2017年09月29日 連邦政府のモバイルアプリケーション・セキュリティ対策事例

連邦政府のモバイルアプリケーション・セキュリティ対策事例

 

2017年9月29日
NEDOワシントン事務所

 

デスクトップ型ワークステーションと異なり、組織内の従来型ネットワークの圏外で主に利用されるモバイルデバイスについては、従来のソフトウェア脆弱性に加えて、モバイルアプリケーションを介してアクセス可能な多種多様なサービスのセキュリティ問題が課題となる。

連邦政府、特に、国防省、国土安全保障省(Department of Homeland Security:DHS)、財務省、復員軍人省、厚生省、及び、人事局(Office of Personnel Management)が管理するバックエンド・システムには、国民のデータ及び政府機能に係る機密情報が含まれていることから、連邦政府のモバイルデバイス利用に関するセキュリティ面での懸念が指摘されてきた。

こうした懸念に応え、DHSは本年4月、 『モバイルデバイスのセキュリティ研究(Study on Mobile Device Security)』と題する報告書を発表した。この中で、連邦政府のモバイルデバイス利用に対する脅威はモバイル・エコシステムの隅々にまで存在することを指摘し、デスクトップ型ワークステーション用に開発された防護策とは異なるセキュリティ対策が必要であると結論づけている。

DHSでは、政府のモバイルデバイス利用増大に伴うセキュリティニーズの高まりに応え、科学技術局(Science and Technology Directorate)のサイバーセキュリティ部に、モバイル・セキュリティR&Dプログラムを設置。モバイルデバイスのセキュリティ、モバイルアプリケーションのセキュリティ、及びモバイルネットワークのインフラストラクチャーという3分野で研究開発を実施している。

ここでは、上述したDHSの報告書、及び、科学技術局のモバイルアプリケーション・セキュリティR&Dプロジェクトで選定されたプロジェクト5件の概要を報告する。

 

1. 国土安全保障省が発表した報告書 『モバイルデバイスのセキュリティ研究』 の概要

DHSの報告書 『モバイルデバイスのセキュリティ研究(Study on Mobile Device Security)』 は、2015年12月18日にオバマ大統領の署名をもって成立した「2015年サイバーセキュリティ法」の第401条[1]に準拠して作成されたもので、連邦政府のモバイルデバイス利用に対する脅威は現実問題であり、モバイルデバイスには、デスクトップ型ワークステーション用に開発された防護策とは異なるセキュリティ対策が必要であると結論づけている。

同報告書は、米国政府及びモバイル・エコシステム全体のモバイルデバイス利用に係る懸念分野を、(i) モバイルデバイスのテクノロジースタック(モバイルデバイス用OS、及び、下位レイヤーのモバイルデバイス部品等)、(ii) モバイルアプリケーション、(iii) ネットワーク(セルラー方式、Wi-Fi、ブルートゥース等)及び通信事業者提供のサービス、(iv) モバイルデバイスへの物理的アクセス、(v) エンタープライズ・モバイルのサービス及びインフラ(モバイルデバイス管理、エンタープライズ・モバイルアプリ・ストア、及び、モバイルアプリ管理等)に分類。DHSは、こうした確認課題に対応し、政府のモバイル技術利用に係るセキュリティを強化するため、以下を提案している。

  • 「連邦情報セキュリティ近代化法(Federal Information Security Modernization Act:FISMA)」のメトリクスを強化し、連邦情報統括官協議会(Federal CIO Council)のモバイル技術タイガーチームによる、モバイルデバイスの安全確保に重点をおく。
  • DHSのNPPD(National Protection and Programs Directorate)が定義する重要インフラに、モバイルネットワーク用インフラを含める。
  • HSARPA(Homeland Security Advanced Research Projects Agency)のサイバーセキュリティ課は、政府が安心してモバイルアプリケーションを利用できるよう、モバイルアプリケーション・セキュリティR&Dプロジェクトを継続する。
  • モバイルネットワーク・インフラの安全確保及びモバイル技術に係る現行または新たな課題に対応するDHS応用R&Dプログラム、マルウェアプログラム及び脆弱性に対応する高度な防衛型セキュリティツール及び方策を開発するプログラム等の新規重要研究プログラムに着手する。
  • 連邦政府は、リスクに対する理解を深め、コンセンサスに基づく基準・ベストプラクティスの開発を支援するため、Third Generation Partnership Project及びGlobal System for Mobile Alliance等の主要なモバイル・セキュリティ関連標準化団体及び産業団体の活動に積極的に参加する。
  • NISTは引き続き、『モバイル端末への脅威目録(Mobile Threat Catalogue)』草案を作成する。
  • 連邦政府は、必要に応じて、米国外での政府モバイルデバイス利用に係る政策及び手続を策定または強化する。

同報告書では、懸念分野の一つであるモバイルアプリケーションに関して、モバイルソフトウェアの脆弱性の例を挙げているほか、連邦政府が採用すべきベストプラクティス及び基準を提言している。

  • モバイルソフトウェア脆弱性の例
    • セキュアでないネットワーク通信
    • セキュアでないファイルパーミッションで保存したファイル
    • システムログに書き込まれた機密情報
    • ウェブブラウザーの脆弱性
    • サードパーティーライブラリーの脆弱性
    • 暗号化の脆弱性
  • 連邦政府が採用すべきベストプラクティス及び標準
    • アプリ検証プロセスを定義するNISTの「SP 800-163」
    • デジタルサービス諮問員会の情報統括官協議会(CIO Council)策定の「連邦政府による商用モバイルアプリの導入」
    • モバイルデバイスに保存された健康医療電子記録(Electronic Health Records)の安全確保に係る、NIST NCCoE(National Cybersecurity Center of Excellence)の「SP 1800-1プラクティスガイド」
    • 公共安全のためのモバイルアプリ検証サービスを研究するNISTの「8136」
    • NIST NCCoEの「公共安全及びファーストレスポンダーのためのモバイルアプリケーション・シングルサインオン(Mobile Application Single Sign-On for Public Safety and First Responders)」
    • OWASP(Open Web Application Security Project)の「モバイル・セキュリティ・プロジェクト」
    • クラウドセキュリティ同盟の「モバイルアプリのセキュリティ実験イニシアティブ」

 

2. DHS科学技術局のモバイルアプリ・セキュリティR&Dプロジェクトで選定されたプロジェクト

同報告書に関連して、DHSの科学技術局(Science and Technology Directorate:S&T)は本年9月6日、連邦政府向けモバイルアプリのセキュアな利用を強化するプロジェクト5件に、総額860万ドルの助成金を授与すると発表した。

2016年5月に新規で立ち上げられたモバイルアプリケーション・セキュリティ(Mobile Application Security: MAP)R&Dプロジェクトは、モバイルアプリの不断の検証と脅威の検出・阻止、及び、モバイルアプリのライフサイクルを網羅する総合的なセキュリティに重点を置くと同時に、DHS他の連邦政府省庁、及び、企業組織が安心して利用できるモバイルアプリの開発を可能にするセキュリティ枠組みと統合モデルの開発を行う。

今回選定されたプロジェクト5件の概要は以下の通り。

  • Qualcomm Technologies社(カリフォルニア州サンディエゴ)に約3万ドル
    • 商用技術を活用・統合して、モバイルデバイスで使用するモバイルアプリ・セキュリティのアンカーの役割を果たす可能性があるプラットフォームを実証するプロジェクトで、モバイルデバイスからAPI(アプリケーション・プログラミング・インターフェース)を通って、サードパーティーライブラリー及びサードパーティーサービスまでを継続的に監視するMCGSL(Mission-Critical-Grade Security Layer)の実証を含む
    • 自社製のSnapdragonプラットフォームを幅広く利用する可能性を実証することが目的
  • Lookout社(カリフォルニア州サンフランシスコ)に180万ドル
    • 脅威・リスク・脆弱性を検出・阻止する新たな能力をモバイルデバイスに組込み、クラウドベースの自社製Mobile Endpoint Securityプラットフォーム[2]の既存能力を強化するプロジェクト
    • 疑わしいアプリの視覚化、サイドローディングでインストールされたアプリ及びネットワークベースの脅威の検出、モバイルデバイス及びモバイルアプリの脆弱性の検知と管理、認証局の信用確認システム(Certificate Authority reputation system)、を強化
    • 改善・強化されたプラットフォームを、iOS及びアンドロイドOSの双方に適用
  • United Technologies Researcher Center(コネチカット州イーストハートフォード)に約4万ドル
    • モバイルデバイス-クラウドのハイブリッド環境で作動する、COMBAT(Continuous Monitoring of Behavior to protect devices from evolving mobile Application Threats) と呼ばれるモバイルアプリ・セキュリティ・システムを開発するプロジェクト
    • COMBATは、多様な情報源と人工知能(AI)を活用して、悪質なアプリ及び脆弱なアプリを正確かつ効率的に検出するほか、既定環境におけるアプリのリスクを評価し、詳細なリスク評価報告書を作成
    • アンドロイド・デバイスでCOMBATを実証
  • Apcerto社(バージニア州アッシュバーン)に約3万ドル
    • 所定の基準に基づいてアプリケーションの標準化・査定評価を行う方法、及び、モバイルアプリのセキュリティプロセス全体を統合する枠組みを研究・開発するプロジェクト
    • 同社が開発するプラットフォームは、アプリケーションをリアルタイムで既知の有害アプリと比較するほか、国家情報保証パートナーシップ(National Information Assurance Partnership:NIAP)、OWASP、HIPAA(Health Insurance Portability and Accountability Act、Sarbanes-Oxley法等のベースライン基準とも照合
  • Red Hat社(ノースカロライナ州ローリー)とKryptowire社(バージニア州フェアファックス)に約3万ドル
    • アンドロイド及びiOSのアプリケーション用に、アプリケーション開発ライフサイクル全体を通じて、自動的にセキュリティ及びプライバシーの遵守確認を行なうプラットフォームを開発するプロジェクト。自動的な遵守確認には、Kryptowire社のモバイルアプリ検査機能を活用
    • DHS他連邦政府省庁における端末間モバイルのセキュリティを改善する市販の解決策を生み出すことを目的として、Red Hat社製Mobile Application Platformのプロセス用に、Krysptowire社のモバイルアプリ認証プラットフォームを最適化

 

[1] DHS長官に対して、同法の施行後1年以内に、国立標準規格技術研究所(NIST)の協力を得て、連邦政府のモバイルデバイス利用に係る脅威に関する調査を完了し、議会へ報告書を提出するよう義務付けた条項。

[2] 同助成契約は、Mobile Endpoint Securityのユーザーラインセンス2,500件の購入も含む。

調査レポート

NEDO本部
Focus NEDO
NEDO Channel
PAGETOP
Copyright © NEDO Washington DC Office All Rights Reserved.