McAfee Labs が発表した「McAfee 脅威レポート: 2010年第4四半期」 (「参考文献」を参照) によると、2010年はモバイル・プラットフォーム (特にスマートフォン) を対象としたサイバー攻撃が増加しました。モバイル・プラットフォームとクラウド・コンピューティングの収束が急速に進み、モバイル・クラウド・コンピューティングという分野が定義されている今、モバイル・プラットフォームに対する攻撃の脅威と、その対処方法を理解しなければならないことは明白です。

McAfee のレポートでは、モバイル・プラットフォームに脅威をもたらす環境は流動的であることも示唆しています。これは、新しいモバイル・プラットフォームが登場するごとに、犯罪者たちが新たなセキュリティー上の弱点を探り出すためです。この変化していく脅威環境は、一部のビジネスに影響を与えています。例えば、最近のニュースでは、Google が州政府や地方自治体にクラウド・ベースの E メール・サービスを導入する契約を終結するのに苦労していることが取り上げられていました。Google のプレス・リリースによると、問題の一部は変化しつつある国の安全指針に関係しているため、そのことがソリューションの提供を困難にしているということです。

拡大しながら変化していくセキュリティー脅威環境に対してモバイル・プラットフォームを保護するには、どうすれば良いのでしょうか。デスクトップ・セキュリティーは、企業がこれまで長年にわたり直面してきた問題です。そこから学んだ教訓は、クラウド・コンピューティングにも引き継がれています。実際のところ、クラウド・セキュリティーは数多くのベンダーが取り組んできたテーマであり、それぞれのクラウド・オファリングの特徴となっています。なかには、認可団体からセキュリティー認定を受け、それを売りにしているベンダーもあります。それでもなお、デスクトップの世界で学んだ教訓はモバイルの世界ではあっけなく忘れ去られてしまう教訓であると考えられています。モバイル機器は概してセキュリティー攻撃に対して脆弱であるという見方は、今でも変わっていません。

この記事ではモバイル・クラウドのセキュリティー問題を取り上げ、クラウドでのセキュリティー攻撃、モバイル・クラウド機器の脆弱性、そしてこれらの脆弱性の対処方法の現状を見て行きます。さらに、モバイル・クラウドをセキュアにする上での将来の問題と、開発者に与えられている活躍の機会についても言及します。

モバイル・クラウド・コンピューティングとセキュリティーの脅威

かつて、悪評を得ることや好奇心がハッカーたちの動機となっていた時代があります。けれども、ここ数年の新しいレポートでは、ハッキングの主な動機が経済的な利益であることが示されています。例えば、この記事を執筆している時点で、英国のニュース・ジャーナル「The Register」では、個人のグループがトロイの木馬による悪意のあるソフトウェア (マルウェア) の負荷を利用して、フィンランドの銀行口座から 170 万 US ドルを抜き取ろうとしたと報道しました。また、最近のニュースでは Android を対象としたマルウェアが 400 パーセント増加しているとも報道しています。

前述の McAfee のレポートでは、モバイルの脅威は着実に増加しているとは言え、脅威の量はパーソナル・コンピューターに比べると大幅に下回ると述べています。けれども、モバイル・クラウドは 2014年までに 94 億 US ドル規模の市場になると予想されています。スマートフォンの普及によってモバイル・クラウドが成長するにつれ、大きな利益を生む可能性のあるクラウド・ビジネスを狙う犯罪者にとって、スマート･フォンはますます魅力的なターゲットとなることは想像に難くありません。今こそ、モバイル・クラウドに対するセキュリティーの脅威を理解し、セキュリティーの脅威の増加が避けられない状況に備えるべきです。それにはまず、ざっとハッキングの現状を概観することで、モバイル・クラウドのセキュリティーの脅威についてその本質を理解してください。

モバイル・クラウドのセキュリティーの脅威について検討するときに主な関心事となるのは、スマートフォンとタブレット・プラットフォームに対する脅威です。これらの脅威は、以下の 3 つのカテゴリーに分けられます。

• 物理的な脅威
• モバイル・ネットワークのセキュリティーに対する脅威
• マルウェアの脅威

物理的な脅威

モバイル機器に対する物理的な脅威には、貸し出し、紛失、盗難という 3 つの基本的なタイプがあります。この 3 つのタイプのうち、最も明らかな脅威は、その行動自体に悪意がある盗難です。統計では、これらのカテゴリーを見分けるのは困難ですが、一部のレポートによると、物理的な損失は毎年 1200 万件から 3500 万件発生しているということです (これらの数字は、携帯電話に関する数字です。スマートフォンとタブレットに関する統計は簡単には入手できません)。盗難に関するデータとなると、さらに識別するのは困難です。

モバイル機器を家族や友人に貸しても害はないように思えますが、貸した相手がアクセスを許可されていないデータやアプリケーションにアクセスする可能性が出てきます。また、例えばマルウェアをダウンロードするなどしてスマートフォンを危険にさらしかねないインターネットのサイトにアクセスする可能性もあります。

モバイル機器の紛失または盗難には、その機器に保存されたデータが悪用されるだけでなく、モバイル機器自体も悪用されるという可能性があります。モバイル機器には、PIN またはパスワードによるロックアウト機能が備わっていますが、所有者がこの機能を使用していないこともよくあります。さらに、ロックアウト機能が有効になっているとしても、ロックアウトを解除する手段はあります。例えば、USB (Universal Serial Bus) 接続によってスマートフォンをコンピューターに自動マウントし、ロックアウトを迂回すれば、iPhone にアクセスできてしまいます。他のタイプのスマート･フォンでも、同じようにロックアウトを迂回することは可能です。

重要なデータをソフトウェアによって管理する場合、開発者はアプリケーションおよびデータ・レベルのセキュリティー層をさらに追加するという方法を採ることができます。もちろん、すべてのアプリケーションが重要なデータにアクセスするわけではありませんが、こうした方法を採る開発者はアクセス制御を組み込むことによって、アプリケーションのセキュリティーを強化することができます。

また、開発者はスマートフォンでのデータの保管場所もわかるはずです。一般に SIM (Subscriber Identity Module) カードには、契約者とその連絡先のデータ、そしてテキスト・メッセージが保管されます。多くの機器では、SIM カードは簡単に取り外せて、誰でも情報を読み出せるようになっています。したがって、開発者は、SIM カードに保管することが必須ではないデータについては、SIM カードに保管しないようにする必要があります。

モバイル・クラウドでは、スマートフォンの紛失または盗難によるデータ損失に対し、ある程度の防護策も講じています。クラウドでのデータのバックアップや同期は、開発者によって実現され、ビジネス・ポリシーで義務付けられ、ユーザーが意識して追跡する必要があります。

モバイル・ネットワークのセキュリティーに対する脅威

スマートフォンの興味深い機能の 1 つは、ユーザーがさまざまな方法でスマートフォンにアクセスできるようになっていることです。セルラー・ネットワークを介したアクセスに加え、大半のスマートフォンには Wi-Fi およびBluetooth を使用してアクセスすることができます。さらに、赤外線および RFID (Radio Frequency IDentification) でアクセス可能なスマートフォンもあります。セルラー・ネットワーク (3G または 4G) は、電話サービスはもちろんのこと、インターネット・サービスや SMS (Short Messaging Service) 通信も利用可能にします。その他のインターフェース (Wi-Fi、Bluetooth、赤外線、および RFID) は、主にデータ交換に使用されます。セキュリティーの観点から言うと、すべてのインターフェースを通じて、機密情報を暴露したり、悪意のあるデータを受信したりする可能性があります。このことが、スマートフォンにさまざまな形で脆弱性をもたらす原因となっています。表 1 に、これらの脆弱性について説明します。

マルウェアの脅威

マルウェアはこれまで長い間、デスクトップおよびパーソナル・コンピューターにとって脅威となってきました。高度で十分な機能を備えたコンピューターであるスマートフォンは、次第にマルウェア作成者たちの興味を引き付けるようになっています。

モバイル・クラウドは、一般にスマートフォンには有効ではないマルウェアの脅威に対し、1 つのソリューションを提供しています。このソリューションでは、許可されたソフトウェアをクラウドに保管して、そこから配布することができます。こうすることで、マルウェアが検出された場合、あるいはマルウェアであることが疑われる場合には、クラウド内にある信頼できるバックアップからスマートフォン・ソフトウェアをリストアすることができます。

上に戻る

モバイル・クラウドをセキュアにする

一般に開発者は、モバイル・クラウドにはビジネスをサポートするために使われる他の情報技術 (IT) モデルよりもセキュリティー脅威の心配がないと見込んでいるわけではありませんが、モバイル・クラウドの場合、開発者はリスクの軽減、緩和、抑止という観点でセキュリティーを捉えます。

従来から、開発者は IT セキュリティーを防衛線内で防衛するという観点で捉えています。これはつまり、物理的および電子的に守られた閉鎖空間内でコンピューター・アセットを維持することを意味します。

セキュリティーの点から言うと、モバイル・クラウド・コンピューティングは状況を悪化させます。なぜなら、関連するモバイル機器 (スマートフォンおよびタブレット) は外部の世界と一層緊密にやりとりし、しかもその際に使用される技術は多岐にわたるためです。

以下の 2 つの新しいセキュリティー・モデルは、モバイル・クラウドをセキュアにするのにふさわしい手法を提供します。

• DCSM (Data Centric Security Model)
• DLP (Data Loss Prevention)

個々のモデルを独立させて実装することもできますが、この 2 つを組み合わせると、互いが補完し合って、保管されているデータおよびネットワーク全体で送受信されているデータの両方をセキュアにすることができるようになります。

DCSM

DCSM (Data Centric Security Model) は、データをさまざまなレベルのいずれか 1 つに関連付け、各レベルに対するアクセス制御を設定することによってデータを保護するという手法です。データのレベルまたはカテゴリーは任意に設定することができますが、通常は、誰かが悪意のある目的でデータにアクセスした場合に起こり得る損害の規模に応じてデータをグループ化します。

大抵のビジネスでは、さまざまにカテゴリー分けできるデータを使用します。例えば、1 つの企業データベースに、顧客データ (社会保障番号 (訳注: 社会保障番号は、米国社会保障局が米国の住民に対して発行している、個人を特定できる番号)、クレジット・カード・データ)、企業データ (合併および買収に関するデータ、財務データ)、そして知的財産 (ソース・コード、価格設定に関するデータ) を格納することもできます。

ビジネス要件や法令の 1 つの役目が、データのカテゴリー分けになっていることは珍しくありません。米国の HIPAA (Health Insurance Portability and Accountability Act) のセキュリティー法令は、政府によって義務付けられたデータ・セキュリティーの一例です。データのカテゴリーが確立されて初めて、アクセス制御ルールを作成し、実施することが可能になります。

この手法では、モバイル・クラウドがアクセス制御ルールの実施を強化できるはずです。例えば、ユーザーがある特定のカテゴリーのデータにアクセスする場合、ユーザーのモバイル機器がレポートするジオロケーションが米国国内の場所を示していなければ、そのユーザーのアクセスを拒否するといった方法を採ることができます。

DLP

DLP (Data Loss Prevention) は、データ損失を防止するだけでなく、失われたり悪用されたりする危険性のあるデータも検出する手法です。表 2 に説明するように、DLP 手法は移動中のデータ、保存されているデータ、および使用中のデータを対象とします。

この新しい DLP 技術は、開発者および研究者に活躍の機会を与えます。新しいタイプの脅威が出現するごとに脅威の特徴を適切に識別することが、今後も引き続き課題となるはずです。つまり、脅威の検出ルールとセキュリティー・ポリシーの実施が必要になります。また、実装もまだまだ成長が見込まれる分野です。例えば、DLP ボット (スマートフォンやタブレットで実行する小さなアプリケーション) は、モバイル・クラウドに DLP をデプロイする 1 つの手段として考えられます。

上に戻る

モバイル・クラウド・セキュリティーの今後

モバイル・クラウド・コンピューティングは、スマートフォンとタブレット・コンピューターの人気とその普及によって成長している新しい市場です。この市場にさらに多くのモバイル機器が導入され、これらの機器が進化していくにつれ、セキュリティーはますます大きな問題となってくることは明らかです。この市場の成長に影響を与える可能性のある傾向には、さまざまなものがあります。

傾向の 1 つとして考えられるのは、ハイパーバイザーをスマートフォンに組み込むことです。ハイパーバイザーは、複数のオペレーティング・システムが 1 台のコンピューターを共有できるようにするプログラムです。よく使用されているハイパーバイザーの一例としては、Xen.org の Xen が挙げられます。Xen は、スマートフォンの管理を単純化することを目的に開発されていますが、それと同時に、セキュリティーの管理を単純化する可能性もあります。

もう 1 つの傾向は、Internet of Things (モノのインターネット) として知られる概念の成長です。インターネットに接続できるインテリジェント機器は、従来のコンピューター技術よりも遥かに速いペースで増加し続けています。この数年の間に 1 兆を超えるインテリジェント機器がインターネットに接続するようになり、その大半がスタンドアロンの機器になると見込まれています。公益事業会社が導入しているスマート・メーターは、そのようなインテリジェント機器の一例です。クラウドを操作できる多種多様なモバイル機器の増加によって、新たなセキュリティーの懸念が生じることは間違いありません。

上に戻る

まとめ

モバイル・クラウド・コンピューティングは大規模な市場になろうとしています。大規模に成長した暁には、モバイル・クラウド技術の弱点を見つけ出し、その弱点を悪用して楽にもうけようとする犯罪者の関心を引くことになるでしょう。さらに、インターネットに接続する各種機器の大幅な増加によって、セキュリティーのニーズはさらに高くなるはずです。この記事では、モバイル・クラウドにセキュリティーをもたらす方法を計画する際に関連してくる問題のいくつかを取り上げました。

参考文献

学ぶために

• McAfee Labs による「McAfee脅威レポート：2010年第4四半期」を参照してください。
  
  
• Data Centric Security モデルの詳細を読んでください。
  
  
• 著者の記事「モバイル・クラウド・コンピューティング」では、この分野における機器、傾向、問題、そしてモバイル機器に一層適したクラウド環境をもたらす実現技術について説明しています。
  
  
• Grace Walker 氏の developerWorks 記事「クラウド・コンピューティングの基礎」では、クラウド・コンピューティングをわかりやすく紹介しています。クラウド技術の基礎知識を学ぶには、PaaS、IaaS、および SaaS のサービス・モデルに関する連載記事も絶好のリソースです。
  
  
• developerWorks のクラウド開発者向けリソースで、クラウド開発プロジェクトを作成しているアプリケーションおよびサービス開発者たちの知識と経験を調べて共有してください。
  
  
• 次のステップ: IBM SmartCloud Enterprise にアクセスする方法を調べてください。
  
  
• Twitter で developerWorks をフォローしてください。
  
  

製品や技術を入手するために

• IBM SmartCloud Enterprise に用意された製品イメージを調べてください。
  
  

議論するために

• developerWorks のクラウド・コンピューティング・グループの一員になってください。
  
  
• developerWorks でクラウドに関する優れたブログのすべてを読んでください。
  
  
• 専門家のネットワークであるとともに、互いにつながりを持ち、共有、協力するためのコミュニティー・ツールが集められている developerWorks コミュニティーに加わってください。
  
  

著者について

Preston Cox は幅広いアプリケーション開発の経験を持つ、モバイル・クラウドのコンサルタントです。世界最大の航空宇宙防衛会社の 1 つで輝かしいキャリアに終止符を打った後、「戦いをやめて平和な暮らしをする」という思いでジオロケーション・モバイル・アプリケーション・ビジネス、EventRadar, LLC を共同で運営しています。さらに、多国籍非営利団体が連携する場所をクラウド内に作成しているところです。余暇は、家族向けの iPhone アプリケーションを作成しています。彼は、ACM、IEEE、Linux Foundation、および CSIX Cloud Computing SIG のメンバーです。

この記事を評価する

コメント

上に戻る

目次

• モバイル・クラウド・コンピューティングとセキュリティーの脅威
• モバイル・クラウドをセキュアにする
• モバイル・クラウド・セキュリティーの今後
• まとめ
• 参考文献
• 著者について
• コメント