モバイルセキュリティで大事なこと、マカフィーがブログで紹介


STRIDEモデルをモバイルに当てはめた表

 マカフィー株式会社は6日、モバイルに必要とされるセキュリティ対策を同社ブログ「McAfee Labs Blog」で解説した。

 同社は「セキュリティの観点でみたスマートフォンは、もはやスマートフォンという別カテゴリの商品ではない。PCと同様にインターネットアクセスにおけるエンドポイントの1つととらえ、利用場面に応じたセキュリティ対策が必要」と説明。

 具体的な対策を分かりやすく、マイクロソフトのSTRIDEモデルを応用して整理している。同モデルは、脅威を「Spoofing(なりすまし)」「Tampering(改ざん)」「Reputation(否認)」「Information Disclosure(情報漏えい)」「Denial of Service(サービス拒否)」「Elevation of Privilege(権限昇格)」の6つに分類するもの。

 これをモバイルに当てはめると、「脅威の多くがスキャン技術で対応できることが分かる」(同社)と説明。「コンテンツスキャンはモバイルセキュリティ対策の基本であり、最初に導入を検討すべきもの」と結論づけている。

 一方、モバイル向けセキュリティソフトで重要なのは、「ポータビリティを持つこと」「少ないリソースで動作すること」「拡張性があること」と説明。

 ポービリティは、モバイルのさまざまなOSやプラットフォームに対応するかに関して。「同じ種類のプラットフォームでもバージョンが違えば互換性も異なる場合がある。それぞれに全く別の実装をするのではなく、1つの実装がなるべく多くのプラットフォームで動作できるような根本的設計思想が必要だ」としている。

 少ないリソースでの動作は、CPUもメモリ容量も非力なモバイルでは特に重要だろう。「ネットワーク通信が伴う場合、パケット数に応じた料金が発生することもあるので、そのような制限された環境でもユーザーの作業やコストを阻害しない最適なパフォーマンスが求められる」としている。

 最後の拡張性は、将来の新しい脅威に動的に機能拡張できる仕組みのこと。「モバイルの場合は、セキュリティ技術を製品製造時から組み込む場合もあり、一度出荷されてしまうとソフトの入れ替えなどの機能的拡張が困難な場合がある。そうした場合も、必要に応じて機能を拡張できなければならない」としている。

関連情報