最新のモバイルアプリのセキュリティとアプリ内保護:ガートナーマーケットガイドから学ぶ

Samuel Bakken, 2019年7月30日

2018年、モバイルマルウェア攻撃はほぼ倍増および携帯電話アカウントの乗っ取り 79%増加 。消費者はモバイルデバイスやアプリを介してより多くの日常的なタスクを実行するため、モバイルチャネルは犯罪者にとってより食欲をそそるターゲットになっています。

モバイルの脅威の普及と高度化に伴い、より多くの金融サービス、小売、メディアの組織がモバイルアプリを装備して、アプリのセキュリティ技術で身を守っています。今月初めに公開された「アプリ内保護のマーケットガイド」で、ガートナーは「自己防衛型アプリケーションが重要になった」と述べています。このガイドには、アプリ内保護ソリューションに関する豊富な情報と、セキュリティおよびリスク管理の専門家向けの推奨事項、機能と機能の比較、OneSpanを含む19の代表的なベンダーに関する記事が含まれています。これは、モバイルアプリの防御を強化することを検討しているすべての組織にとって素晴らしいリソースです。

モバイルアプリ内保護とは何ですか?

アプリ内保護ソリューションは、再パッケージング、マルウェア、スクリプトインジェクション、クリプトジャッキング、SMSグラビングなど、さまざまなモバイルの脅威に対する耐性を高めるためにアプリ内に実装されるテクノロジーです。

モバイルアプリは、さまざまなセキュリティレベルの信頼できないさまざまなモバイルデバイス上で実行されるため、アプリ内保護の優れたユースケースです。ガートナーは以下のことを推奨しています。

「信頼されていない環境内で実行され、ソフトウェアロジックをフロントエンドに移動する重要かつ高価値のアプリケーションには、アプリ内保護を選択してください。最も一般的な使用例は、モバイルアプリ、単一ページのWebアプリ(特に消費者向けのアプリ)、および接続されたデバイス上のソフトウェアです。」

モバイルアプリのセキュリティ進化:アプリの強化と改ざんを超えるアプリ内保護

モバイルの脅威の増加を目の当たりにして、ガートナーのクライアントは、過去1年間、より包括的なアプリセキュリティ機能のセットを求めてきました。それに応えて、ガートナーはレポートの範囲を拡大し、多要素認証、ランタイムアプリケーション自己保護(RASP)、リスク分析などの機能を含めました。それ以来、彼らはカテゴリーを「アプリ内保護」に改名しました。
ガートナーは、アプリ内保護機能を防止、検出、および「その他」の機能に分類します。これらの多くは、今年のガイドで新しく追加されました。

  • 防止:機能の強化
    ガートナーは、予防機能について次のように説明しています。
    「防止機能はアプリケーションの強化とも呼ばれます。これらは、攻撃者が攻撃を実行するために必要な労力のレベルを増加させる受動的で思いとどまらせる手段と考えることができます。防止機能は主に、さまざまなコードの難読化とホワイトボックス化技術で構成されています。」
  • 検出:改ざん防止機能
    ガートナーは、検出機能について次のように説明しています。
    「検出機能は、アプリの周囲の環境(デバイスやサーバーなど)の偵察に焦点を当て、この環境が信頼できるかどうかを判断します。」
  • その他の機能
    ガートナーには、他の機能の例として次のものが含まれています。
    • アンチボット
    • クリックジャッキング
    • ランタイムアプリケーション自己保護(RASP)
    • 多要素/帯域外(OOB)認証
    • リスク分析

最新のモバイルアプリセキュリティプログラムでアプリ内保護が重要なのはなぜですか?

ここでの真の議論は、スピードと専門知識に帰着します。アプリ内保護は、開発者と共有できる一連のツールであるため、セキュリティと認証の機能をモバイルアプリにすばやく統合できます。に Sonatypeの2019 DevSecOpsコミュニティ調査 DevOps、開発、セキュリティに関わる5,558名の専門家のうち、47%の回答者がアプリケーションを週に複数回展開していると報告しています。このリリースの増加の傾向は、回答者の48%に貢献した可能性があり、開発者はセキュリティが重要であると信じているが、それに費やす時間は十分ではないと述べています。

モバイルアプリの開発者がセキュリティのための時間を持っていたとしても、より大きな課題は、適切に行われるようにすることです。昨年発行された研究では、 70のAndroid開発者の78% 現実的な難読化タスクを完了することができませんでした。ここでの私のポイントは、開発者を非難することではありません(モバイルアプリのセキュリティプログラムを改善するための手段を提供しません)。ほとんどのモバイル開発者は、AndroidおよびiOS開発の専門家であり、より優れた機能をより迅速に作成することをビジネスに推進しています。通常、アプリのセキュリティの専門家ではありません。開発者は正しいことをしたいのですが、モバイルアプリのセキュリティテストツールやアプリ内保護など、セキュリティをより効率的かつ効果的にする安全なコードトレーニングやツールなどの教育が必要です。

たとえば、世界最大の銀行の1つが数千のモバイルアプリを公開し、継続的に更新していますが、社内で開発者の時間や専門知識を見つけることができず、標準に準拠したレベルのセキュリティを提供できませんでした。彼らはOneSpanに来て、競争力を維持するために確立した展開頻度に影響を与えずにモバイルアプリのセキュリティを向上させるのに役立つソリューションを探しました。彼らは、OneSpanのアプリ内保護機能を選択して、アプリのセキュリティを自分では不可能だと報告しているレベルまで強化しました。

レポートへの対応

ガートナーのマーケットガイドの範囲の拡大を称賛します。モバイルアプリを保護し、ユーザーを不正行為から保護するために、さらに多くのことが必要です。拡張されたスコープは、OneSpanが当社のモバイルセキュリティスイート創業以来、モバイルバンキングアプリを保護するための完全なツールキット。当初から、静的および動的なセキュリティ技術と認証機能の完全なセットを提供するために、Mobile Security Suiteを構築してきました。これらの機能により、開発者は、実績のある信頼できるセキュリティおよび認証機能をAndroidおよびiOSアプリにネイティブに簡単に統合できます。

 

Gartner、アプリ内保護のマーケットガイド、2019年7月3日、Manjunath Bhat、Dionisio Zumerle

ガートナーは、研究出版物に記載されているベンダー、製品、またはサービスを推奨しておらず、最高の評価またはその他の指定を持つベンダーのみを選択するようにテクノロジーユーザーにアドバイスしていません。ガートナーの研究出版物は、ガートナーの研究組織の意見で構成されており、事実を表明するものではありません。ガートナーは、この調査に関して、商品性または特定の目的への適合性の保証を含む、明示的または黙示的なすべての保証を否認します。

 

 

サムは、OneSpanモバイルアプリのセキュリティポートフォリオを担当するシニアプロダクトマーケティングマネージャーであり、情報セキュリティの分野で10年近くの経験があります。