モバイルデバイスの開発・設計とセキュリティの強化

この記事をシェア

スマートフォンをはじめとしたモバイル製品は、21世紀に入って以来、目覚ましく開発が進み、日常生活に豊かさをもたらした。しかし一方では、サイバー犯罪が激化し、被害リスクも高まっている。利用者による対策以前に、製品開発や設計時における抜本的対策が強く望まれる。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

モバイルデバイスの開発・設計とセキュリティの強化

セキュリティはめったに市場のペースでは動かない。製品出荷をマーケティングの締め切りに合わせることはあっても、セキュリティの締め切りに合わせることはない。どうやらセキュリティは新機能の開発に比べて考慮されにくい費用のようだ。これは今や、モバイルデバイスの開発サイクルの速度が速まっていることよりも明らかである。このペースが遅くなることはない。勝者はユーザーの手元に数百万ものデバイスを送り込む一方で、敗者は薄い利幅をすぐに失い、適切なセキュリティに資金を投じるだけの利益も見込めないのが現状である。

セキュリティの優先順位が低くなっている理由は簡単だ。生存競争の問題である。

だが、文化の問題でもある。有能なマーケティング担当者は、カーネル(*)の最適化より、多くの資金調達を促す傾向にある。カーネルを適切に設定することは、製品の堅牢性と安全性をさらに強化するが、他方、開発チームはその性能を深いレベルで理解しなければならないし、より重要なことに、マーケティングの文脈でそれを説明できなければならない。だが実際のところ、なかなかそういう人物は、いるものではない。

* 編集部注 ハードウェアとアプリケーションをつなぐ、OSの中核部分。

一度製品が飽和した流通市場であれば、この件について触れないままにするかもしれない。少なくとも製造業者はハードウェアの出荷前に時間も資金も尽きてしまうので、発売後に行うソフトウェアやファームウェアのアップデートをなるべく急いで投入することによって対処しようとするだろう。だがこれでは、消費者がベータテストの被験者になり、初期のベータテスターがアルファ版のコードを「本当に」テストしていることになってしまう。

これが、現在の数百万台のモバイルデバイスの状況である。しかし、変化の兆しもある。今、「ハッキング」すなわち、善意の第三者が脆弱性やプログラムエラーなどを調べ上げ、開発元にその情報を提供することがメインストリームとなりつつある。そのため、堅牢なセキュリティのための予算の獲得を正当化することも、数年前と比べると比較的容易になっている。より多くの消費者は、しっかりとパッケージ化された商品を提供することを販売側に強く求めているからだ。つまり、資金調達のサイクルの中でセキュリティが問われるようになっており、さらにはそれよりも早い時期に専用の予算さえ組まれ始めているのである。

一方、市場においては、製品開発と安全性を高めようとプログラムを組むスタッフの間にはギャップがまだある。資金は開発サイクルの中で、目の前の内部セキュリティ予算に早々と転換されてしまうことも多い。

そして、今日では、セキュリティに関する定期的なアップデートサイクルを推進することも、これまで荒波にもまれてきた数多くの企業から多くのヒントが提供されることも一般的になってきた。このように、幾つかの課題がすり抜けてしまっても、適切なタイミングで問題解決が行われ、消費者保護が進んでいると言えるだろう。

過去数年間でコード分析ツールは格段に堅牢となり、使いやすくなった。その結果として、テストによってカバーされる範囲はより広くなり、開発者たちの間でコードの安全性が高まっていることを保証するのも簡単になっている。

そして一方、ソフトウェア開発の手法をめぐる絶え間ない激しい争いが続いており、多くの企業の悩みはモバイル空間から生じている。過去には開発サイクルは、ケーブルテレビのセットボックスから信号コントローラーまで、それぞれ独自のやり方がとられてきたが、モバイルデバイスの完全な開発サイクルはそうではない。現在では事情が変わり、何が機能するのか、そしてなぜ機能するのかという、いくらかの経験についての知見がチーム内にある。

状況は改善している。今ではモバイル空間について多くのことを知っており、全てを再発明する必要がない。プラットフォームはある程度安定しており、対抗して開発しなければならない対象も限られている。5つのプラットフォームというよりも、1つか2つに絞られつつあり、市場で成功するなら、ただ1つのプラットフォームを販売するだけでも十分なのである。

ゆっくりと、モバイルデバイスのセキュリティは改善し続けている。場合によっては、うまく攻撃をかわすこともある。そして、セキュリティ予算の需要への意識の増大とともに、マネジメント層もこうした考えを受け入れるかもしれない。一方で、消費者が市場でより良いセキュリティを要望し続ければ(そしてベンダーがその声を聞き続ければ)、さらに安全性は高まるはずである。

この記事をシェア

スマートフォンのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!