スマートフォンに関するセキュリティ講座 第2回 ～スマートフォンを紛失！？、スマートフォンのビジネス利用～

[Hiroyuki]

こんにちは！

スマートフォンに関するセキュリティ講座 第1回は1週間で200 View Overされました。
ありがとうございます。

よくもまぁ・・・あんな長々とした文を・・・皆様読んでくださいました・・・
さて今回はちょっと軽めに続けていこうと思います。


さて、第2回の今回は「スマートフォンを紛失！？、スマートフォンのビジネス利用」

• 「スマートフォンを紛失した！？どうしよぉ・・・」
  
• 「スマートフォンのビジネス利用」
  
• 「最近よく聞くMDMってなあに？」
  

について語って行きたいと思います。



「スマートフォンを紛失した！？どうしよぉ・・・」

果たして皆様はどうでしょうか？
実際に紛失したことはなくても、置き忘れたり、一時的に何処に言ったかわからない等ヒヤリハットは結構あるのではないですか？


フィーチャーフォンならまだしも、あなたのスマートフォンにはどんな内容が保存されていますか？

• 取引先のお客様の氏名・電話番号、はたまた部署・役職や趣味などの情報も登録できたりで営業職の方はそういった情報も入れてたりしますよね？
  
• 会社のメールサーバから取得したメールは保存されていませんか？
  
• メーラーにはIDパスワードが登録済みになってませんか？
  
• ブラウザにはショッピングモールのIDパスワードが登録されていませんか？
  
• 銀行のネットバンキングアプリ、大丈夫ですか？
  
• 通話記録、メールから人間関係もまるわかりです。
  
• DropboxなどのアプリからWebストレージに重要な情報をあげていたりしませんか？
  
• パスワードやログイン画面、登録完了画面などのスクリーンショットを保存していませんか？

上げたらきりがありません。

もし、会社から貸与された端末の場合、中に入っている情報のほとんどが漏洩の許されない重要な情報かと思われます。

スマートフォンはフィーチャーフォンに比べたらパソコンのようなものです。
一昔まえのPCに比べたら格段にスマートフォンの方が性能が良くなっているでしょう。
PCよりも身近で肌身離さず利用している分、PCよりも重要な情報が入っている人も多いでしょう。

従来で言うノートPCの紛失よりも、スマートフォンの紛失は大変なこととなります。


さて、悪意の有る人がもしスマートフォンを拾った場合どうするか想定してみましょう！

フィーチャーフォンであれば、キャリアメールや電話帳くらいしか情報が取れないかも知れません。

あと、想定される悪用と言えば、パケット通信を使いまくる。いたずら電話をする等だと思いますが・・・。

スマートフォンではこれら抜き取れる情報が全部抜かれるかもしれません。
業務上知り得た機密情報を抜き取られてしまうことがあります。

また、スマートフォンに保存されている写真、写真内にメタデータとして保存されている位置情報、
スマートフォン自体が保存している今まで行ったことのある位置情報等々・・・

自分が意識していないところで意外にいろいろな情報がスマートフォンから取得できます。


さて、このセキュリティ講座では具体的にどう利用できる。どんな情報が取れるといったことはこれ以上掘り下げません。

そういったことを解説しているサイトはいっぱいありますのでご興味を持たれた方は検索してみてください。

この講座では、「じゃぁ紛失したことに備えてどうしておこう」といった内容を書きます。

まずはロックを掛けましょう！


私の周りにはスマートフォンを持っている方が多々いるのですが、ロックをかけている人が少ないです。
とうぜん、そんなかたがスマートフォンを紛失したり置き忘れた場合・・・。

「何でロックしてないの？」と聞いて、だいたいの方がこう答えます。
「なくさないもん！」
「絶対に手元からはなさないし！」

そして、食事や飲み会の時にトイレに立つ際にスマートフォンをおいて立ちます。
下手すると、会計時に
「スマートフォンをわすれた！」
と、取りに戻ります。

また、こんなことを言う人もいます。
「重要なデータははいってない！」

でもそういった人に、「じゃぁメールみたいから貸して！」

全力で拒否されます（笑）


ロックはかけましょう！

最近は顔認証、音声認証、指紋認証等、スマートフォンも様々な認証ができるようになりました。


しかし一般的にはiOS、AndroidOSデフォルトのロック方法を使われる方が多いと思われます。
先日、こんな記事を見つけました。

「Androidのパターンロック」にFBIが降参



ロック方法に関してはここ数年、特許合戦が繰り広げられており、すべてのOSで最高のロックが使えない等、
なんともいいがたところがあります。

手軽に強固なロックを使えるということだとこうなるでしょう。

4桁の数字　＜　英数字を利用した複雑なパスロック　＜　パターンロック


さて、ではロックをかけていたら安心か？というところですが


iOSデバイスではロックをかけていたとしても、

• USBケーブルに繋ぐことにより誰でも簡単に写真データが抜き出せます。
  
• 写真データの保存先にはスクリーンショット等も保存されます。
  
• パスワードやログイン画面、登録完了画面などのスクリーンショットを保存していた場合・・・

ですのでロックをかけていれば大丈夫ということはありません。


また、前回サンドボックスモデルのお話をしましたが、システム領域にはアクセスできなくとも
アプリケーションのデータ領域等も割と簡単にロック状態でアクセスできます。

自分はロックをしていたから大丈夫、拾って届けてくれた人がいたからと思っても実はたったその数分間にデータが抜かれている可能性があります。

また、前回Jailbreakはおすすめしませんといった内容も書きましたが、Jailbreak済みの端末の場合はたとえロックがかかっていたとしても、USB接続によりシステム領域を含めすべてのデータにアクセスが可能となります。

更にAndroid端末の場合、設定によりUSB接続方式をUSBデバッグモードにしていると、ロック中でもUSB接続によりAndroid端末を自由にアクセス、リモート操作できてしまいます。
それよりも、SDカードを抜いてそこに保存されているデータを閲覧するなどというのは誰でも容易にできます。

・端末内の重要なデータの暗号化について

AndroidOS3.0以降に関しては標準でシステム領域の暗号化が行われるようになりました。
しかし、ユーザーが追加するSDカードに関してはサポート対象外となっています。

iOSに関しては、外部デバイスが基本的には利用できませんしユーザー領域も暗号化が行われていので暗号化に関しては強固といえるかもしれません。

しかし、暗号化鍵自体は端末内に存在しており、Jailbreak済みやRoot化された場合、その暗号化鍵を抜き出してデータを復号化することは可能です。


・リモートワイプ、ローカルワイプの限界
さて、紛失した時のために、一定回数パスワードを間違えた場合やリモートで端末を初期化する機能があります。

Androidの場合 Android2.3からサポートされました。

iPhoneの場合、iPhoneを探す という標準の機能で現在のiPhoneの位置を検索したりリモートで初期化することが可能です。



しかし、スマートフォンを拾った人はどうするでしょうか？

善意のある人は画面に表示されたメッセージにより届けてくれるかもしれません。
初期化して転売する人もいるかも知れません。（情報漏洩にはなりませんね）
端末の電源を切り、SIMを抜いてリモート制御できない形にしてデータを抜き出す可能性があります。

電波が届かなければ、リモートでの初期化は出来ません。

ですので、定期的にバックアップをPCに保存（母艦たるPCと同期）しておき、紛失した場合は情報漏洩を最優先で考慮し躊躇なくリモート又は、ローカルワイプで初期化するようにしましょう。


それでは、どういった使いかたが良いか！

• 外部SDには重要なデータは保存しない
  
• スクリーンショットで重要なデータは保存しない
  
• パスワードロックを必ず行う
  
• ローカルワイプを設定（出来る端末を選ぶ）する。
  
• リモートワイプを設定（出来る端末を選ぶ）する。
  
• バックアップを定期的にとる（端末が見つかった場合に復元できるように）
  
• いざというときに戸惑わないよう定期的にリモート（ローカル）ワイプを試してみる。
  
• 躊躇なく初期化出来るように心がける
  

あまりセキュリティ関係の方々から指摘されていない話ですが、iOS・Android端末共にパスワードが分からなくても強制的に
Jailbreak やRoot化を行える方法が最近はあるため、悪意のある人に拾われたら確実にデータは抜かれてしまうわけですね・・・


スマートフォンのビジネス利用


スマートフォンのビジネス利用の現状

さて、これだけ危険性について語りましたが、ビジネス利用においてはどうすればいいでしょうか？

起動時間が早い！
スマートフォンやタブレットのビジネス利用においては利便性からすると今まで以上に効率的に業務が行えます。
例えば、営業行為やプレゼンを行うにしてもPCの起動などを考えると瞬間的に起動しプレゼンが行えるなど需要が大変高まっています。

重量が軽い！
ノートパソコンを持ち歩いていたことを考えると格段に軽くなります。
営業行為で重いPCを持ち歩くよりも、電車の中でも簡単に見れるスマートフォンは画期的です。

しかし、前述した問題よりビジネス利用においては躊躇している企業が多いのではないでしょうか？


スマートフォンのセキュアなビジネス利用方法

それでは、それを実現する方法として望ましい方法を検討しましょう。

性悪説から言うとまず、人は必ず物をなくします。

ハインリッヒの法則は、このケースに充分当てはまります。
「重大事故の陰に29倍の軽度事故と、300倍のニアミスが存在する」

たとえば、スマートフォンは何処にいったかなが300回あったら、29回置き忘れて出てきた等が発生し、1回が損害賠償を伴うような大きな事故になるでしょう。
30回に1回はこういったことが起こるというわけです。

これは結構な数値だと言えます。

例えば、会社の機密情報となる資料は競合他社からは喉から手が出るほど欲しい情報だったりします。
万が一そういったものが入った端末をを紛失した場合損害も大変なことになります。

ですので、紛失しても大丈夫な状態やシステムを作るのが望ましいと筆者は考えます。

一番重要なのはデータを端末内に保持しないことです。
また、許可された人以外には、そのシステムを利用させないなどを考えると

特定の業務用アプリをインストールしてない端末ではそのシステムにアクセスできないようにして、
必要なデータは都度サーバに取得に行くといった形が良いと筆者は考えます。

WEBブラウザを利用した方式の場合、WEBブラウザのキャッシュに業務情報が残ってしまったり、パスワード等を保存されてしまします。
コピー＆ペーストでメモ帳に保存されてしまったり、メールで機密情報を送られる可能性があります。
スクリーンショットで業務情報を写真フォルダに保存してしまうことも出来ます。。

これらをアプリで抑止するようシステムを設計すると良いでしょう。

また、スマートフォンではVPNや端末の証明書が利用できるので、システムにアクセスできる端末を更に絞り込むのも良いと考えます。


最近よく聞くMDMってなあに？

さて、今回の講座を読んだ人は
「スマートフォンを使うとこんなに怖いことがあるのに、気をつけないといけないことが多すぎて・・・」
「業務利用はスマートフォンを持ってる一人一人を教育して、更に運用してもらうなんてとても無理だ・・・」
「ビジネス利用は諦めたほうがいいのかなぁ・・・」

なんて、感想を持たれたと思います。

では、これらを仕組みとしてユーザーに意識させずに運用・管理できたら嬉しいですよね？

それらを解決できるソリューションがMDMです。
MDMとはMobile Device Managementの略で端末のセキュリティポリシーを設定することが出来ます。

本来は、モバイル端末の管理を目的とし、シリアルナンバーやOSのバージョン管理等を目的としていましたが、現在はセキュリティ機能が充実してきています。

• パスワードの強制化
  
• 管理者からのパスワードリモート消去
  
• カメラ機能の抑止
  
• 外部SDの仕様禁止
  
• Bluetoothの仕様禁止
  
• リモートワイプ
  
• ローカルワイプ
  
• 緊急時の位置情報の取得
  

等々・・・


様々なことが出来ます。

スマートフォンやタブレットのビジネス利用を行う場合は、これらMDM製品を組み合わせて運用していくことが必要不可欠となってくる筆者は考えます。

というわけで、今回はスマートフォンのビジネス利用について書いてみました。

さて、次回はMDMについてもう少し詳しくと、BYODについて語って行きたいと思います。