Skip to content

モバイルアプリセキュリティのベストプラクティス

ここ数年、モバイルアプリ経由のデータ流出が相次いでいます。 Verizon社のMobile Security Indexによると、2019年だけで1/3の組織がモバイルデバイスが原因でデータ流出の侵害に遭っています。 世界がよりつながりを強め、現代のビジネスがますますモバイルアプリで行われるようになると、セキュリティが重要になります。 最も信頼されている業界でさえリスクがあり、すべてのモバイルデバイスが攻撃対象となります。

金融機関、ヘルスケア機関、製造業、およびエンターテインメント業界などでは、モビリティによる使い勝手の良さや顧客満足度の向上などの恩恵を受けています。 しかし、これらの信頼されている分野では、脆弱性や不十分なセキュリティ対策の結果として起こる、コストのかかる収益や評判の低下も目の当たりにしています。

モバイルアプリセキュリティには全体的なアプローチが必要

Gartner社のMarket Guide for In-App Protectionによると、モバイル、IoT、および最新のWebアプリケーションがソフトウェアロジックをクライアント側に移行する中で、信頼できない環境で実行されるアプリケーションを保護することは非常に重要です。

信頼できない環境でビジネスを行い、消費者データを収集し、支払いを受け付けると、攻撃を受ける可能性がワイドに開かれ、セキュリティギャップを解消するためには、いくつかの分野で対処しなければなりません。 適切なセキュリティプロセスを導入することは、適切なツールを持つことと同様に重要です。 セキュリティは常に全体的な観点から取り組む必要があります。ドアに鍵をかけても、窓を開けたままでは意味がありません。

セキュリティ意識とプロセスの導入

危険な従業員やインサイダーの脅威は、企業に甚大な損害をもたらしますが、多くの場合、適切なプロセスを導入すれば、これらのハックを回避することができます。 2019年には、Capital One社、Trend Micro社、およびDesjardins Group社が、危険な従業員が原因でデータ流出を経験しました。 このような状況を緩和するための予防策としては、常時監視、セキュリティ意識の向上のためのトレーニング、厳しいアクセス制限などがあります。

セキュリティを単なるバックエンドの構成要素と見なすことは、悲惨な結果をもたらすコストのかかる間違いです。 正しいアプローチとは、評判、収益、およびデータ保護をアプリ開発者に全面的に委ねるのではなく、組織全体に責任を分散させることで、セキュリティを当たり前のものにすることです。 そのためには、スタッフが常に注意を払い、特定の脅威に注意するよう訓練するセキュリティ意識向上プログラムを作成する必要があります。 リスクを軽減し、データ流出の影響を回避するには、先回りしたアプローチが重要です。 言うまでもなく、先を見越したセキュリティ対策は、事後的なダメージコントロールに比べて、長期的にははるかに少ないコストで済みます。

強力な認証の使用

最大のセキュリティハックのいくつかは、弱い認証の結果として起こります。 Verizon社の「2019 Data Breach Investigations Report」によると、ハック関連の侵害の80%は、漏洩した脆弱な認証情報が関係しています。 強力な英数字のパスワードを要求することは良いことですが、複数の個人識別情報を要求することはさらに望ましいことです。 多要素、強力な認証要件は、侵入障壁を追加し、ハッカーがアプリに侵入することをより困難にします。 しかし、これでは本物のエンドユーザーに楽しんでもらうことが難しくなってしまいます。

強固な認証に関しては、犯罪者にとってはできる限り難しく、消費者にとってはできる限り簡単なものにすることがベストプラクティスです。 つまり、利便性とセキュリティのバランスをとることです。 パスワードは最も弱い脆弱性であり、サポートコールのコスト要因となることが多いため、多くの企業はパスワードレス認証に移行することで、リスクを完全に解消することを選択しています。

モバイル決済のトークン方式とセキュアなデータストレージの採用

カードオンファイルシステムとは、顧客が買い物をするたびにカード情報を再入力する手間を省くために、加盟店が保有するビッグデータベースのことです。 しかし、これらのデータベースには固有のリスクがあります。 犯罪者は、このようなハニーポットを狙っています。最も有名な事件は、2013年に発生したTarget社の悪名高いデータ流出事件でしょう。 当時は前例のないものでしたが、時間の経過とともに、Target社のハックは、データセキュリティストレージの深刻な弱点を露呈した多くの事例のうちの最初のものであることが判明しました。

時代が進むにつれ、このようなデータベースの流出は当たり前のことになりました。 データストレージの安全性を確保するために、現在ではカード番号ではなく「トークン」を保管することが推奨されています。 主なクレジットカードスキームのトークン方式サービスでは、顧客のカードを表現した、使用できないトークンを保管しています。トークンは擬似的なカード番号で、見た目はカード番号のように見えますが、一定のルールを適用することで不正行為のリスクを軽減します。

つまり、トークンは限られた取引(この場合は、加盟店が保管しているもの)にしか使用できません。 クレジットカードの番号とは異なり、犯罪者がトークンを手に入れても、買い物には使えません。 トークン方式は、仮に加盟店のサーバがハックされても、消費者のカード番号が流出するリスクはありません。

コードの保護とAPIの安全確保

アプリのコードが適切に要塞化されていないと、ハッカーはアプリケーションを逆コンパイルして弱点を見つけ、攻撃を仕掛けることができます。 適切なソフトウェアーコード保護により、モバイルアプリが攻撃の対象となることを防ぎます。 モバイルアプリをハッキングする際、攻撃者が最初にすべきことは、API(アプリケーション・プログラミング・インターフェイス)が組織のバックエンドサーバとどのように通信しているかを時間をかけて学び、理解することです。 ソフトウェアーコード保護とAPIセキュリティがなければ、攻撃者はモバイルアプリをリバースエンジニアリングすることができ、バックエンドサーバに送信するメッセージを独自に作成することができます。 これらのメッセージは、データ流出の中心となるものです。

ソフトウェアーコード保護とAPIの安全確保により、バックエンドサーバへの侵入口が安全に保たれ、消費者の極めて重要な個人データが守られます。

モバイルアプリのセキュリティハックを回避する適切なアプローチ

適切なセキュリティアプローチにより、インサイダーの脅威やバックエンドの脆弱性を最小限に抑えることができます。 しかし、ひとたびハックが発生すれば、その影響から逃れることはできません。 アプリケーション保護のための適切なセキュリティソリューション群は、簡単にアクセスできるテクノロジーを通じて、アプリをあらゆる面で安全に保つための、全体的でエンドツーエンドなアプローチを提供する必要があります。

Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Recent Posts

Mobile RASP vs Shielding vs In-App Protection

The reward of engaging with a loyal customer base doesn’t come without risk. Hackers, often highly resourced cybercriminal gangs, recognize that mobile apps provide a gateway into the enterprise. As awareness grows about this risk, enterprises are increasingly seeking solutions to secure and protect their mobile apps.

有料テレビのニューノーマルを乗り切るための4つの変革

有料テレビが新しい生活様式に直面している今、今後の…

サイバー攻撃にさらされているヘルスケア機関: トータルノックアウトを回避する方法

新たな、そして驚くべきサイバーセキュリティの脅威が…
Want to take a deep dive?

Connect with us

This site is registered on wpml.org as a development site.