個人向けサービス、スマホアプリのセキュリティ対策
みなさま、こんにちは。
以前のコラムで、IPA 独立行政法人情報処理推進機構から発表された2022年の情報セキュリティ10大脅威の組織編についてご紹介しました。
情報セキュリティ10大脅威 2022年版が発表されました。
IPA 独立行政法人 情報処理推進機構より2022年版の情報セキュリティ10大脅威が発表されています。 それぞれの脅威に対してどのような対策が有効なのか?について具定例を…
今回は、その個人編について考察していきます。
IPA 独立行政法人情報処理推進機構が取りまとめた2022年10大脅威の個人編は以下の通りです。
2022年情報セキュリティ10大脅威【個人編】
順位 | 脅威 |
1位 | フィッシングによる個人情報等の詐取 |
2位 | ネット上の誹謗・中傷・デマ |
3位 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 |
4位 | クレジットカード情報の不正利用 |
5位 | スマホ決済の不正利用 |
6位 | 偽警告によるインターネット詐欺 |
7位 | 不正アプリによるスマートフォン利用者への被害 |
8位 | インターネット上のサービスからの個人情報の窃取 |
9位 | インターネットバンキングの不正利用 |
10位 | インターネット上のサービスへの不正ログイン |
引用:IPA 独立行政法人 情報処理推進機構
「個人編」として纏められていますので、見落とされがちですが、内容をよく考察すると、企業・組織に関連するものも散見されます。
特に、個人向けにサービスを提供している事業者は、これを良く把握し注意しておかなければならない点が数多く含まれています。
例えば、4位のクレジットカード情報の漏洩、5位のスマホ決済の悪用、8位のインターネット上のサービスからの個人情報搾取、10位のインターネット上のサービスへの不正ログインなどは、サービス提供事業者側の対策不備が要因で、個人の利用者へ被害が及ぶ可能性が非常に高いものです。
IT技術が進歩し、個人の生活も豊かで便利なものになりましたが、サービス提供事業者側は、個人の利用者が安心・安全にサービス利用ができる環境を提供するよう継続的なセキュリティ対策を実施する事が重要です。
なお、IPA 独立行政法人情報処理推進機構から基本的に抑えておくべき事項や、用語・仕組みについての資料が発表されています。
【参考】情報セキュリティ 10 大脅威 知っておきたい用語や仕組み
ご参考にしてください。
スマホアプリのセキュリティ
個人がITサービスを利用する場合、インターネット経由での利用が一般的ですが、昨今は特に、様々な業種・サービスにてスマホアプリを提供する企業が増えてきています。
しかしながら、サービス提供基盤のサーバ側のセキュリティ対策は意識しているが、個人利用者に配布するスマホアプリ自体のセキュリティ対策が出来ていないというケースが多々あり、これらを悪用した被害も増えてきております。
実際に、世の中に流通しているスマホアプリの相当数は改ざん被害を受ける可能性がある脆弱性が残ったままリリースされているという調査報告も出ています。
その大きな理由としては、
- スマホアプリのセキュリティ対策に関する専門家がいない
- スマホアプリのセキュリティ対策に関する評価基準がわからない
といった事が挙げられます。
では、具体的にどのような対策を実施するのが望ましいのか?という点をご説明いたします。
具体的な対策例
- 通信(ネットワーク)に関する攻撃対策
- 暗号化やプロトコルの不備による盗聴や改ざんへの対策
- APIの脆弱性対策
- リバースエンジニアリング等によるアプリ改ざんへの対策
- アプリ内で利用する情報漏洩への対策
細かい留意点は多々ありますが、大きくは上記のような対策を意識しておく必要があります。
また、スマホアプリは一般的に機能追加やヴァージョンアップのサイクルが早く、企業においてはアジャイル開発といった手法を取っている組織も増えてきました。
企画・開発・ローンチ・リリースの一連のサイクルの中で、各工程で必要な対策を実施しておく事が重要です。
一般社団法人日本スマートフォンセキュリティ協会からも多くの情報が発信されており、参考になると思います。
https://www.jssec.org/about
Androidアプリのセキュアコーディングに関するガイドラインなども公開されていますので、技術者の方は一度確認される事をお勧めします。
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】を公開しました。 | JSSEC
https://www.jssec.org/report/securecoding.html?_fsi=Y36kIvlC
M&Kでは、経験豊富なコンサルタント、エンジニアがこれらのセキュリティ対策に関してもご支援を行っております。
守るべき資産のアセスメント、セキュリティマネジメントに関するコンサルティング、具体的な技術的安全対策措置までワンストップにてご支援が可能です
セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。
何かお悩みの点がございましたら、お気軽にご相談ください。