サードパーティのモバイルアプリのリスクレーティングを決定する方法
企業の携帯電話とタブレットを展開した後、MDMを導入してアプリをすべてのユーザーに一元的に展開し、デバイスが紛失した場合などにリモートワイプを実行できます。ただし、デバイスを実際のものにする必要があります。ユーザーが自分の裁量でアプリをインストールできるようにする必要があるユーザーにも使用できます。 MDMソフトウェアを使用してどのアプリがインストールされているかを監視することはできますが、企業データに潜在的に高いリスクが存在する場合、どのアプリを特定するのかという現実的な方法はありません。
ほとんどのアプリでは、確認するのが非常に困難です。
データがアプリベンダーが管理するサーバーの「クラウド」にリモートで保存されているかどうか、またはすべてのデータがデバイス自体に保存されているかどうか。
送受信されたデータが、SSLの既知の安全な実装を使用して、デバイスとリモートロケーション間で安全に送信されるかどうか。
データがリモートで保存または処理される地理的な場所とホスティング会社、およびデータセキュリティ、地域の法的規制、積極的な執行などの既知の評判。
アプリが実際に会社によって公開されているかどうかは、アプリが公開されていると言います。
どの会社がソースコードを書いたか、そして安全な開発とテストに対する彼らの評判は?
サードパーティのセキュリティ会社がアプリをすでに分析し、特定の評価またはレビューを与えているかどうか。
ユーザーがモバイルアプリを使用できるようにし、アプリパブリッシャーがこの種の情報を漏らすことは非常にまれです。
一例を挙げると、名刺スキャンアプリは、EU圏外にある中東のサーバーにデータを保存し、特定の状況では英国のデータ保護法で違法に使用し、ビジネスの連絡先に使用されている場合、これは、さまざまな法律が適用される地域の当局による競争情報に使用できます。
ソフトウェアをリバースエンジニアリングすることはしばしば合法ではありませんが、出くわすすべてのアプリに対してこれを行う時間が本当に誰にもあるとは思えないため、当て推量のみに基づいていない現実的なアプローチが必要です。
サードパーティのアプリのあらゆる種類のアプリ保証チェックを提供するホステッドサービスやアプリ、またはこの種の情報を含む検索可能なデータベースを知っている人はいますか?テクノロジーを採用し、優れたアプリを本物のビジネス目的で使用したいと考えていますが、法律や契約コンプライアンスなどの範囲内でそうすることを保証する必要があります。他の情報セキュリティ専門家はこの問題にどのように取り組んでいますか?
私の部署では、モバイルデバイスのセキュリティに携わっており、あなたが求めていることだけを実行する製品を調査しました。
私がよく知っている製品は、FireEye Mobile Threat Preventionです。 https://www.fireeye.com/products/mobile-threat-protection-mobile-security-products.html
この脅威防止システムのいくつかの機能を体験しました。 MDM管理対象デバイスにインストールされているアプリをスキャンする機能があり、アプリに「FireEye脅威スコア」を付与します。
このスコアは、アプリケーションがモバイルデバイス上でどのように機能するか、モバイルデバイスの暗号化の安全性などを分析した結果です。環境内の特定のアプリに存在する脆弱性を説明するのに非常に役立ちます。
これは、スキャンおよびインデックス作成されたアプリに適用されるだけでなく、組織に固有の新しいアプリをスキャンし、脅威の評価を提供します。
実装を検討しているアプリでこの製品をテストしました。レポートでは、アプリに関する次の情報について5ページのレポートが提供されました。
- アプリケーションコード(弱点に関する詳細情報がアプリケーションコードに含まれていました)
- システム(アプリが電話OSとどのように相互作用するかに関する情報)
- 電話(アプリがアクセスする必要のある電話機能に関する情報)
- 位置(アプリが使用する位置情報サービスに関する情報)
- 設定(アプリで変更できる電話の設定)
- インターネット(インターネット設定またはアプリが呼び出す)
- 個人データ(アプリに含まれる可能性のある個人データ)
- ファイルシステム(このアプリが行う電話のファイルシステムの変更)