MobileIron、「アプリセキュリティの現状」についてホワイトペーパーを発表

MobileIron、「アプリセキュリティの現状」についてホワイトペーパーを発表

AsiaNet 62310

～統計データでブラックリスト上位にあがるコンシューマー用アプリを公表～

～調査対象企業の10分の1が、セキュリティが侵害されたデバイスによる企業データへのアクセスを1回以上経験～

モバイルアイアン・ジャパン, 2015年11月5日 /PRNewswire/ -- エンタープライズ・モビリティー管理（EMM）のリーダーであるMobileIron,Inc.,（本社：米国カリフォルニア州マウンテンビュー、CEO：Bob Tinker、以下MobileIron）は本日、企業によるモバイルアプリの利用と保護の状況を含む「アプリセキュリティの現状」に関する新たな統計資料を発表しました。従業員が業務にスマートフォンやタブレットを使用するようになったことで、モバイルアプリは今や重要なビジネスツールとなっています。今回の調査では、XcodeGhost、Stagefright、Key Raider、YiSpecterといった最新のモバイル攻撃により、従来にない大量のビジネスデータがリスクにさらされていることがわかりました。

ロゴ - リンク

MobileIronのセキュリティ調査担当ディレクターであるマイク・ラッゴは次のように述べています。「ビジネスプロセスのモバイル化に伴い、ハッカーは企業がモバイルの脅威を防護・検出できないことを理解しており、モバイルアプリをターゲットにしています。企業が将来的な脅威から機密データを保護するには、根本的に異なったモバイルアーキテクチャを対象としてセキュリティアプローチを再考する必要があります。」

・企業のモバイル脅威対策に関するホワイトペーパーはこちらからダウンロードできます。

リンク

MobileIronウェビナーにご参加ください（太平洋時間11月4日午前10時、英語）。以下のリンクからご登録いただけます。

リンク

モバイルアプリの台頭

モビリティ改革は、中核的なビジネスプロセスのモバイル化によってのみ実現します。サードパーティアプリの豊かなエコシステムは、即戦力となる強力なモバイルツールを企業に提供します。
現在MobileIronの顧客企業の中で、現在最も使用されているサードパーティアプリとしては次のようなものが挙げられます。
1. Salesforce
2. GoodReader
3. Microsoft Officeスイート
4. Cisco AnyConnect
5. Box
6. Cisco WebEx
7. Skype for Business
8. Googleドキュメント
9. Evernote
10. Xora Mobile Worker

さらに、MobileIronの顧客企業では従業員用に社内開発した300,000件以上のアプリを使用していることがわかりました。

ブラックリスト上位のコンシューマーアプリ

従業員が、自分の使用する企業向けファイル同期・共有アプリ（EFSS）上に社内文書を保存し、機密性の高い社内データをIT部門の保護範囲外へ持ち出す可能性があります。MobileIronの顧客企業において、ブラックリストに登録されているコンシューマーアプリ上位10件のうち5件がEFSSアプリです。
1. Dropbox（EFSS）
2. Angry Birds
3. Facebook
4. OneDrive（EFSS）
5. Googleドライブ（EFSS）
6. Box（EFSS）
7. WhatsApp
8. Twitter
9. Skype
10. SugarSync（EFSS）

ラッゴは次のように述べています。「IT部門は、消費者版のEFSSアプリによる社内データの流出を恐れています。幸いなことに、これらのアプリの多くは、エンタープライズ版も用意されています。企業は、社内データを保護しつつ、従業員が望むような体験を提供することができますが、それには、制約からイネーブルメントへと考え方を変える必要があります。」

モバイルアプリのリスク

今後、業務のモバイル化が進むにつれ、データ侵害やサイバー犯罪も増加が予想されます。モバイルアプリやオペレーティングシステムから機密データを盗む最近の攻撃事例では、多くの企業がまだ対策を講じていませんでした。たとえば、XcodeGhostマルウェアに感染したiOSアプリは、デバイスに関する情報を収集し、そのデータを暗号化して攻撃者が運用するサーバーにアップロードすることができます。マルウェア検出を専門とするFireEyeは、App Store上で4,000件以上の感染アプリを特定しています。またモバイルアプリのリスク管理を行う企業Appthorityは、iOSデバイスを100台以上保有する企業のほとんどに、感染したデバイスが1台以上見つかっていると報告しています。

モバイルデバイスとアプリに関する難点は、IT管理者ではなくユーザーがおおむね管理しているという点です。デバイスはさまざまな理由でコンプライアンス違反となります。たとえば、ユーザーがデバイスをジェイルブレイクやルート化した場合、デバイスがIT部門のサポート対象外となった旧バージョンのオペレーティングシステムを利用している場合、あるいはユーザーがIT部門によってブラックリストに登録されているアプリをインストールした場合などです。MobileIronの調査結果では以下の通りです：

・調査対象企業の10分の1が、セキュリティが侵害されたデバイスによる自社データへのアクセスを1回以上経験しています。
・調査対象企業の53%が、会社のセキュリティポリシーに違反したデバイスを1台以上保有しています。

従来のセキュリティ技術では、こういったシナリオにおいて企業データを保護するために必要な対策を実行できません。しかしMobileIronなら可能になります。デバイスがコンプライアンス違反となったとき、MobileIronはユーザーへのアラート送信、デバイスおよびアプリからの社内リソースへのアクセスの遮断、あるいはすべての業務メールやアプリのワイプなど、企業情報を保護するための対策を自動的に実行します。

ラッゴは以下のように述べています。「現在の組織では、多種多様なセキュリティ技術が、十分に統合されない状態で混在しています。統合されていたとしても、モバイルデバイスやアプリに関する情報はめったに盛り込まれていません。しかし、幸運なことにエンタープライズモビリティ管理(EMM)ソリューションを利用している企業は、企業の情報を保護するために肝心なモバイルデバイスやアプリの状態に関する情報を把握することができます。」

デバイスのコンプライアンス違反の主原因

MobileIronのようなエンタープライズモビリティ管理（EMM）ソリューションを利用している企業は、適切な従業員が適切なデバイスからの適切なアクセス権を持つということを確実にするためのポリシーを設定できます。IT管理者がデバイスの隔離を自動化しなければ、デバイスがコンプライアンス違反となった時点で社内データはリスクにさらされる恐れがあります。
デバイスが会社のポリシーに対するコンプライアンス違反となる主な要因として、次の項目が挙げられます。

・デバイスがEMMプラットフォームの接続圏外にある。
・管理が無効化されているため、EMMソリューションがデバイスに対するリモート操作を実行できない。
・デバイスが特定のアプリをブロック、要求または許可するルールを遵守していない。

モバイルセキュリティの再考が必要

サイバー攻撃者がモバイルマルウェアを利用して機密性の高い社内データを盗みだそうとしている中、企業は情報漏洩防止ソリューションをセキュリティ戦略の一部とみなす必要があります。たった1台のセキュリティ侵害でも、企業に多大な被害をもたらすことがあります。
ラッゴは次のように述べています。「モバイルデバイスに対応していない旧式のセキュリティ技術に頼る企業や、ActiveSyncのみでモバイルデバイスを管理している企業は、セキュリティ侵害に対して非常に脆弱です。EMMソリューションを利用すれば、危険なアプリやふるまいを検出する機能、デバイスの隔離、およびセレクティブワイプの実行など、プロアクティブ／リアクティブな対策を複数活用することができます。」

■MobileIronについて
MobileIronは世界中の企業のモバイルファーストを実現する基盤を提供しています。詳細は以下のウェブサイトをご覧ください。
リンク

問い合わせ先: モバイルアイアン・ジャパン, 広報担当：中村 03-6205-3425, japan@mobileiron.com, モバイルアイアン 広報担当, 株式会社井之上パブリックリレーションズ 横田、塚田, 03-5269-2301, mobileiron@inoue-pr.com


（日本語リリース：クライアント提供）