調査会社Gartnerによると、2015年にはモバイルアプリの75%が基本的なセキュリティテストで不合格になるという。
同社は、2015年にモバイルアプリの大半(「Android」「iOS」「Windows Phone」のどのエコシステムに属すかに関わらず)は、企業に受け入れられるセキュリティプロトコルに対応していないだろうと述べた。このことは、個人所有デバイスの業務利用(BYOD)の仕組みが当たり前となっている大企業に、深刻な問題を引き起こす。従業員がダウンロードしたアプリが、企業の資産にアクセスしたり業務の機能を実行したりできるが基本的なセキュリティ基準に対応していない場合、企業のセキュリティポリシーに違反するリスクが生じるだけでなく、企業の機密情報やネットワークも脆弱になるおそれがある。
Gartnerの主席リサーチアナリストであるDionisio Zumerle氏は、既存の静的アプリケーションセキュリティテスト(SAST)と動的アプリケーションセキュリティテスト(DAST)ソリューションのベンダーは、自社のテストを修正および調整し、モバイルテクノロジに対応する必要があると述べている。
Gartnerは、SASTとDASTに加えて、行動分析に基づく新たな種類のテストがモバイル機器向けに登場しつつあるとしている。こうしたテストは、GUIや稼働中のバックグラウンドアプリケーションを監視することにより、悪意のある、またはリスクのある動作を検知する。例えば、連絡先リストや現在地にもアクセスする音楽プレーヤーは、疑わしいものである可能性がある。
ただし、これでは不十分だ。企業ユーザーはさらに、モバイル機器と通信するサーバが継続的にテストされ保護されるようにする必要がある。
「今日、90%以上の企業が、モバイルBYOD戦略のためにサードパーティーの商用アプリケーションを使用しており、アプリケーションのセキュリティテストのための現在の主な取り組みはそこに適用されるべきだ」(Zumerle氏)
Gartnerの予測では、2017年までにエンドポイントでの侵害はスマートフォンやタブレットに集中するようになり、「今日のモバイル機器が備えるセキュリティ機能は、侵害を最小限に食い止めるのには不十分」だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
