ベライゾンの最新レポートでは、調査対象となった組織の約 40% が、モバイル関連のセキュリティ侵害を経験したことがあると回答しています。そのうち66%は、その影響が重大であったと回答しています。大規模なセキュリティ侵害は、組織の時間、コスト、そして社会的信用を損ないます。Android のセキュリティは、特に BYOD(Bring-Your-Own-Device:自分のデバイスを持ち込む)環境では非常に重要です。企業内で使用するデバイスの管理は強化されていますが、ビジネス目的で使用するすべてのデバイスをハッカーから保護する必要があります。Android の脅威と、モバイル セキュリティ を向上させる方法について、詳しくご紹介します。
Androidの脅威と現状
ハッカーが狙う、複数の脆弱性ポイント :
- アプリケーション:アプリはハッカーに多くの機会を与えます。アプリには、マルウェアが埋め込まれる「脅威」と、ハッカーが操作するのに都合のよい欠陥「脆弱性」が含まれています。脅威も脆弱性も、企業データへのアクセスに利用される可能性があります。身代金が支払われるまで携帯電話がロックされるランサムウェアも考えられます。また、携帯電話は暗号通貨の採掘に使用されるクリプトジャッキングにも使用されており、デバイスの消耗やその他のパフォーマンス上の問題が発生します
- データの漏洩:ユーザーが誤って悪意のあるアプリや悪意はないがセキュリティの脆弱性があるアプリをダウンロードしてしまう可能性があります。いずれにしても、企業の機密情報が漏れる可能性があります。また、会社のファイルを誤った場所に転送したり、機密情報を誤った場所にコピー&ペーストしたりするなど、無意識のうちにミスを犯し、ハッカーに利用される可能性があります。
- セキュリティが保護されていないWi-Fi :無料 Wi-Fi スポットは、携帯電話のデータ使用量を節約できるので便利ですが、ネットワーク接続の確立に認証が必要ないため、ハッカーにとってはネットワークにアクセスする絶好の機会となり、結果的に同じネットワーク上の安全でないデバイスにもアクセスできるようになります。
- フィッシング:CSOによると、モバイルユーザーは頻繁にメールを確認し、メールを受信したらすぐに開いて読むため、フィッシング攻撃を受けやすいと言われています。また、携帯電話のメールアプリで受信したメッセージは、PCよりも送信元に関する情報の一部が隠されているため、詳細を確認できない送信元からのメッセージを開いてしまう可能性があります。
- ソーシャルエンジニアリング:ユーザーにサイバーセキュリティの教育を行ったとしても、携帯電話でメールをする際に脆弱性が残っています。携帯電話でメールをチェックする場合、「送信先」や「送信元」のメールアドレスやその他の詳細情報を確認することが難しいため、ユーザーはリンクを確認せずに返信したり、クリックしたりする可能性があります。
- 物理的デバイスへの侵入:携帯電話は簡単に紛失したり、放置したりします。これに加えて、パスワードを適切に管理していないユーザーが驚くほど多く、組織のデータへのアクセスが容易になる可能性があります。
Androidのセキュリティ:実施すべき重要なステップ
これらの脅威に対抗するには、明確なポリシーを策定し、ポリシーとその実行方法について、エンドユーザを教育することが必要です。またエンドユーザを定期的にフォローし、組織のポリシーが守られていることを確認することも重要です。考慮すべきポリシーは以下の通りです。
- 携帯電話のロック: 簡単な操作ですが、多くの人が、携帯電話のロックを解除する操作を面倒くさがり、実行していません。携帯電話を守るためには、4桁以上の暗証番号を設定することが効果的で、会社の情報と従業員の個人情報の両方を守ることができます
- セキュリティ アップデートのインストール:Android のセキュリティ アップデートを忘れず実行することをエンドユーザに徹底します。これらは非常に重要ですが、携帯電話メーカーがリリースをするため、すべての従業員が同時に Android のセキュリティ アップデートを実施できるとは限りません
- Google Play ストアの信頼できるアプリのみを使用する:Google Play ストアでは、アプリを検証し、アプリをスキャンしてセキュリティを確保する措置をとっています。エンドユーザーは、これらの検証済みのアプリを使用する必要があります
- Google Play プロテクトの動作確認:Google Play プロテクトは、Android のセキュリティシステムです。エンドユーザーは、端末設定の「セキュリティ」から「Google Play プロテクト」をタップし、すべてのトグルが有効になっていることを確認することで、動作を確認することができます
- 「デバイスを探す」を有効にする:エンドユーザーが携帯電話を紛失した場合のために、「デバイスを探す」を有効にする必要があります。この機能は、セキュリティ設定でオンにすることができます。また、公式の「端末を探す」アプリもあります
- 緊急連絡先の追加:エンドユーザーは、携帯電話を紛失した場合に備えて、緊急連絡先を追加することができます。緊急連絡先は、システム設定で確認できます。また、ロック画面に、緊急連絡先へのアクセス方法を示すメッセージを追加することもできます
- Chromeのセーフ ブラウジング モードを使用する:Android の Chrome ブラウザは、ウェブ閲覧において最も安全なオプションです。Chrome にはセーフ ブラウジング モードが搭載されており、ユーザーは Chrome の設定でセーフ ブラウジング モードがオンになっていることを確認できます
- VPN の利用:エンドユーザが利用する VPN には様々な選択肢があるため、特定の VPN を推奨することもできます。また、コーヒーショップなどで無料の Wi-Fi を利用する場合など、どのように利用するかについても説明する必要があります
BYOD デバイス を保護するもう一つの方法は、Android のワークプロファイルを使用することです。これは、ユーザーの個人プロファイルと並行して実行される第 2 のプロファイルを設定するものです。これにより、ユーザーの個人情報を保護すると同時に、企業の情報も保護することができます。また、スクリーンロック、暗号化、仕事用アプリから個人用アプリや VPN へのコピー&ペーストを許可しないなどのポリシーを導入することもできます。従業員は、このような Android セキュリティアプリをダウンロードし、企業の認証情報でサインインするだけでよいのでとても簡単です。
これらの手順はすべて、Deep Instinct の高度な モバイルセキュリティソリューション を導入することで強化できます。これは、最先端の AI 技術であるディープラーニングによって複数の保護層を提供する、Android 向けの最高のセキュリティアプリです。