あれこれブログ

2023/2/13　　スマホアプリのIT2社の寡占状態とセキュリティ

2023/2/10　　ポジティブな情報セキュリティアクション

スマホアプリのIT2社の寡占状態とセキュリティ

2023/2/13koyano

スマートフォンはパソコンに比べ、マルウェアに感染しにくい／されにくいとされ、そのためアンチウィルスソフトを導入する必要もないとの意見がネットに多くある。

その理由として、

ü  アプリの動作領域はサンドボックス構造になっている

ü  公式なストアからアプリをインストールする

がある。

特に後者の公式なストアに関しては、アップルはアップストアの厳格なセキュリティ審査を受けた後のアプリがインストールされるので、マルウェアは入り込む余地はないと言われている。(グーグルはグーグルプレイからだが、セキュリティ面ではアップストアよりも審査が軽いと言われ、また他のストアからも設定によってインストール可能としている)

 

それを推奨する例として、独立行政法人情報処理推進機構(IPA)セキュリティセンターが公表している「情報セキュリティ １０大脅威２０２２（個人）」のスマートフォンのマルウェアに対する予防対策によれば、

ü  アプリは公式マーケットから入手

ü  アプリインストール時のアクセス権限の確認

ü  アプリインストールに関する設定に注意

ü  不要なアプリをインストールしない

があり、公式マーケットから入手(グーグルはグーグルプレイから、アップルはアップストアからインストール)が推奨されている。つまり、それ以外サイトからはインストールするなということだ。

 

さて問題はここから、

 

公正取引委員会は、2023年2月9日に調査結果を発表し、スマートフォンの中核サービスがグーグルとアップルの2社に握られ、健全な競争が阻害されているという。

0Sのシェアで、グーグルのアンドロイド51.2%、アップルのIOS44.6%で、利用者は新たなアプリを、グーグルはグーグルプレイから、アップルはアップストアからインストールすることになる。

公正取引委員会は、アプリ事業者への高額な手数料や自社アプリの優遇は独占禁止法上、問題になる恐れがあると指摘した。アプリ事業者などが公正な条件で競争できればサービスの質の向上や価格低減につながる可能性がある。政府は欧州などの状況をみながら法整備に踏み切るか判断するとしている。

 

このように、グーグルプレイやアップストアのセキュリティ審査がなされていない、第三のストアからアプリがインストールされると、いくらサンドボックス構造でもマルウェア感染が高くなるのではないだろうか。どんな方向に進むのか、注目したい。

以上

 

ポジティブな情報セキュリティアクション

2023/2/10koyano

情報セキュリティに関係する本や記事を読んだり、講演や講座を聞いたりすることで情報セキュリティのリテラシーが向上するのは確かです。そしてそれはセキュリティ対策を実施する原動力になっています。

一例として、毎年、独立行政法人情報処理推進機構(IPA)から発表される「 情報セキュリティ １０大脅威２０２×」があります。こんな脅威があるのだから、あなたはや御社はしっかりと対策をしなくてはなりませんよ、となる訳です。確かに、情報セキュリティのリテラシーの向上がこの事例学習によってなされている訳です。

 

≪脅威(=ネガティブリスク)が起こるかもしれないから対策を打つ≫これリスク・マネジメントの基本です。セキュリティ対策は大方この論理で推進されます。

 

会社、役所や団体という組織では、事業継続性を確保したいので、かなりこの論理で対策をするのではないでしょうか。

しかし、個人や個人事業ではこの論理でどれだけ、お金を使い、時間を使い、手を動かすでしょうか。

ü  めんどうくさい～

ü  今やることあるの、後でね

ü  私、被害に合う確率低いから

 どうも、これらやらない理由を打ち負かすポジティブな動機付けが欲しいところです。

 

 

DOJIN選書　「サイバーリスクの脅威に備える」　松浦幹太 著 P162に以下の文章がありました。

 

ユーザによる感謝とリスペクト

　サイバーセキュリティ全般の課題として、安全のために取り組むことがコストや負担と見なされがちで、積極的に取り組ませる動機付けが難しいという課題があります。たとえば地球環境問題対策や社会福祉に積極的な企業を支援する購買行動や融資支援のように、サイバーセキュリティにしっかり取り組んでいる企業に感謝し、その企業をリスペットし、評価し支持するような行動を消費者や社会がとれば、サイバーセキュリティを高める動機付けを支援する基盤的な効果が期待できます。　　　一部省略

　インシデントが報道された結果、問題の企業の株価が下がったり消費者が離れたりしてダメージが与えられた、という例は数多くあります。大変重い事実ですが、ネガティブなストーリーとしいえます。しかし、動機付け支援を真に根付かせるためには、ポジティブなストーリーを生む感謝とリスベクトも必要です。

この感謝とリスペクトは、実は、企業だけでなく、個人に対しても向けらめるべきものです。しかも、倫理や道徳の観点だけでなく、利害得失の観点でもサポートされる考え方です。

　　　　省略

かりに支援する行動を今すぐ十分とることはできなくとも、サイバーセキュリティに積極的に組めば感謝されリスペクトされるという認識を確立し広めることが、強く望まれます。

 

本のタイトルは「サイバーリスクの脅威に備える」で、≪脅威(=ネガティブリスク)が起こるかもしれないから対策を打つ≫のことですが、引用した文章は≪好機(=ポジティブリスク)が有るかもしれないから対策を打つ≫の重要性を言っています。

これもまたリスク・マネジメントの基本です。

 

中小企業にとっては、ポジティブなストーリーを生む感謝とリスベクトで、IPAが提唱する活動「SECURITY ACTIONとは？」はポジティブリスクの活用ではないでしょうか。

  

では個人レベルのポジティブなストーリーを生む感謝とリスベクトとは、何なのか。今明確に言えないのでみんなで議論したいところです。

以上