必須対策その②：使用アプリを管理する

スマートデバイスの情報漏えいやウイルス感染の大きな要因の一つとして、人気SNSの拡張機能や正規のゲームアプリを装う不正アプリを不用意にインストールしてしまい、かつ、そのアプリに、スマートデバイス内のさまざまな機能や情報の利用を許可してしまうことが挙げられる。こうした行為によって、ウイルスに感染したり、「電話番号」「端末識別番号※2」「SIM情報※3」「アドレス帳」「位置情報」といった大切な情報がユーザーの知らぬ間に盗み取られたり。犯罪者によるSMSメッセージの不正送信を許してしまったりなど、深刻な被害を被るおそれがある。そのため、警視庁、多くのセキュリティ機関などが不正アプリのダウンロードに対する注意をしきりに喚起している。

※2　端末識別番号とは、電話番号とは別に、携帯電話やスマートフォンなどの端末を識別するために割り振られた識別番号のこと。訪問先のサイト側でユーザーを特定するために用いられている。
※3　SIMは、Subscriber Identity Moduleの略称で、契約者を識別するための情報を格納するためのモジュールを指す。SIM情報とは、契約者の識別情報のこと。

■具体策
不正アプリ利用リスクを低減させる方法の一つは、不正アプリの不用意なインストールがいかに危険かを社内的に周知徹底させることだ。そのうえで、グーグルの「Google Play」やアップルの「App Store」など、正規のアプリサイト以外からのアプリの入手をすべて禁ずることが実効性の高い方法と言える。

とはいえ、このような「人に頼った施策」だけで不正アプリの使用が実質的に抑止できるとは言いにくい。ルールだけでは人の行動を完璧にコントロールすることは難しく、「仕事のために、よかれと思った」「面白そうなゲームアプリだったので、ついついインストールしてしまった」など、会社のルールが無視されてしまうことも想定しておくことが肝心だ。

もちろん、ルールに反したアプリのインストールが行われても、セキュリティ上の事件・事故につながらない場合はある。だが、それは『たまたまそうだった』と考えたほうが無難であろう。ゆえに必要とされるのは、従業員のスマートデバイスで利用されるアプリを、システム的に制御・管理することである。

例えば、すでに安全性が証明されたアプリの「ホワイトリスト」や、逆に不正が証明されたアプリの「ブラックリスト」に基づいて、システム的にインストールするアプリに制限をかけたり、アプリ利用の管理を徹底したりする──。サイバー犯罪者が暗躍する今日では、このようなシステム導入による対策が必須とされている。