モバイル コンピューティングは、パーソナル コンピューターとそのインフラストラクチャから、緩やかに接続されたプラットフォームからなる非常に大規模で柔軟なネットワークへのパラダイム シフトです。
新しいプラットフォーム、オペレーティング システム、アプリケーション (アプリ) があり、古い問題に対するエキサイティングな新しいアプローチがあります。パラダイムシフトが勢いを増すにつれて、テクノロジーの適用範囲は、テクノロジーの設計時には考慮されていなかった領域にまで拡大しています。デバイスの使いやすさ、手頃な価格、アクセシビリティがデバイスの使用を決定するため、リスク軽減要件は無視される傾向があります。ユーザーは自分の情報のリスクについて世間知らずであることが多く、潜在的な危険性についてあまり考慮せずに使用の利点を享受しています。
ユーザーの識別と認証を必要としないモバイル デバイスは、匿名ユーザーとみなされます。
匿名性が問題となるのは、ユーザーのアクションに対する責任を強制したり、以前に許可されたアクセスに基づいてリソースへのアクセスを仲介したりすることができないためです。事実上、すべてのモバイル デバイス資産は、デバイスへの物理的なアクセスのみに基づいて、匿名ユーザーが利用できるようになります。モバイル対応アプリケーションが電子商取引トランザクションを含めたり、プライバシー関連データを管理したりするように拡大するにつれて、可用性が重要になります。
アプリケーションの透明性が問題であり、機密情報を保存するアプリケーションは、情報を発信したユーザーの認識や同意なしに、第三者と共有される情報を中間ファイルに保存していることが判明しています。
コンピューティング技術におけるパラダイムの変化は、その受け入れを複雑にしたり遅らせたりする問題を無視する傾向があり、その一例が情報セキュリティです。クライアント/サーバーおよびワイヤレス ネットワーキングへの移行により、保護要件が未解決のままになり、深刻な問題が発生する期間が発生しました。モバイル コンピューティングも同様の道をたどっており、古い教訓を無視しても重要性が薄れるわけではなく、学び直す必要があるというだけです。現時点では、防御策は十分に理解されているため、安全な解決策への道は、過去の経験が示すほど苦痛を伴うものである必要はありません。
前世代の保護対策をバイパスすることで、プラットフォームに具体的なメリットがもたらされます。
管理が大幅に簡素化され、重大な処理やその他のオーバーヘッドが排除され、パフォーマンスが向上します。ユーザーのイライラに関連する対策が排除され、ユーザー エクスペリエンスと満足度が向上し、受け入れられやすくなります。
モバイル デバイスは通信の多くをインターネットに依存しており、インターネット セッションの盗聴やハイジャックはよく知られており、データを盗むために実行される一般的な攻撃であり、この手段を使用すれば暗号化によってこの攻撃を打ち破ることができます。通信の信頼性は、時間に敏感なアプリケーションが収益を生み出すトランザクションを完了し、さまざまなアクティビティに対して満足のいくユーザー エクスペリエンスを提供するために通信の信頼性に依存しているため、重要な問題です。私たちは不在着信の問題を急速に解決しつつあります。
共通の保護手段の欠如は重要な問題であり、ずっと前に最小限に抑えられていたと考えられていたリスクが増大しています。窃盗者が本来の目的でデバイスを使用できるようにするデバイスの盗難は、特定のデータにアクセスする目的での盗難に取って代わられており、通常は、他の盗んだデータとパッケージにして、不純な動機を持つ顧客に販売します。スパマーに販売するためにメーリング リストを盗むことは、大規模な詐欺や個人情報の盗難を目的としてデータを盗むことと比較すると迷惑です。
企業は、アプリケーションに関する洞察をほとんどまたはまったく持たない現在および潜在的な顧客にアプリケーションを提供しており、プロバイダーの要件セットや懸念事項の範囲外にあるデータ セキュリティ要件を満たすためにプロバイダーに依存しています。プロバイダーの期待がビジネスクリティカルなレベルに進化するにつれ、プロバイダーにとって顧客の期待に応えることの重要性が増し、要件が複雑化し、ますます高度なアプリケーションが求められるようになります。
企業はまた、デバイスによって処理、保存、送信される企業データについて真剣に考慮せずに、従業員が生産性ツールとしてモバイル デバイスを利用できるようにしています。
モバイル コンピューティング プラットフォームの構成管理は、よく言っても非公式です。
アプリケーションに簡単にアクセスできると、新しいアプリケーションが導入されるたびにリスクが生じます。奨励的ではないにしても、プラットフォームで機密情報の使用を許可すると、その情報はほとんど定義されておらず、ほとんど理解されていない、侵害、完全性の喪失、および可用性の喪失といった一連のリスクにさらされることになります。
トランザクションと支払い情報を管理する電子商取引アプリケーションは、Payment Card Industry Data Security Standard (PCI DSS) の対象となります。ホスト モバイル デバイスが基本的な保護手段を提供していない場合、DSS に準拠する可能性は低く、いくつかの深刻な問題が生じます。次世代のトランザクション処理アプリケーションに関連する情報の価値は増大しており、最も価値の高い資産を盗むための高度な攻撃の実行が奨励されています。
私たちは依然として、モバイル デバイスをターゲットとした悪意のある活動の初期段階にいます。最近、大規模な移動標的攻撃が少なくとも 1 件発生しましたが、テクノロジーの利用が拡大し、攻撃戦略が完成するにつれて、より高度な攻撃が行われる可能性があります。マルウェアを使用した攻撃は引き続き発生していますが、悪用可能なアルゴリズムの脆弱性が認識されていないこと以外、攻撃の発生に対する重大な技術的障害はないようです。
ビジネスクリティカルなアプリケーションをサポートするアーキテクチャにモバイル コンピューティングを統合することは、依然として未開発の機会です。
これがいつまで真実であるかは深刻な問題であり、デスクトップ PC の置き換えにはやむを得ない経済的推進力があり、それは必然です。モバイル アプリケーションをサーバーにリンクすることは、すでに実験的に行われています。これにより、タブレットやその他の進化するモバイル デバイスのリスクが大幅に高まります。堅牢なソリューションに対する企業の要件は、従来の保護ニーズの解決に立ち戻り、メッセージングや電子商取引を超えてプラットフォームのアプリケーションを安全に拡張できるようにするというプレッシャーをテクノロジープロバイダーに課すことになります。
モバイル コンピューティング テクノロジが大規模アプリケーションで「ゴールデンタイムに対応できる」かどうかは、まだわかりません。明らかに、アプリケーション開発者やアーキテクトは、法定のプライバシー要件への準拠や、あまり正式ではないユーザー機密保持の期待に関して、多くの教訓を学ぶ必要があります。技術的な障害として解釈される可能性のある問題に対する早期導入者の寛容性は、ユーザー数が多く企業の収益が大きい運用環境では存在しそうにありません。
モバイル コンピューティングは初期段階にあり、プラットフォーム間で保存および送信される情報プロセスに対する有意義な保護手段が欠如していることが深刻な懸念事項です。テクノロジーのユーザーやプロバイダーによるリスクを考慮せずに新しいアプリケーションにテクノロジーを使用すると、よく考えられて実行された攻撃によって潜在的な損害が発生する可能性と範囲が増大します。ベルが鳴りました、授業中です。