インシデント事例から考える、安全な企業アプリの提供方法

2023年6月5日掲載

インシデント事例から考える、安全な企業アプリの提供方法

モバイルアプリは企業がサービスを提供する上で、不可欠なツールになっています。一方で、そのセキュリティに関する課題は取り残されることが多く、企業ブランドを損なう事故・事例も多々発生しています。
本ブログでは普段あらゆるサービスにおいて提供されている「モバイル向けアプリ」をとりまくさまざまな脅威と、その対策についてご紹介します。

目次

企業/自社サービスの成長とモバイルアプリ

現在、消費者が企業のサービスを受ける、探す、調べるとき、真っ先に使用するデバイスはスマートフォンです。そして多くのケースではそのサービス固有のモバイルアプリを利用して情報にアクセス、またはサービスを受けています。

実際近年の日本国内におけるモバイルアプリ市場動向に目を向けると、アプリダウンロード数のトップはPayPay、LINE、その次にZoom、と日常でよく使うサービスが並んでおり、特に決済や金融系アプリが多い点が特徴です。

モバイルアプリのセキュリティとリスクの現状

モバイルアプリのセキュリティとプライバシーに目を向けると、興味深い事実が分かります。
例えばある調査によると、世界のインターネットバンキングに関する詐欺行為のうち、70%がモバイル領域から発生したものでした。その内訳は、フィッシング、不正アプリ/偽アプリ、ブランド名の悪用など多岐にわたります。

また、アプリそのものに目を向けると、モバイルセキュリティを提供する米Zimperium社が2020年に調査実施した結果、iOSでは71%、Androidでは68%のアプリがセキュリティリスクを抱えたまま公開されていました。この状況は現在でもそれほど変わっていません。

なぜモバイルアプリのセキュリティリスクは放置されるのか?

モバイルアプリは利便性が高いほど、そのアプリに含まれる情報の重要度が高い傾向にあります。例えば各種個人情報、銀行/クレジットカード、画像、そして提供する企業サービス固有の情報などです。

ただ、アプリと基幹システムの開発はそれぞれ別だったり、サービスのリリースを優先しセキュリティ対策は後回しにされるといったケースが散見されます。これは、モバイルアプリが「重要な機密情報と密接に関係している」という意識が、組織や人によってばらつきがあるためと考えられます。

実例から学ぶ、安全な企業サービスアプリの提供に向けて

十分なセキュリティ対策が施されていなかった、リスクが見逃されていたアプリでは次のようなインシデントが発生しています。

・家電量販店アプリで、ネットワーク攻撃に対しての脆弱性が見つかった。

・銀行アプリで通信の盗聴や改ざんを引き起こしうる脆弱性が見つかった。

・コネクテッドカー連携アプリでパスワードが漏洩し、勝手に車を操作された。

・ゲームアプリが不正解析され、チート行為による金銭的被害が発生して、チートコードの作成者が逮捕された。

・銀行アプリのコピーアプリが作成され、ストアに公開された。

モバイル環境またはモバイルアプリで気を付けるべきポイント

上記は、近年ニュースになった事例のほんの一部です。これらのインシデント実例から、モバイル環境またはモバイルアプリで気を付けるべきポイントが見えてきます。

1.アプリ公開前にセキュリティやプライバシーの観点でのリスク評価を行う。

2.アプリは誰がどんなデバイスで利用するかはわからない。コピーされることもある。悪意ある利用者の解析と改ざんに対する耐性が必要。

3.アプリは多くの場合ネットワークを使用する。通信やアプリの異常操作を検知できることが望ましい。

これらのポイントは言われてみると当然の対策ではあるのですが、いざ実践するとなると、その煩雑さや利用のしにくさなどから、やはり後回しにされる傾向もあります。

ソフトバンクでは、モバイルアプリが抱えるさまざまなセキュリティ課題を解決する米Zimperium社の「Zimperium MAPS(モバイルアプリ保護スイート)」を提供しています。「Zimperium MAPS」は以下4つのコンポーネントで構成されているアプリ保護ソリューションであり、お客さまのアプリのリスク低減、保護機能の実装を実現します。

<「Zimperium MAPS」の4つのコンポーネント>

  1. zSCAN:リリース前にアプリの脆弱性やリスクを静的/動的に検査
  2. zSHIELD:アプリを堅ろう化し、リバースエンジニアリングや改ざんから保護
  3. zKEYBOX:データや通信の暗号化に利用される暗号化鍵を保護
  4. zDEFEND:自社アプリに強力なデバイス検査機能を提供し、稼働中のアプリ/サービスを保護

「Zimperium MAPS」は、脆弱性のリリース前診断や悪意ある攻撃者によるアプリ解析を無力化し、安全なアプリの提供を継続することが可能です。詳細については「Zimperium MAPS説明資料」にてご確認ください。
また、ご不明点などございましたらお気軽にこちらよりご連絡ください。

Future Stride
ビジネスブログ「 Future Stride」編集チーム
ビジネスブログ「 Future Stride」では、ビジネスの「今」と「未来」を発信します。DXや業務改革をはじめとしたみなさまのビジネスに「今」すぐ役立つ最新トレンドを伝えるほか、最先端の技術を用いて「未来」を「今」に引き寄せるさまざまな取り組みにフォーカスを当てることで、すでに到来しつつある新しいビジネスの姿を映し出していきます。
トップに戻る

同じカテゴリーの記事をみる

Tag
セキュリティ強化
Display
part
/common/fragments/sidebar