もし、企業のモバイルセキュリティに真剣に取り組んでいないのであれば、この統計結果を見てください。
Stateof Enterprise Mobile Security 2022レポートによると、分析されたフィッシングサイトの75%がモバイルデバイスを標的にしていました。 同レポートによると、2021年に発見されたゼロデイ脆弱性全体の30%がモバイルデバイスを標的にしていたとのことです。
Security weekによると、モバイルフィッシング攻撃は2011年以来、一貫して85%の割合で増加しています。さらに、モバイルフィッシング攻撃は2020年の第1四半期に37%急増しました。
攻撃者がますますモバイルデバイスを標的にしていることにお気づきでしょうか? このような脅威からビジネスを守るために、今こそ企業のセキュリティ対策を強化する時です。
このブログでは、企業のモバイルセキュリティまたはEMSを向上させるためにできる6つの対策について説明します。
モバイルアプリケーションのEMSまたはセキュリティを改善するためのトップ6のTips
1)リバースエンジニアリングとハッキングからモバイルアプリを保護する方法
リバースエンジニアリングは、個人(通常は攻撃者または競合他社)が次の目的でアプリケーション(iOS / Android)のソースコードおよびその他のリソースにアクセスするプロセスです。
- 認証をバイパスしてアプリのプレミアム機能にアクセスする
- アプリの論理的な仕組みを知る
- アプリの独自の機能を盗み出す
リバースエンジニアリングやハッキングからモバイルアプリを保護する方法は次のとおりです。
- 適切なプログラミング言語を使用する:Androidの場合はC / C ++を使用し、iOSの場合はSwiftを使用します
- コードの難読化:コードの難読化とは、コードの難読化 コードの難読化とは、人間が理解しにくい複雑なコードを意図的に作成することです。 これにより、コードが攻撃者からある程度までコードを保護することができます
- 安全なAPI:サーバーとアプリ間の通信には常に安全なAPIを使用します
- データベースの暗号化:AES-256などの暗号化アルゴリズムを使用してデータベースを保護し、セキュリティを強化します
- APIキーをハードコードしない:APIキーは常に動的にアクセスし、攻撃者に盗用されないようにします
2)アプリ開発ライフサイクル全体でセキュリティを統合する
企業向けアプリケーションには、営業、マーケティング、会計、人事など、すべての部門に関する重要な情報が含まれています。そして、この情報を失うことは、企業にとって致命的となりかねません。
しかし、アプリ開発のライフサイクルを通じてセキュリティを統合すれば、そのリスクを最小限に抑えることができます。ソフトウェア開発のライフサイクルにセキュリティを統合することで、最終的な結果が確実に得られるからです。
- 欠陥がない、または最小限である
- クリーンなコードである
- 企業のデータに脅威を与えることはない
このようになると良いですよね? ここでは、アプリの開発ライフサイクルを通じてセキュリティを統合する方法を紹介します。
- セキュリティフレームワークを取り入れる
要件/計画段階に達したら、業界標準に準拠したセキュリティフレームワークをSDLCに取り入れる必要があります。 これを行うと、開発方法に関係なく、セキュリティのベストプラクティスに従うのに役立ちます。 - リスク管理プロセスを作成または登録する
セキュリティフレームワークを取り入れた後、信頼性の高いリスク管理と緩和モデルを含める必要があります。このフレームワーク/モデルの役割は、アプリケーションに対するリスクを検出し、評価し、対処することです。
3)ソフトウェアの精力的なテスト
すべての開発者はテストの重要性を知っていますが、時間の制約やその他の問題のため、通常はテストを行わない場合があります。 ただし、テストを行った場合はセキュリティ対策に役立ちます。 やはり、テストを行うことはコードやソフトウェアの欠陥を検出するのに役立ちますよね?
したがって、可能な限り、ソフトウェア開発ライフサイクルに強力なテスト(アルファ、ベータ、およびペンテスト)を含めるようにしてください。 また、企業のモバイルセキュリティの状態をさらに向上させるために、2回以上の完全なアプリケーションテストを実施するようにしてください。
4)より強力な認証を利用する
モバイルアプリケーションのセキュリティを向上させる最も基本的な側面の1つは、ユーザーの認証/承認です。 結局のところ、ユーザーがアプリケーションにアクセスできるかどうかを決定するのは、この部分なのです。
モバイルエンタープライズアプリに2FAまたは2要素認証を統合して、認証プロセスを強化できます。 2FAでは、ユーザーパスワードだけでは不十分です。 ユーザーは、セキュリティを強化するために、パスワード(ユーザーが知っているもの)とトークン(ユーザーが持っているもの)を入力する必要があります。
企業のモバイルセキュリティの状態をもう一段階上げると、「いつ生まれたか、子供の頃好きだったスポーツは何か 」といった一般的な質問に対する答えを設定するよう、ユーザーに促すこともできるようになります。そして、ユーザーがログインしようとしたときに、2FAの上に、これらの質問に答えるよう求めることができるのです。
5)デバイスに保存されているすべてのデータを暗号化する
デバイスにデータを保存することはお勧めしませんが、それでも一部の情報を保存する必要があります。 また、この情報は、削除された場合でも復元できます。 それは良いニュースでも悪いニュースでもあります。
良い面としては削除されたデータを取り戻すことができます。悪い面としては、攻撃者もそのデータを取り戻すことができるのです。
したがって、デバイスに保存するデータはすべて暗号化してください。 また、暗号化技術だけを使用しないでください。 256ビットの高度な暗号化アルゴリズムを使用して、安全なデータベースの形式でデータを保存してください。
6)アプリのラッピングを使用する
企業のモバイルセキュリティの状態を改善するもう1つの効果的な方法は、アプリのラッピングです。
アプリのラッピングとは、特定のエンタープライズ・アプリケーションをカプセル化したり、セキュリティのレイヤーを追加したりすることです。
IT管理者は、EMMのAPIまたはSDKを使用して、従業員のモバイルデバイス上の任意のアプリケーションをラップできます。
アプリのラッピングを利用して、IT管理者は、特定のアプリにセキュリティポリシーを適用できます。 たとえば、次のことを決定できます。
- ユーザーがアプリを介してアクセスできるデータ
- ユーザーがデータを変更または削除できるかどうか
- ユーザーがアクセスできるネットワーク など
こうすることで、何が起こってもIT管理者の監視下に置かれることになります。そして、何か不審な点に気づいたら、すぐに対処することができるのです。
まとめ
エンタープライズモバイルセキュリティの状態を改善するための上位6つのTipsを紹介しました。こちらをもとに実装を検討してみてください。 ただし、最良の結果を確実にするために、実装する前に必ず戦略的計画を立ててください。
また、APIセキュリティテスト、動的セキュリティテスト、静的セキュリティテスト、または高度なペネトレーションテストについてサポートが必要な場合は、弊社へご連絡ください。
Appknoxは、脆弱性評価とペネトレーションテストの業界リーダーです。 完全なモバイルセキュリティテストを確実にするために、企業と個々の開発者が数分以内にアプリケーションをテストするのを支援します。
こちらの記事はAppknox, Xysec Labs社の記事より引用して作成しています。
参照元:
Protect your Business with Enterprise Mobile Security in 2022 (Appknox)
https://www.appknox.com/blog/enterprise-mobile-security-in-2022
いかがでしたでしょうか。
三和コムテックのモバイルアプリ診断製品ページもございます。
こちらもぜひご覧ください。
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
