強く推奨されるモバイルアプリケーションセキュリティコントロール

コントロール名

強く推奨されるモバイルアプリケーションセキュリティコントロール

推奨設定

• 認証サーバー証明書の固定 - [有効] を選択します。
• Resource Certificate Pinning (リソース証明書の固定) - [Active (有効)] を選択します。
• デバイスパスコードが必要 - [有効] と重要度レベルを選択します。
• Block 3D Touch - [有効] を選択します。
• マイクロホンをブロック - [有効] を選択します。
• カメラをブロック - [有効] を選択します。
• 取引先責任者をブロック - [有効] を選択します。
• ブロックカレンダー - [有効] を選択します。
• Mobile Browser URI Scheme (モバイルブラウザーの URI スキーム) - [有効] を選択し、値を指定します。
• [電話アプリケーションハンドラー] - [有効] を選択して値を指定します。
• Block Screenshot (スクリーンショットをブロック) - [有効] を選択します。
• メールを記録 - [有効] を選択します。
• Log Phone Call (通話を記録) - [有効] を選択します。
• SMS を記録 - [有効] を選択します。
• カスタムキーボードをブロック - [有効] を選択します。
• 厳格なデータ漏洩保護コントロールの有効化 - [有効] を選択

制御の概要

この制御セットでは、暗号化証明書の固定、ローカルデバイスの認証、および不正なデータの持ち出しを防止するためのハードウェアレベルの厳しい制限を義務付けることで、強化されたモバイル環境が適用されます。

設定されていない場合のセキュリティリスク

これらのポリシーがないと、モバイルデバイスが紛失したり、盗難にあったり、悪意のあるサードパーティアプリケーションによって侵害されたりした場合に、傍受されたネットワークトラフィックやローカルデータの盗難によって中間者攻撃に対して脆弱になります。

脅威のシナリオ

攻撃者は侵害されたワイヤレスネットワークを使用して固定されていないアプリケーショントラフィックを傍受したり、不正なカスタムキーボードを悪用してモバイルインターフェースから直接機密キーストロークやログイン情報を記録したりします。

推定 CVSS スコア範囲

高 (7.0 ～ 8.9)。

リスクの影響に関する考慮事項

これらの保護がない場合、暗号化されたトラフィックの傍受、ローカルデバイスセキュリティのバイパス、カメラ、マイク、クリップボードなどのハードウェア機能を介した企業データの不正な転送が可能になります。

より高いリスク

従業員は、個人の未管理デバイスを使用して、機密性の高い顧客情報にアクセスしたり、モバイルアプリケーションを脅威度の高いパブリックネットワーク環境で使用したりします。

低リスク

モバイルデバイスが、システム全体の暗号化とリモート消去機能を適用する堅牢なエンタープライズモビリティ管理ソリューションですでに管理されている場合。

ビジネスと統合に関する考慮事項

これらの厳格な制御を実装すると、コピーペーストやサードパーティのキーボードなどの一般的な機能が無効になり、ユーザーエクスペリエンスに影響する可能性があるため、派遣作業員向けの特別なトレーニングが必要になる可能性があります。

推奨される修復

[設定] の [モバイルセキュリティ] セクションに移動し、モバイルアプリケーションの証明書の固定、デバイスパスコード、およびデータ漏洩保護に関する特定のポリシー (ブロックコントロールなど) を有効化します。必要に応じて、必要なアクションに適した重要度レベル (critical、error、warning、info など) を選択します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

セキュリティ状態レビューでは、モバイルアプリケーションの使用事例に応じてこれらのポリシーを強く推奨します。これらの制御は、基盤となるデバイスの健全性やネットワークの整合性に関係なく、アプリケーションのセキュリティを維持するのに役立ちます。