファイル（APKファイル）を復号して ソースコードを入手し、本来なかった悪意のある機能を組み込ん で再配布される可能性もあります。

(

5) OSの脆弱性を突いた攻撃のリスク

スマートデバイス用OS（iOSやAndroid OS等）の脆弱性を悪用 し、権限昇格やDos攻撃が行われるケースが報告されています。 現状、Android OSを使用する端末の製造事業者は、自社端末 仕様に適合するようAndroid OSをカスタマイズして、製品として 出荷しています。このため、Android OSに脆弱性が発見された 場合、各端末製造事業者は自社の端末用に修正プログラムを 作成・配信する必要が生じます。しかしながら、適時・適切に修 正プログラムが提供されていないという問題が以前より指摘され ※ キュリティリスクについて ています（※3）。

4. リスクへの対応

当章では、前述したセキュリティリスクのうち、「紛失や盗難に伴 うリスク」「ウィルス・マルウェア等のリスク」「自社開発アプリケー ションに関するリスク」について、技術面・運用面での対応策を 列挙します。

(

1) 紛失や盗難に伴うリスクへの対応策

4. リスク の対応

( ) 紛失

盗難 伴うリ ク

対

策

第三者によるデータへのアクセスを困難にする対策や、アクセ スが可能になった場合でも、被害を最小限にとどめる対策が考 えられます。 ► 端末のロック機能の有効化 端末を紛失、あるいは盗難にあった場合でも、第三者に容 易に悪用されないよう デバイスの自動ロック機能を有効に 易に悪用されないよう、デバイスの自動ロック機能を有効に します。 ► 端末利用者の認証 デバイスの認証機能を有効にし、起動やロック解除を行う際 の暗証番号を初期値から変更しておく必要があります。ユー ザーは組織のパスワードポリシーに従って暗証番号を設定し、 定期的に変更する必要があります。 定期的に変更する必要があります。 ► 端末の探索、ワイプ機能の利用 端末を紛失した際に備え、デバイスをMDM（モバイル機器管 理）システムの管理下に置き、紛失時にはMDMの機能を 使って端末位置の特定や回線経由でのデータ消去（リモート ワイプ）を行うことが考えられます。OSの設定により、予め設 定された回数を超えてパスワード入力を失敗した場合に、内 蔵データやSDカードのデータを消去する（ローカルワイプ）の 機能を持つ端末もあります。 ► デバイス内に機密データを保持させない 第三者が認証機能をバイパスした場合に備えて、個人情報 や業務上の機密データを、デバイスやSDカードに残さないよ うにすることも考えられます。一例としてWebブラウザやシン クライアント等、デバイス内にデータが残りにくい手段を用い て業務フローを構築する等の方法が考えられます。 スマートデバイスのセキ ► 機密データの暗号化 デバイ 上 個人情報や機密デ タを保持する必要がある デバイス上に個人情報や機密データを保持する必要がある 場合は、データの暗号化が可能なデバイスを採用し、暗号化 を強制する必要があります。暗号化は、SDカード等の外部デ バイス内にあるデータについても行う必要があります。 ► 社内連絡体制の整備と周知徹底 紛失した場合の手続きや連絡先を日頃から構成員に周知し、 紛失した場合には速やかに報告され 組織的に対処できるよ 紛失した場合には速やかに報告され、組織的に対処できるよ うにしておくことが必要です。

(

2) ウィルス・マルウェア等のリスクへの対応策

基本的には、企業が所有するPCと同様の対策が必要となります。 ► ウィルス対策ソフトウェアの導入 マルウェアからの防御、早期検出を目的として、市販のウィ ルス対策ソフトウェアを導入することが必要となります。 ► アプリケーションのインストールの制限 iOSでは、設定によりデバイスへのアプリケーションのインス トールを禁止させることが可能です。またAndroid OSでは マーケット以外からのインストールを禁止し、マルウェアを導 入する可能性を低減させる対策を講じる とができます 入する可能性を低減させる対策を講じることができます。 ► 起動可能なアプリケーションの限定 OSやMDMの機能を利用し、起動可能なアプリケーションを限 定することで、仮にマルウェアを導入しても起動しないように 設定することが可能です。 ► 感染時の対応手順の整備と要員の意識付け ► 感染時の対応手順の整備と要員の意識付け ウィルスやマルウェアへの感染を認識した場合の、ユーザー およびIT管理部門の対応手順と責任分担を定め、徹底する ことが必要です。 Android端末の場合は、インストール時にアプリケーションに 与える権限を確認する画面が表示されるので、必要以上の 権限（電話帳へのアクセス等）を要求するアプリケーションは 権限（電話帳 のアク 等）を要求するア リケ ションは インストールしない等の意識付けも有効です。 キュリティリスクについて 3

(

3) 自社開発アプリケーションに関するリスクへの対応策

自社で開発したアプリケーションは、ユーザー（顧客）の環境下で 用されますが、ユーザーがデバイスの盗難にあう、マルウェアに感 する等の方法で、アプリケーション自体、およびアプリケーションが 成したデータが攻撃を受ける可能性があります。 アプリケーションやデータを保護するために、次のような対策を検 する必要があります。 ► ファイルへの適切なアクセス許可の付与 自社 プ がデバ 内部 デ タを 録する際 自社アプリケーションがデバイス内部にデータを記録する際には 他のアプリケーションから自由にアクセスされないよう、ファイル フォルダに適切なアクセス許可を付与し、その適切性をテスト等 確認しておくことが必要です。 ► 自社アプリケーション機能の外部からの利用制限 自社アプリ内の機能が他のアプリから呼び出されて、悪用される とを防ぐために 呼び出し元を確認するロジックを設けるとともに とを防ぐために、呼び出し元を確認するロジックを設けるとともに アプリ内の機能に適切なパーミッションを設定する必要がありま ► アプリケーションの難読化 アプリケーションが改ざんされ、不正利用されるリスクを低減する めに、ツールを使用して難読化を行うことが可能です。 スマートデバイスおよびその関連技術は発展の途上にあるため、 業は従来のセキュリティ対策の延長では解決できないリスクを識別 必要な部分に効率的に対応していく必要があります。 例えば、個人顧客に向けて大量にアプリを配信する企業では、よ

5. おわりに

、 顧 す 、 セキュアな設計・開発・検証を進める開発体制の整備が必要にな か も し れ ま せ ん 。 ま た 、 個 人 所 有 の デ バ イ ス を 業 務 に 利 用 す BYODでは、様々な種類・管理状況のスマートデバイスが企業ネッ ワークに接続するため、境界部分の検疫機能の強化が必要となる 合があります。 本稿では、スマートデバイスのセキュリティリスクについて、ほんの 例を説明しただけであり、実際にはさらに多くの課題を検討する必 がありますが、金融機関におけるスマートデバイス活用の一助に れば幸いです。 ※1 2012年度情報セキュリティ・グローバルサーベイ（GISS） http://www.shinnihon.or.jp/shinnihon-library/publications/ research/2013/2013-01-25.html ※2 「スマホにおける新たなワンクリック請求の手口に気をつけよう！」（IPA http://www.ipa.go.jp/security/txt/2013/05outline.html ※3 「スマートフォンへの脅威と対策に関するレポート」（IPA） http://www.ipa.go.jp/about/technicalwatch/20110622.html 以 4

策

で使 感染 が生 検討 は、 ルや 等で るこ に に、 ます。 るた 企 別し、 より なる す る ット る場 の数 必要 にな A） 上

新日本有限責任監査法人｜金融アドバイザリー部｜プリンシパル

お問い合わせ先

藤森 一弘 Tel: 03 3503 1138 [email protected] 新日本有限責任監査法人｜金融アドバイザリー部｜シニアマネージ 小桐 重明 Tel：03 3503 1138 [email protected] oto [email protected] 新日本有限責任監査法人｜金融アドバイザリー部｜シニア 山口 敏行 Tel：03 3503 1138 [email protected]

Ernst & Young ShinNihon LLC

アーンスト・アンド・ヤングについて アーンスト・アンド・ヤングは、アシュアランス、税務、 トランザクションおよびアドバイザリーサービスの分 野 お る世界的な ダ す 全世界 野における世界的なリーダーです。全世界の16万 7千人の構成員は、共通のバリュー（価値観）に基 づいて、品質において徹底した責任を果します。私 どもは、クライアント、構成員、そして社会の可能性 の実現に向けて、プラスの変化をもたらすよう支援 します。 「アーンスト・アンド・ヤング」とは、アーンスト・アンド・ヤン グ・グローバル・リミテッドのメンバーファームで構成される グロ バル ネ トワ クを指し 各メンバ フ ムは法 グローバル・ネットワークを指し、各メンバーファームは法 的に独立した組織です。アーンスト・アンド・ヤング・グロー バル・リミテッドは、英国の保証有限責任会社であり、顧客 サービスは提供していません。詳しくは、www.ey.com に て紹介しています。 新日本有限責任監査法人について 新日本有限責任監査法人は、アーンスト・アンド・ ヤングのメンバーファームです。全国に拠点を持ち、 日本最大級の人員を擁する監査法人業界のリー ジャー 日本最大級の人員を擁する監査法人業界のリ ダーです。品質を最優先に、監査および保証業務 をはじめ、各種財務関連アドバイザリーサービスな どを提供しています。アーンスト・アンド・ヤングのグ ローバル・ネットワークを通じて、日本を取り巻く世 界経済、社会における資本市場への信任を確保し、 その機能を向上するため、可能性の実現を追求し ます。詳しくは、www.shinnihon.or.jp にて紹介し ています。 アーンスト・アンド・ヤングFSO（日本エリア）について アーンスト・アンド・ヤング フィナンシャル・サービ ス・オフィス（FSO）は、競争激化と規制強化の流れ の中で様々な要望に応えることが求められている 銀行業、証券業、保険業、アセットマネジメントなど の金融サービス業に特化するため、それぞれの業 務に精通した約3万5千人の職業的専門家をグ ローバルに有しています。また、各業界の規制動 向を予測し 潜在的な課題に対する見解を提示す 向を予測し、潜在的な課題に対する見解を提示す るため、業種別にグローバル・ナレッジ・センターを 設け、規制動向の収集や業界分析を行っています。 アーンスト・アンド・ヤング FSO（日本エリア）は、グ ローバル・ネットワークと連携して、約1300人の金 融サービス業に精通した職業的専門家が一貫して 高品質なサービスを提供しています。 t hi ih © 2013 Ernst & Young ShinNihon LLC.

All Rights Reserved.

本書又は本書に含まれる資料は、一定の編集を経た要約形 式の情報を掲載するものです。したがって、本書又は本書に 含まれる資料のご利用は一般的な参考目的の利用に限ら れるものとし、特定の目的を前提とした利用、詳細な調査へ の代用、専門的な判断の材料としてのご利用等はしないでく ださい。本書又は本書に含まれる資料について、新日本有 限責任監査法人を含むアーンスト・アンド・ヤングの他のい かなるグローバル・ネットワークのメンバーも、その内容の正 確性、完全性、目的適合性その他いかなる点についてもこ れを保証するものではなく、本書又は本書に含まれる資料に 基づいた行動又は行動をしないことにより発生したいかなる 損害についても一切の責任を負いません。