モバイル・デバイスを攻撃する最初のコンピュータ・ワームが出現したのは、2004年6月のことです。これは、当時のテクノロジー業界にとって完全に予想外の出来事でした。「Cabir」と呼ばれるこのワームは、Bluetooth を介して拡散し、Symbian OS を搭載した携帯電話や PDA に感染します。幸いこのワームは実質的に無害であり、また広範囲に感染を広げることもありませんでした。むしろこのワームは、企業情報に対するセキュリティの重要性が叫ばれる中、CIO や IT マネージャに対して警鐘を鳴らすという役割を果たしました。このワームの出現によって、モバイル・デバイスにもマルウェア対策が必要であるということが証明されたのです。
Cabir 以降、スマートフォンなどのモバイル・デバイスを攻撃するワームやウイルスは数多く出現しています。多くのビジネスマンはモバイル・デバイスで電子メールのチェックや Web ページの閲覧などを日常的に行っており、この種のマルウェアは企業情報のセキュリティに対する脅威となっています。というのも、名前や電話番号程度のデータしか保存できない旧式の携帯電話とは異なり、最新のモバイル・デバイスでは、これまで PC に保存されるような重要な情報を含むデータまで保存することが可能です。 またインスタント・メッセンジャーなど、パスワードで保護されたオンライン・サービスにアクセスできるプログラムも使用できるため、機密データが漏洩する可能性は従来の携帯電話よりも大幅に高くなっているのです。
現在のところ、モバイル・デバイスを攻撃するワームやウイルスが世界的に感染を広げる兆候はありません。しかしながら、プラットフォームとしてのモバイル・デバイスがより一般的になり、ウイルス作者らがビジネス社会を混乱に陥れる新たな方法を編み出すにつれて、その可能性は確実に高まってきます。実際、Gartner や Yankee Group など、複数のリサーチ企業のセキュリティ専門家らが、2006年はモバイル・デバイス・ウイルスの年になると予測しています。ネットワーク管理者は、この種のウイルスが大流行してから事後的に対応するのではなく、それが現実のものとなる前に、モバイル・デバイスを悪意あるコードからプロアクティブ(事前対応的)に保護する必要があります。
モバイル・デバイスからのネットワーク・アクセスの制御
セキュリティ対策とは、リスクと利便性(アクセスのしやすさ)のバランスをとることだと言われています。一般的には、ネットワークのセキュリティ強度を高めればユーザの利便性が低下し、利便性を高めればセキュリティ強度が低下します。従業員に対し
PDA などのモバイル・デバイスから社内ネットワークへのアクセスを許可している企業は、このことを念頭に置いて、モバイル・デバイスによるアクセスは専用のファイアウォールを介して行われるようにする必要があります。このようなファイアウォールを、ネットワークの境界に設置するか、またはデバイス自体に内蔵することで、ネットワーク内部に到達するトラフィックの安全性が保証されるようになります。
モバイル・デバイスからのネットワーク・アクセスを制御する役割は、企業ユーザだけが担うものではありません。
現在、これらのプロバイダに対して何らかのセキュリティの仕組みを提供するよう定めている規制や法令はほとんど存在していませんが、プロバイダの多くは有償でセキュリティ・サービスを提供しています。 モバイル・デバイスを攻撃するワームやウイルスがより一般的になるにつれ、セキュリティは、モバイル・サービス市場における差別化要因として重要なポイントになると考えられます。このほかに、ネットワーク管理者が自社のネットワークを保護するためにできることとしては、プロバイダに対し、ウイルスからの保護を標準的なサービス品質保証(SLA)に含めるよう求めることが挙げられます。
ポリシーの策定と実施
当然のことながらネットワークの管理は、さまざまな異なる機種が混在している場合よりも、同機種のみで構成されている場合の方が、はるかに容易です。賢明なネットワーク管理者は、このことをあらかじめ理解し、使用可能とするモバイル・デバイスについて早い段階で青写真を描いているかもしれません。しかし、これは決して容易なことではありません。なぜなら、社員は自ら購入したモバイル・デバイスを使用していることもあり、モバイル・デバイスに関するセキュリティ・ポリシーを策定して実施しようとしても、ほとんど不可能である場合が多いからです。ただしそれでも、計画の早い段階で見通しを立てることができれば、問題が顕在化する前にその原因を取り除くことが可能です。
使用可能なモバイル・デバイスについてのポリシーを策定したら、次はユーザに周知徹底する必要があります。このような場合、ほとんどの IT 組織では、回覧を回し、サインさせて回収するという手順を取っています。しかしポリシーを徹底するためには、より改まった形で、なぜそのルールに従う必要があるのかをユーザに説明する必要があります。1人でも指示に従わないユーザがいれば、ネットワーク全体に危険が及びかねません。そのため、リモートから重要な社内 IT リソースにアクセスする際にどのモバイル・デバイスを使用してよいのかを、ユーザ全員に理解させることが極めて重要になります。
アーキテクチャの設計
最後のポイントは、モバイル・デバイスに対する統一されたセキュリティ・ポリシーを機能させるには、企業全体に対する統一されたセキュリティ・アーキテクチャ設計が必要であるということです。
IT 組織では、ネットワーク・セキュリティを管理するグループと、モバイル・デバイスなどの通信デバイスを管理するグループが別々に存在しているケースが少なくありません。このような組織構成では、情報の伝達がうまくいかず、致命的な問題が発生する恐れがあります。組織構成として最も望ましいのは、ネットワークとモバイル・デバイスのセキュリティを担当するのが同一のセキュリティ専門家チームであることです。このような編成にすることで、携帯電話用とその他のネットワーク・デバイス用に別々のセキュリティ・ソリューションを導入してしまうような事態を回避することができます。
バックエンドのアーキテクチャを強固にしただけでは、パズルが完成したとは言えません。セキュリティ対策を最も有効に機能させるには、最前線に位置するモバイル・デバイス自体にも防御機能を実装する必要があります。チェック・ポイントが提供する VPN-1 SecureClient は、Pocket PC 2003/2003 Second Edition をサポートし、PDA などのモバイル・デバイスから、VPN-1 ゲートウェイで保護されたリソースにアクセスできるようにします。VPN-1 SecureClient により、各種モバイル・デバイスのエンドポイント・セキュリティが大幅に向上するため、エンド・ユーザとネットワーク管理者の双方が、モバイル・デバイスをより安全に扱えるようになります。