モバイルセキュリティとは？その定義や重要性について解説

多くの企業でモバイルデバイスの導入が進んでいます。その背景要因として、従業員がどこからでも、どのデバイスでも業務を遂行できるようにするというニーズが挙げられます。 モバイルテクノロジーは汎用性が高いことから、さまざまな業界で活用が進んでいます。具体例をいくつか見てみましょう。

• 医療業界：人命救助に携わる救急隊員がモバイルデバイスを使用しています。
• 教育現場：生徒の学習を拡充するために、1人1台のデバイス支給やデバイスの共用が行われています。
• サプライチェーンと物流：物資の状況をリアルタイムに把握し、必要な場所へ迅速に届けることが可能です。
• 小売業界：顧客データ、売上や在庫を簡単な操作で手軽に管理できます。
• 金融業界：投資の管理や財務データのチェックをいつでも実施できます。
• 営業：外出先でもつながる・動ける・長く使える。営業活動を止めない環境を実現します。
• 航空業界：20kg近くもある分厚いフライトマニュアルと航空図を、わずか700g程度のデバイスに収めて活用しています。

モバイルデバイスは、時や場所に縛られない設計を目指す「ユビキタスデザイン」の下、強力な処理能力が小さく軽い本体に収められているため、ユーザはいつでもどこからでも重要なリソースに簡単かつ安全にアクセスできます。

セキュリティ対策の面では、モバイルデバイスはデスクトップデバイスと多くの共通点があります。というのも、脅威アクター（攻撃者）は多様な攻撃手法を絶えず進化させているので、一方のデバイスへの攻撃が成功すれば他方にも影響が及ぶためです。ところが、デスクトップと同等のセキュリティをモバイルデバイスで実現しようとすると壁に行き当たります。両者に本質的な違いがあるのはたしかですが、最大の障壁はモバイルセキュリティの実装にかかわる課題ではなく、そもそも企業がモバイルデバイスのリスクを把握していないことです。

このブログでは、モバイルデバイスのセキュリティに関する課題と誤解について、以下のトピックを通して詳しく解説します。

• モバイルセキュリティの定義
• モバイルデバイス用にセキュリティを講じる重要性
• 標準搭載のセキュリティでは不十分な理由
• モバイルセキュリティが企業に及ぼす影響
• モバイルセキュリティソリューションを導入するメリット
• 包括的なセキュリティ体制にモバイルセキュリティが欠かせない理由

モバイルセキュリティの定義

「モバイルセキュリティ」とは、モバイルデバイスのリスクを軽減し、脅威から守ることを指します。スマートフォンやタブレットでアクセスし使用するデータやリソースの保護などもこれに含まれます。

モバイルデバイスのセキュリティ対策の重要性

ユーザや企業が業務にモバイルテクノロジーを利用する動きが加速しています。その用途はコミュニケーションや共同作業だけでなく通常業務全般に及んでおり、オフィスやデスクといった従来の境界をなくしつつあります。その結果、モバイルデバイスが機密情報の保存・処理・送信といった用途で利用される機会が増加しています。 仕事のツールとして見ればデスクトップコンピュータと変わらなくなっているわけですが、モバイルデバイスは仕事だけでなくプライベートでも使用される点が大きく異なります。そのため、デスクトップアーキテクチャ向けに設計されたエンドポイントセキュリティソリューションでは対応の難しい新種のリスクが生まれています。実際、多くのソリューションでは包括的な対応を望めません。

例えば、モバイルOSの設計の特性上、モバイルデバイスを標的とするマルウェアのほとんどは常駐メモリで動作します。そのため、iPadなどがマルウェアに感染した場合でも、電源を入れ直せばメモリの内容は消去され、マルウェアが再度実行されるまで脅威は取り除かれます。しかし残念なことに、モバイルデバイスのユーザはデバイスを再起動することがめったにないため、脅威は残り続け、気づかぬうちに同意もないままデータ侵害などが行われてしまいます。

ユーザ側から見れば、デスクトップコンピュータでもモバイルデバイスでもマルウェアの動きは変わりません。ところが、アーキテクチャやソフトウェアの開発・実行方法に違いがあるので、エンドポイントセキュリティがバックグラウンドで脅威に対処する方法は両者で大きく異なります。

これに加えて、次のような点も無視できません。

• モバイルデバイス活用の急拡大
• 業務リソースへのアクセス手段としてのインターネット依存
• 大規模攻撃を引き起こす“きっかけ”となる経路となり得る
• サイバー攻撃の進化に向けた活発な攻撃手法の開発

対策を講じなければ、モバイルデバイスもデスクトップコンピュータと同様、社内のデータやエンドユーザのプライバシーの保護に大きなリスクをもたらす要素となってしまいます。

標準搭載のモバイルセキュリティでは不十分な理由

Jamf のブログをご覧になっている方であれば、テクノロジーを使用する際にセキュリティとプライバシーがいかに重要な役割を果たすかをよくご存知でしょう。

モバイルデバイス業界を牽引するAppleとGoogleも、セキュリティとプライバシーに大きな力を注いでいます。このことは、セキュリティとプライバシーのフレームワークが各社のプラットフォームに主柱として組み込まれていることからもわかります。さらに、このフレームワークに基づいて生体認証やボリューム暗号化といったハードウェア向けの最先端機能が開発されているため、スマートフォンユーザも、タブレットやウェアラブルデバイスを含めたあらゆる製品ラインアップと同等の保護を受けられます。

しかし、セキュリティを重視した機能が豊富に搭載されていても、モバイルセキュリティとしてはまだ十分とは言えません。データのセキュリティを確保するだけでなく、同時にデバイスのコンプライアンスとユーザ自身の安全をも維持できる、きめ細かなアプローチが必要なのです。これは、モバイルデバイス自体に弱点が内包されているからではなく、モバイルデバイスを狙う脅威が絶えず進化していることが背景にあります。脅威は猛烈なスピードで常に変化しており、組織が十分な対策を維持するのは難しくなっています。例えば、モバイルデバイスの導入を急ぐ企業の多くが、事業継続性を重視して標準搭載のモバイルデバイス保護機能だけを使用しています。ところが、標準機能では次のような対策を十分に講じることはできません。

• リスクの影響を最小限に抑えるのに役立つ重要なセキュリティプロトコルを実装する
• 包括的なエンドポイントセキュリティを組み込んで、既知および未知の脅威に対処する
• セキュリティ対策の厳格な手順とワークフローを効率的に遂行する
• デバイスの初回起動から、安全な状態で使用できるようにプロビジョニングを徹底する
• 強力なベースライン構成に即してモバイルセキュリティ強化のベストプラクティスを適用する
• セキュリティ基準を実施して組織内の完全性を維持する
• インフラ上のリソースすべてをコンプライアンス対象に含める
• 各種OS・デバイス・オーナーシップタイプで同等のセキュリティを確保し、セキュリティギャップを解消する
• ファーストパーティ／サードパーティのアプリを監視・審査することで、ソフトウェア起因のリスクを最小限に抑える

モバイルセキュリティが企業の安全に与える影響

モバイルデバイスに限らず、どんな種類のセキュリティを導入する場合でも、トレードオフの問題は避けては通れません。モバイルセキュリティの導入と引き換えに柔軟性や効率性に妥協しなければならなくなるのは、たいていセキュリティのバランスが取れていないことが原因であり、多くの企業では保護が過剰あるいは不足した状態になっています。どちらの場合も結果は同じで、デバイス、ユーザ、データが脆弱な状態に置かれてしまいます。

デバイスが会社支給のものであっても個人所有のものであっても、リスクであることに違いはありません。デバイスを業務にどう活用しても、また使用するアプリをユーザに選ばせず会社推奨のものに制限しても、このリスクを免れることはできないのです。ネットワークに何があり、どう使われているかを可視化できなければ、それがどんな影響を及ぼすかはインシデントが発生するまで気づくことはできません。そこに難しさがあります。企業がパフォーマンスやユーザエクスペリエンスを損なわず、さらに利便性と引き換えにセキュリティを妥協することもなく、モバイルデバイスを管理するにはどうすればよいのでしょうか。

それには、データセキュリティとプライバシーのバランスをうまく取り、モバイルデバイスで実行されるすべてのプロセス、アプリ、業務リソースにおいてこれらを最優先事項とし、決して二の次にしないことが重要です。

メディアで注目されるのは主に「デバイス・ユーザー・データ」ですが、実はモバイルデバイスのセキュリティは、それ以上に企業に大きな影響を及ぼします。例えば、次のようなものがあります。

• 企業の完全性や社会的評価・評判の低下
• ビジネスの停止や事業継続性の喪失
• 企業秘密などの機密情報の漏洩
• コンプライアンス規制違反に起因する民事責任または刑事責任
• モバイルデバイスの侵害を起点とする、広範囲のネットワーク侵害やデータ漏洩
• PII（個人識別用情報）やPHI（保護対象保健情報）のような個人情報への不正アクセス
• モバイルワークやリモートワークの普及の阻害

これらのセキュリティ問題のいずれか、あるいはすべてが企業に影響を及ぼす可能性があるのは事実ですが、これに恐怖を感じるのではなく、適切なアクションを起こすための情報として扱うことが大切です。どのようなモバイル脅威が存在し、それらが企業にどのような影響を与えるかを認識することは、現在進行形で進化するモバイルリスクに対応しながら、モバイルデバイスを総合的かつ包括的に管理する深層防御戦略を実施するための第一歩となります。

モバイルセキュリティに影響する脅威の種類

ここでは、モバイルセキュリティに影響を与える脅威を紹介します。すべてを網羅したものでも将来にわたって当てはまるものでもありませんが、発生件数の上位を占める脅威を挙げていますので、モバイルデバイスへの攻撃で狙われる脆弱性や用いられる手法についてIT部門とユーザの双方が理解を深めるのに役立つでしょう。

• フィッシング：ソーシャルエンジニアリングの一種であり、SMS、メール、電話、ソーシャルメディア、QRコード、メッセージアプリを利用してユーザをだまし、エンドポイントを侵害し、機密データにアクセスします。
• マルウェア：悪意のあるコードの一種であり、特定の目的を達成するためにエンドポイントとユーザそれぞれのセキュリティやプライバシーを侵害します。マルウェアには次のようなタイプがあります。
  • ランサムウェア：個人データを暗号化し、ユーザに復号化キーと引き換えに身代金を支払うかデータを永遠に失うかの選択を迫ります。
  • スパイウェア：閲覧履歴やクッキーなどユーザの機密情報を収集します。収集した情報は、銀行取引などの機密業務のセッションを乗っ取るために使われます。
  • アドウェア：商品やサービスの広告に悪意のあるコードを埋め込んで配信し、ユーザにクリックさせてデバイスの脆弱性を悪用します。
  • ストーカーウェア：スパイウェアと似ていますが、こちらはカメラ、写真、マイク、テキストメッセージのログ、位置情報データなど、ターゲットの居場所を追跡するためのデータを収集します。
  • クリプトマイニング：ハードウェアのパフォーマンスを下げるマイクロコードで、ハードウェアリソースを悪用して暗号通貨をマイニングさせます。
  • 潜在的に迷惑なプログラム（PUP）：正規のソフトウェアにバンドルされている一般的に不要なアプリで、リスクをもたらす可能性があります（マルウェアに分類されないケースもあります）。
  • トロイの木馬：悪意のあるコードの一種で、本来の狙いを隠すように正規のアプリに埋め込まれるか、パッケージ化されて配信されます。例えば、商用ソフトウェアを改変し、非公式のアプリストアを通じて無料で配布するケースがあります。
• 紛失/盗難：デバイスの持ち運びが容易なことから置き忘れや紛失、盗難が生じやすく、機密データやプライバシー情報の漏洩のリスクが高くなります。
• 中間者攻撃（MitM）： 無防備なユーザがフリーWi-Fiや不正アクセスポイントに接続すると、その通信が傍受されます。攻撃者は通信内容を盗聴して、さらなる攻撃の材料にします。
• アプリのアクセス権限：アクセス権限の設定を誤ったりアクセス権限が悪用されたりすると、不適切なデータアクセス、プライバシー侵害、データ流出を招くおそれがあります。
• パッチ管理：アップデートを適用しないと、軽減できるはずの既知の脅威に対してデバイスが脆弱になり、ハードウェア/ソフトウェアが攻撃の経路になりかねません。
• 脆弱なパスワード/パスワード未設定：デフォルトのパスワードまたは脆弱なパスワードを使用しているか、そもそもパスワード設定を無効にしていると、デバイスやデータへの不正アクセスに対してほぼ無防備な状態になります。
• 暗号化：上記のパスワードとは逆に、「セキュリティの最後の砦」とも言われる暗号化は、データ自体をスクランブルして解読不能な状態にします。そのため、データが暗号化されると、パスワードやリカバリーキーがないと復元できなくなってしまいます。
• 保護されていない接続：フリーWi-Fiは手軽にインターネットにアクセスできるもののセキュリティは不十分で、同じネットワーク上にいるどのユーザでも手段を講じれば転送中のデータを読み取れる可能性があります。
• 設定ミス：設定が誤っているデバイスやデフォルト設定のままのデバイスでは、一般的な脅威への保護が十分に講じられないため、攻撃できる対象範囲が広くなり、侵害・悪用されやすくなります。

モバイルセキュリティが企業において重要度を増している理由はさまざまありますが、最も明白なのは、世界中でモバイルデバイスの普及率が猛烈なスピードで伸び続けていることでしょう。実際のところ、モバイルデバイスの普及率はどの程度なのでしょうか。BankMyCellの調査（2024年度を対象とした最新版）によると、世界におけるスマートフォンの利用状況の内訳は次のようになっています。

• アクティブなスマートフォン契約数は72.1億件
• ユーザ数は48.8億人
• 世界人口の60.42％がスマートフォンを所有
• スマートフォン契約のうち23.3億件は複数のスマートフォンを所有するユーザのもの
• 現在の世界人口は推定81億人

スマートフォンはモバイルデバイス市場シェアの大半を占めていますが、モバイルデバイスには他にタブレットやウェアラブルデバイス（スマートウォッチなど）などのタイプもあり、それらは上記の数字に含まれていません。これらのタイプは、個人利用だけでなく、次のような業務関連の用途にも手軽に利用できます。

• 業務データの処理
• 仕事関連アプリの使用
• 業務リソースへのアクセス
• 社内ネットワークへのアクセス

ユーザが業務と私用でデバイスを使い分けていたとしても、管理とセキュリティの戦略が正しく策定されていなければ、公私のデータの混在、デバイスのコンプライアンス違反、プライバシーへの影響によるリスクは無視できない問題のままです。

モバイル戦略をセキュリティ計画に組み込めば、次のようなメリットも得られます。

• インフラ全体にばらつきなく保護を適用
• 進化する最新の脅威によるエンドポイントのリスクを軽減
• 業務リソースとプライバシーデータを保護
• オーナーシップタイプにかかわらず、すべてのデバイスで同等のセキュリティを確保
• 場所、デバイスタイプ、ネットワーク接続方法に左右されない、安全な業務環境を実現
• コンプライアンスを強化し、社内標準や業界規制への準拠を徹底

モバイルセキュリティソリューションの種類

モバイルデバイスとコンピュータの市場成長率を比較してみると、2025年から2029年にかけて、コンピュータ市場は年平均0.06%の成長が見込まれています。 これに対し、モバイルデバイスは同期間において、年平均3.76%の成長が見込まれています。

このような普及率の上昇に押されるようにして、モバイルデバイスを標的とする脅威アクターも増えており、生成AIなどの先進技術も活用しやすくなっていることから、仕掛けられる脅威もますます高度になっています。以下では、モバイルデバイス、データ、ユーザを保護するうえで欠かせないソリューションを紹介します。インフラの管理とセキュリティ確保がいかに重要であるかをより深く理解できると思います。

• ゼロトラストネットワークアクセス（ZTNA）：VPNと同じようにネットワーク通信を保護しながら、アプリやサービスなどのリソースを保護する追加のセキュリティを提供します。デバイスの健全性チェック機能が組み込まれているため、IT部門はパッチレベル、デバイスが危険にさらされているか、マルウェアの影響を受けているか、組織の要件を満たしているかなど、デバイスに関する詳細な情報を得たうえで、個々のリソースへのアクセスの承認を進められます。個々のリソースはセキュリティを維持するために別々の区分に分割されます。これにより、特定のアプリが侵害された場合、そのアプリへのアクセスは制限されますが、それ以外のリソースへ侵害が拡大する心配はなく、ユーザは被害のないリソースを引き続き使用できます。また、健全性チェックを通過しなかったデバイスはアクセスが拒否され、修復を通して問題が緩和され検証された後に再びアクセスが許可されます。
• モバイルエンドポイント保護：マルウェア防御は、モバイルセキュリティの数ある要素のひとつに過ぎません。フィッシング手法やゼロデイ攻撃に悪意のあるURLを利用するドメインを特定してブロックすることでフィッシングによる脅威を軽減すれば、ユーザとモバイルデバイスの保護を大幅に強化できます。中間者攻撃（MitM）のようなネットワークベースの攻撃に対する保護を厳重にしたり、コンプライアンスチェックを活用して利用規約（AUP）に合わせて要件を設定したりすることもできます。 また、設定ミスを最小限に抑えるポリシーベース管理を使用すれば、ローカル、パブリッククラウド、プライベートクラウド、ハイブリッドのいずれであっても、デバイスと組織のセキュリティ体制をさらに強化できます。
• Webコンテンツフィルタリング：悪意のあるWebサイトに対抗するインテリジェントなコンテンツフィルタリングを導入することで、フィッシングWebサイトによる脅威を最小限に抑えるだけでなく、不適切な使用や違法Webサイトへのアクセスによる法的リスクを軽減します。 また、携帯電話回線、有線、ローミング、Wi-Fiへの接続を保護するネットワーク認識型セキュリティ制御を活用することで、保護をさらに強化します。BYOD／CYOD／COPEといった多様なデバイス管理モデルに柔軟に対応し、個人所有・会社支給を問わずAUPを適切に適用することで、ユーザのプライバシーと企業リソースの安全性を両立できます。
• パッチ管理：アプリとデバイスのライフサイクルの議論を抜きにして、デバイスの管理は完結しません。アプリとデバイスの両方が適切に調達・アップデートされ、必要な構成がすべてのデバイスタイプで一貫して設定されるには、効果的な管理が不可欠です。一元管理されたプラットフォームを活用することで、ソフトウェアの脆弱性を軽減でき、ユーザがいつでもどこからでも思う存分業務に集中できる体制を整えられます。 IT部門とセキュリティ部門には問題がリアルタイムで通知され、インシデントに迅速に対応できるようになります。さらに、最新のセキュリティ機能、新たに登場する機能、ソフトウェアのアップデートを初日からサポートできる点もきわめて重要です。

包括的なセキュリティには、モバイルデバイスの保護が不可欠

コンピュータのセキュリティ対策をすでに行っているなら、モバイルデバイスのセキュリティを蔑ろにする理由はありません。

業界や地域に関係なく、世界中の組織でAppleデバイスの採用が進んでいます。2021年時点でもApple社の年間売上高は3,658億ドルという莫大な数字となっており、そのうちの60.7％をiPhone（51.9％）とiPad（8.8％）が占めていました。また、Apple Watchの売上はiPadやMac（9.8％）を上回り、総売上の10.4％を占めました。

Windows、Android、ChromeOS搭載のモバイルデバイスに加え、iOSやiPadOSが搭載されたモバイルデバイスの需要があることは明らかです。そしてデバイスが多ければ多いほど、組織にリスクをもたらす可能性は高くなります。

コンピュータほどオープンではないモバイルデバイスに、コンピュータと同じレベルのセキュリティが必要な理由

コンピュータもモバイルデバイスも結局はコンピューティングデバイスであり、さらに言えば、安全に仕事をこなすうえで必要なアプリやサービス、プロセスも同じです。モバイルOSとデスクトップOSとでプロセスやワークフローの処理方法に違いはあれど、エンドポイントリスクとデータセキュリティについては多くの共通点があることは間違いありません。そのため、マルチプラットフォームの管理プロセスを構築する際は両者の共通点を活用し、各プラットフォーム固有の各種リスク要因を最小限に抑える個別の制御を実装する際には相違点を考慮することが重要になります。

個人所有デバイスと会社支給デバイスが混在する環境がモバイルセキュリティに与える影響

モバイルデバイスのセキュリティ対策が整っていない組織においては、リスク管理の観点から見ると、個人所有と会社支給デバイスの間に大きな違いはほとんどありません。 モバイルデバイスが可視化されていなければ、ITチームやセキュリティチームはデバイスの健全性をリアルタイムで知ることができず、デバイス自体のセキュリティ体制や、それが組織全体のセキュリティ体制に与える影響を理解することができません。

一方、全体的なセキュリティ計画にモバイルデバイス戦略が組み込まれていれば、最新の脅威に対して保護を講じることができます。デスクトップやモバイルのOSに影響を与えるものだけでなく、デバイスの種類や所有形態を問わず、サポートしているすべてのプラットフォームを狙った脅威を阻止できます。さらに、インフラを包括的に保護する幅広い保護も実装できます。デバイス、ユーザ、リソース、データリポジトリなど、すべての層で死角のないセキュリティを基本要件として実現します。

モバイルデバイスセキュリティへの投資が今すぐに必要な理由

多くの企業は、セキュリティインシデントが実際に発生する前はセキュリティに投資する必要性を感じないものです。しかし一旦インシデントが起こると、それに対処するために多額の投資を行うことを厭わなくなります。

簡単に言えば、何も起こっていない時は、それがエンドポイントセキュリティの優れた効果のおかげであるという事実を忘れがちです。

別の見方をすれば、モバイルセキュリティに投資すべきタイミングは、組織が実際に攻撃を受けた時ではありません。実際に攻撃があった場合にトラブルをできるだけ迅速に解決しようと慌てて対策を講じることがないように、組織特有のニーズに合ったテクノロジーをIT部門とセキュリティ部門が検討している時こそが、最良のタイミングと言えます。

まとめ

モバイルセキュリティ戦略は、全体的なセキュリティ計画の主要な要素でありながら、時に管理が行き届かず、見落とされがちです。企業に必要とされるのは、既知や未知の脅威を含む最新の脅威ランドスケープから、デバイス、ユーザ、ビジネスリソースを包括的に保護するものです。

モバイルセキュリティの課題をさらに深刻化させているのは、モバイルデバイスの利用が他のいかなるコンピューティング技術よりも急速に拡大し、世界的に高い普及率を示しているという事実です。 モバイルテクノロジーの進歩に伴うデバイスの増加により、あらゆるプラットフォームの使用や依存性が高まり、あらゆる業界に影響を及ぼしています。

これに加えて、企業のビジネス目標にグローバル化とハイブリッドワークが織り込まれる傾向も加速しています。モバイルデバイスが脅威アクターに狙われる事例が増えていますが、これに対抗するには単にデバイスを脅威から保護するだけでは万全ではありません。インフラを保護し、コンプライアンスを維持し、リソースを安全に保つことが必要です。

そのために重要となるのは、既存のセキュリティ計画にモバイルセキュリティを組み込み、攻撃者の付け入る隙をなくすことです。ユーザの使い勝手に影響を与えず、効率やプライバシーを損なわずに、あらゆるデバイスを包括的に保護することができるのは、デバイス管理、ID・アクセス管理、エンドポイントセキュリティがシームレスに統合されたソリューションだけです。