モバイル端末のセキュリティ

こんにちは、殿内(@tonoccho)です

さっきはモバイルネットワークのセキュリティでしたが、今回は端末のセキュリティです。こちらはどちらかというと運用マターのような気がしますが、やっぱりまとめます。

iOS vs Android

まず、スマートデバイス系の雄といえば、この二つですが、セキュリティをどうやって担保しているのでしょうか。

アプリとその入手方法

iOSはまず、アプリが全て審査された上で公開されること、次に、App Storeは Appleのみが提供しています（企業向けに独自のAppStoreを公開するオプションはあるけれど）。そういうわけで、野良ストアを許容しているAndroidに比べると、変なアプリが混入することはまずなさそうです。Androidは他にもアプリの審査などもコミュニティベースでやっているようです。
他にも開発者モードをONにすればAPKを手で入れられたりとかもあるので、Androidは自由度の反面セキュリティの事故は起こる可能性はiOSよりたかそうです（iOSはなんだかんだでお手製のアプリを直で入れられるけどAndroidほど簡単ではない）。

OSのバージョン

OSをバージョンアプすることで、携帯が文鎮になった話は聞きますが、ここではセキュリティ上の欠陥を塞ぐ、という意味でのバージョンを考えますと、iOSはAppleがサポートする限りはずっと最新バージョンを使うことがかのうです。
一方androidはメーカー各社が各々カスタマイズしたAndroidを入れてしまっているがゆえにバージョンアップも容易ではありません。なので、どんなに致命的なバグがあってもアップデートできない携帯なんか結構ありそうです。
自分も最初はAndroidを使っていたんですが、このOSアップデートのできなさっぷりに嫌になった記憶がありますね。

サンドボックス

スマートデバイスは、アプリケーションが他のアプリケーションにちょっかいかけられないような仕組み、いわゆるサンドボックスという機能があります。Androidはインテントを使うことで他のアプリにデータを送ったりはできますが、他のアプリが管理しているDBを見たりとかはできなさそうです（できる？やったことない）。
iOSはAndroidよりもかなり強力なサンドボックスらしく、確かに他のアプリに連携する機能がAndroidよりもかなり貧弱でした。この強力なサンドボックスによってセキュリティアプリも作らせてもらえないそうです。ただ、このモデルでもiOSは結構セキュリティを守れているようなので、今の所うまく行っています。

エンタープライズはどちらを選ぶか

企業ではBYODなんかを導入することで、端末の調達、管理費用を浮かそう、という試みをしています。社員も使い慣れたデバイスを使えるので、ストレスが少なくて済みます。ただ、モバイルデバイスの持つ機能と会社のセキュリティポリシーの生合成をどうやって取るか、というところに新たな問題が生じています。
だいたいBYODって言いつつAndroidはダメ、とかにはできません、そういうことしちゃうと結局端末の調達作業はなくならないままに一部BYODというむしろコストのかかる状態になるからです。

端末自体のセキュリティをどう確保するか

端末の中身のセキュリティは別として、今度は端末自体のセキュリティです。以下の観点が必要です。

• どの端末を誰が保有しているか、どこにあるかを管理する
• 端末にラベルを貼っておいて無くした時とかに発見者に連絡してもらうよう試みる（まず連絡されないようですね、自分はそういうの書いてあったら必ず連絡するいい子ですけど）。
• 紛失、盗難時の対応をあらかじめ策定しておく
• 外部メディアは使わないか使っても必ず暗号化する
• デバイスを人に貸さない

こう行った観点でどのように戦略を策定するか、が大切です。で、もうちょっと噛み砕くと

• 紛失、盗難時にロックをかけられるか
• 端末のバックアップリストアが可能か
• アプリケーションの導入やモニタリングを管理できるか
• 強制的に暗号化できるか
• 企業として端末をサポートできるか
• アンチナンチャラをインストールする

ということが大事です。こう行った機能をあまり気軽に使うと、むしろ困ることもあるので、企業としてのポリシーとの整合性をよく考えましょう。

バックアップリストアについて

この機能の大事なことは、端末がなんらかの理由で使えなくなった（紛失、盗難、破損、etc）時に素早く下の環境を再現して業務の停止期間を短くする、ということです。
iOSではiTunesに機能が入っているので、それを使いますが、Androidではそう行った機能が公にない（というよりAndroidのiTunesがない）ので、何かしらのソリューションを入れるとか、サービスプロバイダと契約する必要があります。
この他のデータをどうするか、例えば、クラウドストレージを使うなどして、データをいつでも再現できるようにするなども必要です。

そう考えるとどっち？

iOSはアプリやプラットフォームのセキュリティは非常に強固ではあるものの、監視やセキュリティソフトのインストールがきつくて、Androidは自由度は高いものの野良ストアから変なアプリ入れられちゃう危険性があります。
最終的にはきちんと現実的な戦略を組み立てて社員にサインさせる、という契約で縛るやり方を支援策として導入するのがいいのでしょうね。
あとは、ビジネス用の環境はリモートデスクトップ的につないで使う、という方式もあるようですが、これはインターネットがないと役に立たなくなるので、もうちょっと検討が必要な気がします。NZにいると、結構県外とか、低速なネットワークとかが使われているので、そう思います。