なぜ、モバイルセキュリティは軽視されるのか

2012年12月21日

職場や自宅のコンピューターにアンチウイルス製品を入れなければならないことは、誰もが知っています。しかし、どんなにセキュリティの専門家が必要だと訴えても、モバイルデバイスへのマルウェア攻撃の脅威が重大であると考える人はあまりいません。

click-lock-phone

その理由ですが、特に企業ユーザーの場合は明白です。彼らにとって、こうした脅威はどうでもよいことで、気にする理由もないからです。

問題の 1 つに、モバイルプラットフォームへのマルウェア攻撃が現在も比較的珍しいことが挙げられます。デスクトッププラットフォームを狙ったマルウェア攻撃と比べ、モバイルマルウェアは大海のひとしずく程度に過ぎません。しかし、一部の統計ではモバイルマルウェアの増加が示唆されており、特に市場シェアの大きい Android で増加しています。同プラットフォームは、トロイの木馬 OpFake などによってひんぱんに攻撃されています。

セキュリティ会社 Veracode 社の Tyler Shields 氏によれば、一般的に企業のスマートフォンユーザーはリスクを実感していないか、実感していたとしても微々たる影響しかないと考えていると指摘します。企業ユーザーは、公式のアプリストアからダウンロードしたアプリはすべからく安全であると考えており、なぜかアンチウイルス製品は邪魔な存在と思っていることから、わざわざ動作を重くしてまで入れる必要はないと感じています。

裏を返せば、企業は社員に対して脅威の重大さを説明していないということです。アンチウイルス製品を購入するための補助金もなく、ユーザーの怠慢によって攻撃が成功した場合の懲罰といった遵守の強制措置もありません。さらに企業は、スマートフォンに対する攻撃の脅威を広く社員に認識させ、防止対策は絶対的に意味があるという考え方を構築しておらず、ある種の道徳的な義務感を浸透させるまでに至っていません。

Shields 氏は、ユーザーに対策を任せるのではなく、IT 部門が責任を担保すべきと提案しています。社員にはセキュリティ対策がすでに施されたスマートフォンを支給し、すべてのアプリで安全性を事前検証して、ダウンロードしてもよい承認済みのアプリケーションがまとめられたホワイトリストを提供する必要があります。

企業側がセキュリティの責任を担保することで、支給するスマートフォンとスマートフォン内に保存されるデータの安全性は確保できます。