セミナーレポート

スマホ時代に気を付けるべきリスク

NICT情報通信セキュリティシンポジウム2013を取材

2013/3/4

 2013年2月14日にNICT情報通信セキュリティシンポジウム2013が開催された。今やあらゆる経済活動の基盤となっている情報通信ネットワーク。それを狙うサイバー攻撃に対抗する基盤技術を開発している情報通信研究機構(NICT)の取り組みや、スマートフォンのセキュリティについて講演が行われた。

NICT理事 榎並和雅氏
NICT理事 榎並和雅氏

 NICT理事の榎並和雅氏は、多発するサイバー攻撃対策のための高度な研究を行う「サイバー攻撃対策総合研究センター」が2012年11月に発足したことを公表。今後、同センターを軸として総合的な情報セキュリティ対策に取り組んでいくとした。また、総務省情報セキュリティ対策室調査官の村上聡氏は標的型攻撃の実態を踏まえ、より一層実践的な対策をしていくため、政府としておよそ30億円の予算を確保していくことを明らかにした。


スマホアプリ製作上の注意点


 講演はスマートフォンのセキュリティについて行われた。KDDI研究所執行役員の田中俊昭氏は、スマートフォンが様々な個人情報を蓄積している点について触れた。例えば昨今、スマートフォンにはデジカメやテレビなど様々な機能があるため、画像の情報など個人情報・プライバシー情報が蓄積されている。さらにこれからは車とスマホが連動するサービスなども浸透していくことで、そうした情報を活用するシーンも増えてくる。


 しかし今はスマホを使用する際に、様々なサイトから容易にアプリをダウンロードできるものの、プライバシー情報が不正に利用される問題が懸念されている。他にも使用目的の説明不足など、プライバシー情報の利用許諾問題などが指摘されている。


 こうした問題に対応するため、KDDIでは国内外の客観的な基準を規範としたガイドラインをアプリの開発者に渡し、開発者がそれに沿って開発することを徹底させている。さらに開発者には、利用者情報の送信に関する書類の提出を指示。アプリ自体についてもKDDI側がプライバシー審査やアプリ審査をきめ細かく行うことで、プライバシー情報の適切な保持ができるよう取り組んでいる。


 またKDDIはアプリ開発者に対してプライバシーポリシー生成フォームを提供している。これはXML形式の画面プログラムやプライバシーポリシーを利用者が確認するような画面を自動生成することができるツールだ。アプリ開発者はこのツールを用いることで、プライバシーポリシーに関する画面を簡単に作成できる。アプリ利用者にとってもアプリ自体に依存せず統一的な画面フォーマットでプライバシー情報の扱いが確認できる仕組みとなっている。

総務省情報セキュリティ対策室調査官
村上聡氏   KDDI研究所執行役員
田中俊昭氏
総務省情報セキュリティ対策室調査官
村上聡氏
  KDDI研究所執行役員 田中俊昭氏

スマホ使用でも必要なリスクやコストの洗い出し

 

 一方、NICTネットワークセキュリティ研究所の松尾真一郎氏は講演で「昨今ではスマートフォンを用いたサイバー攻撃が増えており、防衛する方も対策も複雑になっている」と説明。スマホのみならず無線LANなどのネットワークについても対策を意識する必要があるとした。


 攻撃者の手法も、マルウェアを配布することもあれば、通信の盗聴、なりすましによる犯罪まで、多岐にわたる。そのため、防ぐ側としても自分の状況・IT環境を知っておくことが重要だ。


 例えばPCのネットワーク環境における脅威を考えた場合、状況に応じた洗い出しを行うことが有効とされている。例えば不正アクセスや改ざんなどの発生する確率はどれくらいで、発生した場合の損失はいくらかかるのか、などを把握するといった具合だ。


 スマートフォンへの攻撃も、アプリの脆弱性を突くものから、無線LAN設定や認証方式の甘さ、途中経路の脆弱性を突くものまでその手口は様々。そのため電話帳、写真、GPSなど、スマートフォン内に保持している情報資産の把握がまず大切となる。さらにアプリ単体ではなく、ブラウザやネットワークなど他サービスまで含めたリスクや必要なコストの洗い出しを行うべきと松尾氏は説明している。


分析システム「nicter」の紹介


 こうしたスマートフォンのセキュリティ以外でも、NICTサイバーセキュリティ研究室・井上大介氏は講演で、マルウェアやDDoS攻撃を可視化した分析システム「nicter」について、デモを見せながら紹介している。nicterは送信元、アドレスから緯度・経度を測定し、世界地図上で可視化することができる。井上氏はこの分析システムを用いてサイバー攻撃を把握する新たな手法を参加者に提案した。


 スマートフォンが普及するようになり、それに関する情報セキュリティに一層関心が高まっている。プライバシー保護などはキャリアが率先してしなければならないことであり、今回のシンポジウムのようにその仕組みが説明されることは非常に意義深い。さらにサイバー攻撃に対するNICTの取り組みについても触れられており、密度の濃い内容だった。

(山下雄太郎)

【セミナーデータ】

イベント名
:NICT情報通信セキュリティシンポジウム2013
主催   
:情報通信研究機構(NICT)
開催日  
:2013年2月14日
開催場所 
:品川フロントビル(東京都港区)

【関連カテゴリ】

情報セキュリティ