効果的なモバイルアプリケーションセキュリティとは、Android、iOS、Windowsなどの様々なプラットフォームで動作するモバイルアプリ向けの包括的なソフトウェアセキュリティソリューションです。コンピューター、タブレット、スマートフォンなどのデバイスに保存されている個人データと企業データの両方を保護することを目的としています。また、コードを難読化することで、脅威アクターが境界セキュリティの背後にある企業のITネットワークにアクセスできないようにします。モバイルアプリケーションセキュリティは、運用効率の向上、リスクの軽減、そして企業とユーザー間の信頼関係の構築に役立ちます。なぜなら、これらのアプリケーションは大量の機密性の高いユーザーデータにアクセスし、不正アクセスから保護する必要があるからです。 

各企業はそれぞれ独自の特徴を持っているため、自社のビジネスに最適なセキュリティオプションの決定は開発者に委ねられることがよくあります。適切な検討と計画がなければ、セキュリティ機能の実装は攻撃者によってリバースエンジニアリングされ、モバイルアプリケーションが脆弱になる可能性があります。

脅威の状況を評価する

セキュリティに関する脅威の状況は絶えず変化しているため、これは今日特に重要です。ここ数年、ソフトウェア業界ではモバイルアプリケーションへの攻撃が増加しています。これは、以下のような様々な要因によるものです。

• 収益化： 暗号通貨、機密コンピューティング、分散型金融の台頭により、サイバー犯罪者にとって報酬を得ることが容易になりました。

• 工業化: ソフトウェア、ツール、さらにはサービスの形態をとるサイバー兵器は広く購入可能であり、攻撃者はもはや特別なスキルを必要とせず、動機さえあれば攻撃を仕掛けることができます。

• 国有化: 脅威の主体はもはや個人や犯罪組織の予算に頼っておらず、政府レベルの予算を自由に使えるため、より多くの時間とリソースを目標達成に充てることができます。

これらの要因に加え、組織は非アクティブな期間にデータ侵害を受けやすいという認識も踏まえると、アプリケーション内の弱点や脆弱性を理解することがこれまで以上に重要になります。COVID-19のパンデミックは数ヶ月にわたって世界を閉鎖に追い込みましたが、同様の状況がいつ再び発生するか分かりません。そのため、モバイルアプリケーションが将来に向けて適切に保護されていることを確認し、モバイルアプリケーションの脆弱性を回避しましょう。

最近の侵害は、適切なセキュリティ対策を講じなければ、解決に数か月かかる可能性があります。これは、企業がモバイル アプリの間違った場所をセキュリティ保護しているため (つまり、その場所を調べているため)、価値の高いエンタープライズ アプリケーションと重要なサービスが無防備な状態になっているためです。 フォーブスによるとサイバー攻撃の84%はアプリケーション層で発生しており、組織がアウトサイドインアプローチを採用している場合、外側の層のみを保護していると攻撃の被害に遭う可能性が高いことを意味します。さらに、最近の調査では、 ポネモン研究所 回答者の 71% が、過去 1 年間で組織のアプリケーション ポートフォリオが攻撃に対してより脆弱になったと述べています。

モバイル アプリケーションの脆弱性の例は次のとおりです。

• IP窃盗、トンネリング攻撃、リバースエンジニアリング

• 機密データの盗難

• アプリケーションの改ざんとスクリプトの挿入

• エミュレータ、デバッガー、ルート化/ジェイルブレイクされたデバイス

• マルウェア

• 詐欺とデータ流出

モバイルアプリケーションのセキュリティに関しては、チームが積極的にセキュリティ対策を講じなければ、時間の経過とともにセキュリティ対策の有効性は低下していきます。そのため、組織は通常、内部から外部へと多層的な防御を構築しますが、必ずしもそうとは限りません。

外から内へはドアの外

長年、このアプローチはサイバーセキュリティの標準的な手法でした。この手法は境界から内側に重点を置き、ファイアウォール、エンドポイント保護、メール/Webゲートウェイなどの保護レイヤーを絶えず追加していきます。この種の保護は、攻撃の侵入前段階にリソースの大部分を集中させ、外部からの脅威を予測することしかできないため、最終的には失敗に終わります。

アウトサイドインアプローチは本質的に事後対応的であるため、管理、測定、保守が困難な、無数のポイントソリューションで構成される複雑でコストのかかるセキュリティインフラストラクチャが生まれます。すべてを管理するためのリソースが不足するため、運用環境にボトルネックが生じ、セキュリティの脆弱性やコンプライアンスギャップが生じ、企業リスクが増大します。

結局のところ、このアプローチは侵入を阻止しようとするだけで、あらゆる角度から本質的な保護を提供するものではありません。境界セキュリティソリューションは、モバイルアプリケーションの脆弱性の影響を受けやすいのです。

内側から外側へが望ましい

アウトサイドイン型セキュリティと比較すると、インサイドアウト型セキュリティアプローチは根本的に強力です。このアプローチは、まずビジネスの中核要件、つまり顧客が定義する企業リスクの軽減に焦点を当てます。リスクは企業ごとに異なりますが、セキュリティの観点から見ると、データ侵害は企業の評判の失墜、顧客や知的財産の喪失、そして多額の金銭的ペナルティといったリスクをもたらします。

これらのリスクに対抗するため、インサイドアウト型アプローチは、ユーザー、データ、そして行動を中心に据えています。これにより、ネットワーク内部の活動を理解することに多くの時間とリソースを費やすことができ、脅威の状況ではなくビジネス目標に基づいてセキュリティ戦略を策定できるようになります。

企業は、異なるシステム間の境界を保護するのではなく、アプリケーション コード自体に保護を統合する必要があります。

「アプリケーション開発者とセキュリティ担当者は、アプリケーション自体に保護を組み込むことに重点を置くべきです。これは、内側から外側へのアプローチです」と、 Application Security at Digital.ai「これは『シフトレフト』とも呼ばれ、攻撃者がアプリケーションを悪用するのを防ぎます。最近ではモバイルアプリケーションが特に脆弱になっています。」

その Digital.ai 違い

Digital.ai アプリケーション保護ソリューションはまさにこれを実現し、アプリケーションをスマートで自己保護的なアプリにすることができます。

50～200人の警備員のネットワークを使用して、 Digital.ai アプリケーション保護は多層的な保護を備えています。これらのガードはアプリ内の様々な場所に散在しており、攻撃者が保護フローを解読することはほぼ不可能です。

「攻撃者がガードを破壊したり回避したりする状況を回避するため、アプリケーションとガード自体の両方を保護するガードネットワークを構築しています」とシャロンは説明します。「これは自動化され、ランダム化され、隠蔽された保護であり、開発者の作業を容易にし、攻撃者の作業を困難にします。」

可視性のない保護は理想的ではないので、 Digital.ai アプリケーション保護は、アプリ分析およびレポートツールも活用しているため、アプリやエンドユーザーの状況に関する洞察を得ることができます。可視性を備えた保護により、セキュリティ担当者や開発者は、攻撃者の手法、地理的状況、潜在的な侵害の発生場所を詳細に把握できます。全体として、このソリューションは、組織がアプリケーションのセキュリティを評価し、リアルタイムのリスク評価を行う能力を提供します。

未来への準備

脅威アクターは、モバイルアプリケーションの脆弱性を悪用して境界セキュリティを侵害するケースが増えています。攻撃者は常に組織のアプリケーションの脆弱性を悪用する新たな方法を模索しており、こうしたサイバー攻撃は頻繁に発生しています。世界がモバイル環境への適応を進め、モバイルアプリケーションが顧客とのやり取りやビジネス活動のメインゲートとなるにつれ、企業を可能な限り徹底的に保護する必要があります。組織の強さは最も弱い部分で決まることを忘れないでください。しかし、インサイドアウト型のセキュリティアプローチを採用することで、アプリケーションは境界からコードまで保護されます。

 

弊社のウェビナーで、企業のモバイル アプリケーションを適切に保護する方法をご確認ください。 「安全なソフトウェアの青写真を構築する方法」