- ニュース
写真:1Password
多くのIT部門は、様々なモビリティ・イニシアチブの開発と実装という大きなプレッシャーにさらされています。これらのイニシアチブは、多くの場合、ITの様々な分野にまたがっています。社内アプリの開発、iPhoneやiPadなどのモバイルデバイスからの新旧システムへのアクセスの提供、BYODプログラムの一環としてユーザーデバイスの管理とサポート、そしてモバイル向けサイトやネイティブアプリといった顧客向けソリューションの開発など、様々な取り組みが求められています。
IT組織は多くのプレッシャーに同時に直面しており、厳しい期限と予算のために妥協せざるを得ない状況にあります。セキュリティ専門家のジェフ・ウィリアムズ氏によると、できるだけ早くソリューションを提供したいという強い思いが、重大なセキュリティ上の欠陥を抱えたソリューションを生み出す可能性があるとのことです。
GovInfoSecurityとのインタビューで、ウィリアムズ氏はモバイルアプリ開発に焦点を当てています。多くの組織は、モバイルアプリがもたらす潜在的な生産性向上を認識しています。しかし、アプリの開発を急ぐあまり、必要な厳格なセキュリティテストを実施できていない組織が多くあります。
モバイル管理ソリューションはデバイスのセキュリティ保護に役立ちますが、デバイスが紛失または侵害された場合、企業の内部アプリが攻撃の容易なベクトルになる可能性があり、そのような場合にはデバイス管理ソリューションではほとんど保護が提供できない可能性があるとウィリアムズ氏は指摘しています。
ほとんどのモバイルアプリはサーバーサイドと複数のクライアントで構成されており、クライアントはHTML5、iPhone、Android、Blackberryなど、様々なデバイスに対応しています。ここで少しイメージを膨らませてみましょう。企業のデータセンターから、Wi-Fiや長距離ネットワークなどを含む様々なネットワークを経由してモバイルデバイスに繋がる、一種のバブルを想像してみてください。このバブルを通して企業やデータを外部に展開していくと、そのバブルを保護することがあなたの仕事になります。
脆弱性が存在する状況の例をいくつか挙げてみましょう。攻撃者がスマートフォンを盗んだり、悪意のあるアプリをデバイスにインストールしたりした場合、攻撃者が何らかの方法でそのバブルに侵入できるかどうかを自問する必要があります。デバイス上にあるデータは確実に保護する必要があります。データセンターとデバイス間でデータが転送されている間も、データが確実に保護されていることを確認する必要があります。そして、アプリケーション自体が堅牢であることも確認する必要があります。堅牢なコードでなければなりません。
ウィリアムズ氏はまた、セキュリティ上の課題の一部は実際には新しい問題ではないとも指摘している。
残念ながら、10年前のWebアプリケーションコードで見られたのと同じようなミスが、今なお多く見受けられます。多くの組織はBYODやMBMへの対応に追われ、市場にいち早く参入しようと躍起になっています。そのため、ビジネス上のプレッシャーに晒され、アプリをできるだけ早くアプリストアにリリースしなければならないというプレッシャーに押しつぶされそうになり、モバイル向けの安全なコードを構築するために必要なリソースを、開発部門に十分に配分できていないのです。
アプリケーションのセキュリティ上の懸念に対処するため、ウィリアムズ氏は、iPhone または iPad アプリ内にできるだけ少ない企業データをデバイスに保存し、デバイス上のすべてのデータを暗号化する (Apple がさまざまな iOS API を通じて開発者に提供する機能) などの常識的なアドバイスを提供しています。
アプリケーションに関して言えば、まず第一に、携帯電話に保存する機密データを最小限に抑える必要があります。機密データは情報漏洩の原因となるからです。最善策は、携帯電話に保存しないことです。メモリやクラウドに保存することは可能かもしれませんが、携帯電話には保存させないでください。暗号化されたデータを保存する必要がある場合は、組織は開発者に暗号化コンテナを提供するべきです。これは、携帯電話に保存されるすべてのデータが暗号化され、携帯電話が紛失、盗難、または侵害された場合でもデータが保護されるようなソリューションです。
また、企業のモバイル アプリにコンテンツやデータを実際に配信しているバックエンド サーバーを強化して監視することの重要性も主張しています。
ウィリアムズ氏はインタビューの中で明確には触れていないものの(全文を読む価値は十分にある)、社内向けiOSアプリは、AppleがiOS App Storeで販売するアプリに実施しているような審査・承認プロセスを受けていないことを念頭に置くことが重要だ。つまり、開発者がミスを犯したり、コードに脆弱性を残したりした場合、アプリが徹底的なセキュリティ審査プロセスを受けなければ、企業は手遅れになるまでリスクに気付かない可能性があるのだ。
出典: GovInfoSecurity
![Studio Displayがデザイナーのレゴだらけのホームオフィスの主役に [セットアップ]](https://image.oligur.com/poclnokl/81/f1/Setups-Jose-Munoz-Reddit-1-Dec-18-2023.webp)
![ScarlettオーディオインターフェースがMac Studio rigのサウンドをマスターする [セットアップ]](https://image.oligur.com/poclnokl/fd/83/Focusrite-Scarlett-2i4-USB-Audio-interface.webp)
