Zimperium CEOが語る これからのモバイルセキュリティ対策【後編】：モバイルアプリ提供時に必要なセキュリティ対策とは？

モバイルアプリの現状と課題

モバイルアプリを提供する際のセキュリティ対策が重要になりつつある理由はなんですか？

Shridhar Mittal氏：現在では多くの企業がモバイルアプリを構築しています。銀行アプリやヘルスケアだけでなく、アプリで家電の電源を入れたり、車のロックを解除したり、アプリからやりたいことが何でもできるのです。ヘルスケア領域では、インスリンを注射するパッチがあり、インスリンの量や注射の頻度をアプリでコントロールができます。
小売店にある決済端末は、そのすべてがモバイル機器と決済用アプリに置き換えられ、今後数年のうちになくなるでしょう。

これらのアプリはすべて、財務情報、個人情報、健康情報、ワークアウトの頻度、場所、情報など、あらゆる情報を持っているので、攻撃者はなんとかしてアプリに入り込んで情報を盗み出そうとしています。
そのため、今すぐモバイルアプリを保護する必要があります。

モバイルアプリが抱えるさまざまなセキュリティ課題を解決する「Zimperium MAPS」

モバイルアプリを提供する際の多岐にわたるセキュリティ課題に対して、どのような対策が必要ですか？

Shridhar Mittal氏：アプリを開発する際には、当然ながらリリースするアプリが安全であること、脆弱性がないことを担保しなければいけません。

リリース後、アプリがApp StoreやGoogle Playストアに掲載されれば、誰でもそこからダウンロードできるようになります。誰でもアプリをダウンロードできるということは、コードをリバースエンジニアリングすることができるということです。コードをリバース・エンジニアリングすれば、実際にどんなAPIコールをするのかが分かります。

ここに大きなセキュリティリスクがあります。攻撃者はそのAPIコールを使って、それに基づいて詐欺を働くことができるからです。あるいは、エミュレーター上ですべてを実行し、企業にDDos攻撃を仕掛けることもできるし、実際に偽のプラットフォームを作ることもできます。エミュレーターに載せて、あらゆる種類の偽アカウントやデータを作れるため、危険度が高くなります。

金融関係には機密性の高いアプリもたくさんあります。これらのアプリは暗号鍵を使って機密を保護しています。しかし、もし誰かがその暗号鍵を手に入れることができたらすべてを解読されてしまい、データのセキュリティが完全に台なしになってしまう。

ランタイムの観点から言うと、もし誰かが消費者向けデバイスでランタイムを実行していてそのシステムが侵害された場合、そのデバイスにマルウェアがインストールされることになります。スクリーンショットもできるし、何でもできる。ですから、常に安全な環境で実行できるようにする必要があります。

Zimperiumが提供するモバイルアプリ保護ソリューション「Zimperium MAPS（Mobile App Protection Suite）」には、アプリを構築する際にアプリをスキャンする機能があり、アプリが規則や規制に準拠していることを確認することができます。

リバースエンジニアリングされないようにコードを難読化することで、コードを保護したり、暗号鍵を実際に保護するホワイトボックスソリューションもあります。そして最後に、攻撃から守るためにSDKをアプリ内に組み込むことができます。このような完全なエンド・ツー・エンド・ソリューションを持っているのはこの業界では当社だけです。

コード難読化しかできない競合他社の場合はホワイトボックスの暗号化だけであったり、ランタイム保護しかできません。Zimperiumは、すべてを一緒にできる唯一の会社です。