1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 徳丸 浩氏に聞く「セキュリティ意識の高め方」(後編)

徳丸 浩氏に聞く「セキュリティ意識の高め方」(後編)(1/2)

前編に引き続き、HASHコンサルティング代表取締役の徳丸 浩氏にお話をお伺いします。後編では、セキュリティの最新動向のお話や、「徳丸本」出版のいきさつなどについてお話を伺いました。

徳丸 浩:スマホアプリのセキュリティは「責任範囲」に注目

徳丸 浩(とくまる・ひろし)
HASHコンサルティング株式会社代表
京セラコミュニケーションシステム株式会社技術顧問
独立行政法人情報処理推進機構(IPA)非常勤研究員

1985年京セラ株式会社入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年に同分野を事業化し、2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。Twitter IDは@ockeghem。

スマホアプリのセキュリティは「責任範囲」に注目

★エンドユーザーが注目すべき最近のセキュリティ動向について教えて下さい。

 なかなか難しい質問です。というのも、現象や動向を挙げることはできるのですが、エンドユーザーとしてどう対策したらいいのかという話は簡単に言えない部分があるからです。例えば、スマートフォンやタブレット端末の普及によって、いわゆる「スマホアプリ」の利用が増えています。アプリに関しては「セキュリティの責任範囲」という話があります。

★具体的にはどういうことでしょう?

 パソコンとスマートフォンではセキュリティのモデルが違うのですね。例えば、Windowsのパソコンにスパイウェアが侵入し、パソコンの中のWord文書を外部に流出させたら、それはアプリケーションであるWordの脆弱性ではなく、スパイウェアに感染したユーザーが悪いということになります。一方、スマートフォンの場合は、パソコンとは若干事情が異なります。

★どのように異なるのですか?

 ユーザーは、アプリをコンテンツとしてネットからダウンロードして利用するのが一般的です。ですから、スパイウェアに感染するリスクがパソコンに比べて相当高い。そうした万一の場合に備え、スマートフォンの場合は、端末内のデータがある程度守られるよう、保存されているユーザーのデータなどがアプリ間で勝手にやり取りできないような仕組みがあります。ですから、スパイウェアに感染して端末内のデータが盗み出されたら、それはスマホアプリの脆弱性になるわけです。

★パソコンかスマートフォンかでセキュリティの前提が変わるわけですね。

 このような話は、エンドユーザーはもちろん、今まで開発者もそれほど意識してこなかった問題だと思うのです。例えば、以前、「Webフォームで個人情報を暗号化しないで送信したら脆弱性ですか?」という質問を受けたことがあります。これも意見が分かれるところです。

徳丸 浩:暗号化通信は推奨されるけど、暗号化していなかったら脆弱性かというとそうではない

★どう解釈されるのでしょう?

 暗号化通信は推奨されるけど、暗号化していなかったら脆弱性かというとそうではない。いわゆるグレーゾーンだと思います。ただし、スマホの場合は話が変わります。というのも、スマホの場合、特にアプリの場合はブラウザの鍵マークやURL等を目視確認して、ユーザー側で通信が暗号化されているかどうかを確認することができないからです。

★通信が暗号化されていないとスマホではどんなリスクがありますか?

 そうですね。「なりすまし」ですから、例えば、Twitterのアプリなどから本人の望まない書き込みをされるとか、個人的なダイレクトメッセージの内容を見られてしまうといったリスクが考えられますね。

★では、スマホアプリでは通信はSSLで暗号化した方がいいのですか?

 そういう流れになるかも知れませんが、これも一概には言えません。最近、某スマートフォンのアプリがユーザーの連絡先データを無断で収集していたという事例がありました。こういう「アプリのスパイウェア疑惑」のようなことがあると、「怖いからアプリは勝手に通信を暗号化しないでくれ」という考え方が増えますよね。

関連キーワード:
16
参考になったらボタンを押してね
情報セキュリティブログ10周年記念企画
  • セキュリティ炎のコマキャンペーン・結果発表!
  • カテゴリートップへ
  • K子のちょっとセキュアな日常 Vol.03 スマホからの個人情報流出に注意