詳細情報:
外部クライアントアプリケーション: モバイルアプリケーション設定: モバイル画面ロック
このコントロールでは、ユーザーがモバイルアプリケーションまたはデバイス環境にアクセスする前に正常に検証される必要がある PIN、パスワード、生体認証要素などの必須認証メカニズムを適用します。
コントロール名
外部クライアントアプリケーション: モバイルアプリケーション設定: 画面ロック - 選択
推奨設定
画面ロック - 選択します。
制御の概要
このコントロールでは、ユーザーがモバイルアプリケーションまたはデバイス環境にアクセスする前に正常に検証される必要がある PIN、パスワード、生体認証要素などの必須認証メカニズムを適用します。
設定されていない場合のセキュリティリスク
画面ロックがない場合、デバイスへの物理的なアクセス権を持つ未承認のユーザーはローカル認証をスキップし、機密アプリケーションデータと認証済みセッションにすぐにアクセスできます。
脅威のシナリオ
脅威アクターは、紛失または盗難に遭ったデバイスを悪用して、モバイルアプリケーションにアクセスし、キャッシュされたデータの窃取、不正なトランザクションの実行、ラテラル移動のためのセッショントークンの収集を行う可能性があります。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
潜在的な影響には、個人識別情報 (PII) の不正な開示、知的財産の損失、保存データの保護の失敗に起因する規制違反などがあります。
より高いリスク
アプリケーションが機密性の高いログイン情報をローカルにキャッシュする場合、有効期間の長いセッショントークンを保持する場合、またはデバイスの交換が頻繁に行われる盗難の多い環境で操作する場合。
低リスク
アプリケーションで短いセッションタイムアウトを使用している場合、独自のアプリケーションレベルの再認証を適用する場合、またはデバイスが OS ロックとは独立してデータを暗号化する Sandbox で管理されている場合。
ビジネスと統合に関する考慮事項
実装では、デバイスのコンプライアンスを確認するためにモバイルデバイス管理 (MDM) ポリシーまたはローカル API コールとの統合が必要になる場合があり、ユーザーの円滑な動作やレガシーハードウェアのサポートオーバーヘッドに影響する可能性があります。
推奨される修復
システムレベルの画面ロックが有効として検証されていない限り、オペレーティングシステムのセキュリティ状況を照会し、アプリケーションインターフェースへのアクセスを制限するようにモバイルアプリケーションを設定します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
ユーザー認証が成功して暗号鍵が解放されるまで、ローカルデータが暗号化され、アクセスできないようにして、モバイルセキュリティ体制を最小権限の原則に合わせます。
