MobileIron、「アプリセキュリティの現状」についてホワイトペーパーを発表

AsiaNet 62310

～統計データでブラックリスト上位にあがるコンシューマー用アプリを公表～

～調査対象企業の10分の1が、セキュリティが侵害されたデバイスによる企業データへのアクセスを1回以上経験～

モバイルアイアン・ジャパン, 2015年11月5日 /PRNewswire/ -- エンタープライズ・モビリティー管理（EMM）のリーダーであるMobileIron,Inc.,（本社：米国カリフォルニア州マウンテンビュー、CEO：Bob Tinker、以下MobileIron）は本日、企業によるモバイルアプリの利用と保護の状況を含む「アプリセキュリティの現状」に関する新たな統計資料を発表しました。従業員が業務にスマートフォンやタブレットを使用するようになったことで、モバイルアプリは今や重要なビジネスツールとなっています。今回の調査では、XcodeGhost、Stagefright、Key Raider、YiSpecterといった最新のモバイル攻撃により、従来にない大量のビジネスデータがリスクにさらされていることがわかりました。

ロゴ - http://photos.prnewswire.com/prnh/20140923/147891

MobileIronのセキュリティ調査担当ディレクターであるマイク・ラッゴは次のように述べています。「ビジネスプロセスのモバイル化に伴い、ハッカーは企業がモバイルの脅威を防護・検出できないことを理解しており、モバイルアプリをターゲットにしています。企業が将来的な脅威から機密データを保護するには、根本的に異なったモバイルアーキテクチャを対象としてセキュリティアプローチを再考する必要があります。」

・企業のモバイル脅威対策に関するホワイトペーパーはこちらからダウンロードできます。

https://www.mobileiron.com/ja/whitepaper/state-of-app-security

MobileIronウェビナーにご参加ください（太平洋時間11月4日午前10時、英語）。以下のリンクからご登録いただけます。

https://info.mobileiron.com/Top5WaystoProtectMobileEnterpriseData_regpage.html

モバイルアプリの台頭

モビリティ改革は、中核的なビジネスプロセスのモバイル化によってのみ実現します。サードパーティアプリの豊かなエコシステムは、即戦力となる強力なモバイルツールを企業に提供します。

現在MobileIronの顧客企業の中で、現在最も使用されているサードパーティアプリとしては次のようなものが挙げられます。

1. Salesforce

2. GoodReader

3. Microsoft Officeスイート

4. Cisco AnyConnect

5. Box

6. Cisco WebEx

7. Skype for Business

8. Googleドキュメント

9. Evernote

10. Xora Mobile Worker

さらに、MobileIronの顧客企業では従業員用に社内開発した300,000件以上のアプリを使用していることがわかりました。

ブラックリスト上位のコンシューマーアプリ

従業員が、自分の使用する企業向けファイル同期・共有アプリ（EFSS）上に社内文書を保存し、機密性の高い社内データをIT部門の保護範囲外へ持ち出す可能性があります。MobileIronの顧客企業において、ブラックリストに登録されているコンシューマーアプリ上位10件のうち5件がEFSSアプリです。

1. Dropbox（EFSS）

2. Angry Birds

3. Facebook

4. OneDrive（EFSS）

5. Googleドライブ（EFSS）

6. Box（EFSS）

7. WhatsApp

8. Twitter

9. Skype

10. SugarSync（EFSS）

ラッゴは次のように述べています。「IT部門は、消費者版のEFSSアプリによる社内データの流出を恐れています。幸いなことに、これらのアプリの多くは、エンタープライズ版も用意されています。企業は、社内データを保護しつつ、従業員が望むような体験を提供することができますが、それには、制約からイネーブルメントへと考え方を変える必要があります。」

モバイルアプリのリスク

今後、業務のモバイル化が進むにつれ、データ侵害やサイバー犯罪も増加が予想されます。モバイルアプリやオペレーティングシステムから機密データを盗む最近の攻撃事例では、多くの企業がまだ対策を講じていませんでした。たとえば、XcodeGhostマルウェアに感染したiOSアプリは、デバイスに関する情報を収集し、そのデータを暗号化して攻撃者が運用するサーバーにアップロードすることができます。マルウェア検出を専門とするFireEyeは、App Store上で4,000件以上の感染アプリを特定しています。またモバイルアプリのリスク管理を行う企業Appthorityは、iOSデバイスを100台以上保有する企業のほとんどに、感染したデバイスが1台以上見つかっていると報告しています。

モバイルデバイスとアプリに関する難点は、IT管理者ではなくユーザーがおおむね管理しているという点です。デバイスはさまざまな理由でコンプライアンス違反となります。たとえば、ユーザーがデバイスをジェイルブレイクやルート化した場合、デバイスがIT部門のサポート対象外となった旧バージョンのオペレーティングシステムを利用している場合、あるいはユーザーがIT部門によってブラックリストに登録されているアプリをインストールした場合などです。MobileIronの調査結果では以下の通りです：

・調査対象企業の10分の1が、セキュリティが侵害されたデバイスによる自社データへのアクセスを1回以上経験しています。

・調査対象企業の53%が、会社のセキュリティポリシーに違反したデバイスを1台以上保有しています。

従来のセキュリティ技術では、こういったシナリオにおいて企業データを保護するために必要な対策を実行できません。しかしMobileIronなら可能になります。デバイスがコンプライアンス違反となったとき、MobileIronはユーザーへのアラート送信、デバイスおよびアプリからの社内リソースへのアクセスの遮断、あるいはすべての業務メールやアプリのワイプなど、企業情報を保護するための対策を自動的に実行します。

ラッゴは以下のように述べています。「現在の組織では、多種多様なセキュリティ技術が、十分に統合されない状態で混在しています。統合されていたとしても、モバイルデバイスやアプリに関する情報はめったに盛り込まれていません。しかし、幸運なことにエンタープライズモビリティ管理(EMM)ソリューションを利用している企業は、企業の情報を保護するために肝心なモバイルデバイスやアプリの状態に関する情報を把握することができます。」

デバイスのコンプライアンス違反の主原因

MobileIronのようなエンタープライズモビリティ管理（EMM）ソリューションを利用している企業は、適切な従業員が適切なデバイスからの適切なアクセス権を持つということを確実にするためのポリシーを設定できます。IT管理者がデバイスの隔離を自動化しなければ、デバイスがコンプライアンス違反となった時点で社内データはリスクにさらされる恐れがあります。

デバイスが会社のポリシーに対するコンプライアンス違反となる主な要因として、次の項目が挙げられます。

・デバイスがEMMプラットフォームの接続圏外にある。

・管理が無効化されているため、EMMソリューションがデバイスに対するリモート操作を実行できない。

・デバイスが特定のアプリをブロック、要求または許可するルールを遵守していない。

モバイルセキュリティの再考が必要

サイバー攻撃者がモバイルマルウェアを利用して機密性の高い社内データを盗みだそうとしている中、企業は情報漏洩防止ソリューションをセキュリティ戦略の一部とみなす必要があります。たった1台のセキュリティ侵害でも、企業に多大な被害をもたらすことがあります。

ラッゴは次のように述べています。「モバイルデバイスに対応していない旧式のセキュリティ技術に頼る企業や、ActiveSyncのみでモバイルデバイスを管理している企業は、セキュリティ侵害に対して非常に脆弱です。EMMソリューションを利用すれば、危険なアプリやふるまいを検出する機能、デバイスの隔離、およびセレクティブワイプの実行など、プロアクティブ／リアクティブな対策を複数活用することができます。」

■MobileIronについて

MobileIronは世界中の企業のモバイルファーストを実現する基盤を提供しています。詳細は以下のウェブサイトをご覧ください。

http://www.mobileiron.com/ja

問い合わせ先: モバイルアイアン・ジャパン, 広報担当：中村 03-6205-3425, japan@mobileiron.com, モバイルアイアン 広報担当, 株式会社井之上パブリックリレーションズ 横田、塚田, 03-5269-2301, mobileiron@inoue-pr.com

（日本語リリース：クライアント提供）

One in Ten Enterprises Have at Least One Compromised Device

PR62310

MOUNTAIN VIEW, Calif., Nov. 5, 2015 /PRNewswire=KYODO JBN/ --

     -- MobileIron "State of App Security" Data Also Reveals List of Top

                         Blacklisted Consumer Apps

   As employees choose smartphones and tablets to do work, mobile apps become

critical business tools. With recent mobile attacks such as XcodeGhost,

Stagefright, Key Raider, and YiSpecter, an unprecedented amount of mobile

business data has been put at risk. MobileIron today released new statistics on

the "State of App Security," including insights about how companies are using

and protecting mobile apps.

   Logo - http://photos.prnewswire.com/prnh/20140923/147891

   "As more business processes are mobilized, hackers look to mobile apps to

capitalize on enterprises' inability to prevent and detect mobile threats,"

said Mike Raggo, Director of Security Research at MobileIron. "To protect

sensitive data against the threats of tomorrow, enterprises need to rethink

their security approach for a fundamentally different mobile architecture."

    -- Read the white paper (

https://www.mobileiron.com/en/whitepaper/state-of-app-security )

       to learn more about how enterprises can combat mobile threats.

    -- Register here (

https://info.mobileiron.com/Top5WaystoProtectMobileEnterpriseData_regpage.html)

       to join MobileIron for a webinar on November 4 at 10:00 AM PT.

   Apps are gaining ground

   The transformative power of mobility can only be realized by mobilizing core

business processes. Rich ecosystems of third-party apps provide enterprises

with powerful mobile tools that work out of the box.

   The top third-party apps that are currently deployable across MobileIron's

customer base include:

    1. Salesforce

    2. Goodreader

    3. Microsoft Office Suite

    4. Cisco AnyConnect

    5. Box

    6. Cisco Webex

    7. Skype for Business

    8. Google Docs

    9. Evernote

    10. Xora Mobile Worker

   MobileIron customers have also deployed more than 300,000 apps that were

built in-house for employee use.

   Top blacklisted consumer apps

   Employees may store corporate documents on personal Enterprise File Sync and

Sharing (EFSS) apps, putting sensitive corporate data outside of IT's

protection. Five of the top ten consumer apps that are blacklisted by

MobileIron customers are EFSS apps.

    1. Dropbox (EFSS)

    2. Angry Birds

    3. Facebook

    4. OneDrive (EFSS)

    5. Google Drive (EFSS)

    6. Box (EFSS)

    7. Whatsapp

    8. Twitter

    9. Skype

    10. SugarSync (EFSS)

   "Consumer versions of EFSS apps frighten IT departments because corporate

data can wander away. Fortunately, enterprise versions of many of these apps

are available," said Raggo. "Enterprises can give their employees the

experience they want while protecting corporate data, but it requires a mindset

shift from one of restriction to one of enablement."

   Mobile apps are at risk

   As the future of work evolves toward mobility, so will the future of data

breaches and cybercrime. Recent attacks targeted mobile apps and operating

systems to exfiltrate sensitive data, and many enterprises were unprepared. For

example, iOS apps that are infected with XcodeGhost malware can collect

information about devices and then encrypt and upload that data to servers run

by attackers. Malware detection company FireEye identified more than 4,000

infected apps on the App Store and mobile app risk management company

Appthority found that almost every organization with at least 100 iOS devices

had at least one infected device.

   The challenge with mobile devices and apps is that the user -- and not the

IT administrator -- is generally in control. Devices fall out of compliance for

a variety of reasons. For example, a device will fall out of compliance if the

user jailbreaks or roots their device, if the device is running an old version

of the operating system that IT is no longer supporting, or if the user

installed an app that IT has blacklisted. MobileIron has found that:

    -- One in 10 enterprises has at least one compromised device accessing

       enterprise data.

    -- More than 53% of enterprises have at least one device that is not in

       compliance with corporate security policies.

   In these scenarios, traditional security technologies can't take the

necessary actions to protect corporate data, but MobileIron can. When a device

falls out of compliance, MobileIron automatically takes actions to protect

corporate information, such as sending an alert to the user, blocking the

device and apps from accessing corporate resources, or even wiping all

corporate email and apps.

   "Today's organizations have far too many disparate security technologies

that are rarely fully integrated with each other. Even when integrated, they

rarely include information about mobile devices and apps," Raggo continued.

"The good news for companies using an enterprise mobility management solution

is that they have the information they need about the state of mobile devices

and apps to protect corporate information."

   Top reasons devices fall out of compliance

   Businesses that use enterprise mobility management (EMM) solutions like

MobileIron can set policies to ensure that the right employees have the right

mobile access from the right device. If IT administrators don't automate the

quarantining of devices when they fall out of compliance, corporate data can be

put at risk.

   These are the top reasons that devices fall out of compliance with corporate

policies:

    -- Device is out of contact with the EMM platform.

    -- Administration has been deactivated so that the EMM solution can no

       longer take remote action on a device.

    -- Device is not in compliance with rules that either block, require, or

       allow a particular app.

   Time to rethink mobile security

   With cyber attackers using mobile malware to steal sensitive corporate data,

enterprises should consider data loss protection solutions as part of their

security strategies. Even one compromised device can make businesses vulnerable

to costly attacks.

   "Companies that rely on legacy security technologies without a presence on a

mobile device or those that only use ActiveSync to manage mobile devices are

very vulnerable to breach," said Raggo. "Companies using an EMM solution can

rely on several proactive and reactive countermeasures, including the ability

to detect risky apps and behaviors, quarantine devices, and perform selective

wipes, among others."

   About MobileIron

   MobileIron provides the secure foundation for companies around the world to

transform into Mobile First organizations. For more information, please visit:

http://www.mobileiron.com.

    SOURCE: MobileIron

   CONTACT: Sara Day

            MobileIron

            sara@mobileiron.com

            +1-650-336-3123