PR

モバイルアプリの最大リスク、「危険なデータ保存」

 Webアプリケーションのセキュリティ強化を目指す非営利組織「OpenWeb Application Security Project」(OWASP)は、安全なモバイルアプリケーションの構築に必要なリソースを一元的に提供するためのプロジェクト「Mobile Security Project」を進めている。同プロジェクトではモバイルリスクのトップ10に焦点を当てており、米マカフィーは1位に挙げられた「危険なデータ保存」の対策についてブログで説明した。

・データ分類
OWASPは、データの処理、保存、伝送を、データの分類と連携させるべきだと勧めている。開発者は、情報の照会と処理が行われるデータモデルを作成する際、データの機密性を考慮しなければならない。また、データ分類の変更をどの段階で実行するかについて、ビジネスの利害関係者とやりとりする必要がある。

・アクセス権
オンラインバンキングやクレジットカード管理サイトなどの金融関連コンテンツへのアクセス手段としてモバイルデバイスの使用が増えていることから、強力なアクセス管理が不可欠になっている。南アフリカのポートエリザベステクニコンの調査では、開発者が注力すべきセキュリティ機能として、認証、機密保持、完全性維持を挙げている。

・暗号化
米企業の調査によると、モバイルアプリケーションの76%はユーザー情報を暗号化せずに保存しており、このうち60%から個人情報が回収可能という。OWASPは、モバイルデバイスに保存されるデータやモバイルデバイスから送信されるデータは暗号化されるべきだとしている。どの暗号化手段を選ぶかは企業によるが、いずれにしろ開発者は、暗号化されていない機密性の高いデータを保存あるいはキャッシュしないようコードを設計する必要がある。すべての機密データは、安全なネットワーク接続を介してサーバーに送られ、送信後はモバイルデバイスから消去されることが望ましい。

・データのパージ
データの処理に必要な期間を過ぎてもアプリケーションがデータを保持していると、情報漏洩の危険性が高まるとOWASPは指摘している。開発者は、GPS座標や財務データなどの機密データをアプリケーションが使用したらすぐに消去するように設計するべきである。また、一定の保持期間を超えたデータは削除されなけらばならない。

・キルスイッチ
米厚生省が実施した調査によると、2009年9月から2011年5月に、116件のモバイル端末紛失あるいは盗難が原因となって500件以上の患者記録が漏洩した。これはアプリケーションがリモートで端末のデータを削除できるAPIを実装していなかったために招いた結果の一例に過ぎない。OWASPは端末上でデータを保存あるいは処理するすべてのアプリケーションから、このようなAPIにアクセスできるようにすることを提案している。