サイバーセキュリティ最前線:スマホ&IoT対策 ―セキュリティフォーラム2025を開催―
2025年2月18日、中央大学後楽園キャンパスにて『セキュリティフォーラム2025』が開催されました。本フォーラムは、NISC(内閣官房内閣サイバーセキュリティセンター)が推進するサイバーセキュリティ月間の関連行事として、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)、一般社団法人セキュアIoTプラットフォーム協議会(SIOTP協議会)、中央大学研究開発機構「新常態環境下の情報セキュリティに関する総合的研究」ユニットの共催により、スマートフォンとIoT機器の安全性とプライバシー保護をテーマに実施されました。
各省庁やセキュリティの有識者による講演や各部会・ワーキンググループの成果発表が行われ、スマートフォン利用者情報の適切な取扱いやIoT機器のセキュリティ適合性評価制度などの最新の取り組みが共有されました。また、参加者同士の交流会も実施されるなど、安心・安全なデジタル社会の実現に向けた貴重な機会となりました。
以下に、各セッションの概要を紹介します。
フィッシング&フェイクの脅威と対策—実体験に基づく解説ガイド
JSSECは、スマートフォンとタブレットが社会との接点となる現代において、利用者視点に立ったサイバーセキュリティの啓発活動を続けています。今回は、その活動報告とともに、新たにリリースされた「フィッシングとフェイクの解説ガイド」についてJSSEC 利用部会 部会長 松下 綾子 氏が紹介しました。
スマートフォンとサイバー脅威
スマートフォンは「小さなパソコン」として、日常的に利用されるデバイスです。特にコロナ禍以降、オンラインでのやり取りが増えたことを受け、スマートフォンを狙ったサイバー攻撃が急増しました。こうした背景のもと、JSSECは利用部会を中心に、スマートフォン利用者の視点に立ったガイドラインやチェックシートを作成し、セキュリティ対策強化の必要について啓発しています。
フィッシングとフェイクの現状
近年、特に注目されているのが「フィッシング」と「フェイク」です。ワークショップでは、参加者からスマートフォン利用時に直面する脅威が議論され、その結果を基に「スマートフォン利用シーンに潜む脅威TOP 10」を作成しました。ここでは、以下のような最新の脅威が挙げられました。
・スミッシング詐欺
・なりすまし契約とアカウント搾取
・ディープフェイク
・不正通販サイト
・検索エンジンの汚染
特に、10代など若い世代が被害に遭うケースも増えており、技術の進化に伴う新たな課題が浮き彫りになっています。
解説ガイドのリリース
これらの脅威に対応するため、JSSECは1年半にわたりワークショップを重ね、「フィッシング・スミッシング メール対策ガイド」と「フェイクニュース・ディープフェイクの対策ガイド」を作成しました。このガイドは、以下のポイントに重点を置いています。
1.被害に遭わないための対策
・不審なSMSの特徴と見分け方
・本物そっくりな偽サイトの確認方法
2.被害にあったときの対応策
・情報流出時の初期対応
・関係機関への連絡先
また、具体的な事例を交えながら、実際の被害者がどのように気づき、どう行動したかを解説しています。重要なのは、技術的に100%防ぐことは難しいものの、正しい知識を持ち冷静に対応することで被害を最小限に抑えられるという点です。
今後の取り組み
JSSEC 利用部会では、今後もワークショップを継続し、最新の脅威を取り入れた解説ガイドの改訂を行う予定です。また、外部機関やメディアとも連携し、利用者がサイバーセキュリティから身を守るための啓発活動を強化していきます。
スマートフォンが日常生活に欠かせない今だからこそ、一人ひとりがセキュリティ意識を高めることが求められています。このガイドを活用し、最新の脅威に備えていきましょう。
モバイルセキュリティの最前線—脅威のトレンドと対策の進化
スマートフォンの普及により、サイバー脅威の対象が広がり、攻撃手法も進化を続けています。JSSEC 技術部会 部会長 仲上 竜太 氏からは最新の脅威トレンドと、それに対する対策について発表されました。
モバイル脅威の現状
スマートフォンは私たちの日常生活に深く根付いており、サイバー犯罪者にとって格好の標的となっています。特に近年では、モバイルを介した詐欺や不正アクセスが増加しており、「IPA 情報セキュリティ10大脅威2025」でもその危険性が指摘されています。
代表的な脅威として以下のものが挙げられました:
- スミッシング
- 不正アプリの拡散
- セッションIDの窃取
- サプライチェーン攻撃
これらの攻撃は、利用者が意識しないうちに起こるため、予防策と迅速な対応が重要です。
アプリ開発者に求められるセキュリティ対策
アプリケーション開発者には、ただ便利な機能を提供するだけでなく、セキュリティリスクを考慮した設計が求められます。
JSSECでは、「モバイルアプリケーション開発 10大チェックポイント2023」を公開し、特に以下のポイントを強調しています:
- 認証情報の適切な管理
- クラウドサービスのシークレットキーをハードコードしない。
- データ保存の安全性確保
- パスワードやセッションIDは暗号化して保存。
- サプライチェーンの監視強化
- SBOM(ソフトウェア部品表)を活用し、使用するオープンソースに脆弱性がないか確認。
また、2024年に1月にOWASP Mobile Top 10が更新され、JSSECのワーキンググループが検討した内容も反映されています。これにより、開発者は常に最新の基準に基づいて、安全なアプリ設計が可能です。
利用者が取るべき行動
一方、アプリの利用者も自分自身を守る意識が不可欠です。具体的には以下の行動が推奨されました。
- 入れない:意図しないアプリのダウンロード画面が表示された場合「キャンセル・拒否」
- 見ない:操作していないのにSMSなどで認証や確認メッセージが来ても、そのURLを見ない
- 騙されない:まっとうな企業を装ってあの手この手で騙しにくることを知っておく
企業向けには、MDM(モバイルデバイス管理)やEMM(エンタープライズモビリティ管理)を導入し、業務端末にインストールできるアプリを制限することが推奨されました。
今後の展望
JSSEC 技術部会では、今後も「Androidアプリのセキュア設計・セキュアコーディングガイド」の更新を通じて、最新の脅威に対応したアプリ開発のベストプラクティスを提供していきます。また、総務省や経済産業省、メタバース推進協議会とも連携し、スマートフォンセキュリティに関する政策提言を行う予定です。
スマートフォンが便利になる一方で、脅威も巧妙化しています。開発者、企業、利用者がそれぞれの役割を認識し、協力してセキュリティを強化することが、これからのデジタル社会において不可欠です。
Androidアプリのセキュア設計とプライベートスペースの課題
プライバシーとセキュリティを両立する新機能の可能性と懸念
JSSEC 技術部会では、Androidアプリのセキュア設計およびセキュアコーディングに関する最新ガイドを発表しました。2024年10月にリリースされたAndroid15で特に注目を集めたのが「プライベートスペース」という新機能で、仕事用とプライベート用のアプリを一台のスマホ上で安全に管理する革新的な仕組みです。JSSEC 技術部会 セキュアコーディングWGリーダー 宮崎 力 氏の発表からその便利さと潜在的なリスクに迫ります。
セキュア設計・セキュアコーディングガイドの概要
本ガイドは2012年に初版が発行され、2025年1月に最新の第16版が公開されました。Android15のリリースに伴い、最新のセキュリティおよびプライバシー機能が反映されています。
ガイドでは、アプリ開発者が考慮すべきセキュア設計やコーディングのノウハウを網羅しており、主に以下の点が強調されています:
- 認証情報の管理:APIキーやクラウドサービスの認証情報をハードコードしない。
- データの暗号化:パスワードやセッションIDは暗号化して保存。
- 通知の制御:プライベートスペースでは通知が制限される可能性を考慮。
- アプリの分離と停止:プライベートスペースではロック時にアプリが完全に停止する仕様に対応。
また、従来のJavaからKotlinへの移行も推奨され、より簡潔で安全なコードが書けることが強調されました。
プライベートスペースとは?
Android15に追加されたプライベートスペースは、スマートフォン内に仕事用とプライベート用の環境を分けることができる機能です。プライベートスペースにインストールされたアプリは以下の特徴を持ちます:
- メインスペースからは非表示:プライベートスペースのアプリは、メインのアプリ一覧には表示されません。
- 通知の無効化:プライベートスペースをロックすると、アプリの通知は飛ばず、設定画面からも非表示になります。
この機能により、1台のスマホで仕事とプライベートを分けられるメリットがある一方、いくつかの懸念事項も挙げられました。
プライベートスペースがもたらす課題
- 隠ぺい性のリスク:プライベートスペースは存在自体を隠すことが可能であり、正当な理由で利用される一方、不適切な用途にも悪用される可能性がある。
- セキュリティの二重構造:アンロックには指紋認証やPINコード入力など、追加の認証が必要。
3. 企業管理との衝突:MDM(モバイルデバイス管理)で管理されている端末では、プライベートスペースにインストールされたアプリが検出できない場合がある。これにより、企業ポリシーと機能が衝突する可能性がある。
4. 医療アプリへの影響:特に懸念されるのは医療アプリへの影響です。プライベートスペースがロックされると通知が無効化されるため、血糖値の記録など重要なリマインダーが表示されなくなる事態が起こり得る。
開発者への提言
これらの課題を踏まえ、開発者は以下の点に注意する必要があります:
- インストール環境の確認:アプリがどちらのスペースにインストールされているかを確認する手段は現状提供されていないが、初回起動時に警告メッセージを表示するなどの対策が求められる。
- 通知に関する考慮:医療アプリなど重要な通知を行うアプリは、プライベートスペースへのインストールを推奨しない旨を明示することが重要。
- セキュア設計の徹底:プライベートスペースの仕様を理解し、データの分離、通知の制御、追加認証への対応などを含めたアプリ設計を行う。
今後の展望
セキュアコーディングガイドは今後もアップデートが続けられ、古い技術の排除(Android7以前の技術は削除予定)などが進められます。また、開発者にとってはKotlin(コトリン: Androidアプリ開発を目的としてJavaを改良して開発されたプログラミング言語)の活用、最新のセキュリティ対策の導入が鍵となります。
プライベートスペースの登場により、開発者は従来のアプリ設計以上に、環境依存の挙動やセキュリティリスクを考慮する必要があります。今後もJSSECのガイドラインを活用し、安全なモバイルアプリの開発を目指していきましょう。
学生のスマホ利用傾向とセキュリティ啓発活動
セキュリティかるたで学ぶ、安全なスマホの使い方
JSSEC啓発事業部会では、学生を対象としたスマートフォン利用傾向の調査と、セキュリティ啓発活動を行っています。最新の調査結果と、遊びながら学べる「スマートフォンセキュリティかるた」の取り組みを、JSSEC 啓発事業部会 部会長 藤平 武巳 氏から紹介されました。
学生のスマホ利用傾向
JSSECが行った最新の調査によると、学生のスマホ利用には以下の傾向が見られました。
- SNSの活用
テキスト投稿が主流で、写真や動画の投稿は年齢が上がるほど増加傾向にあります。 - ネット上の出会い
SNSで知り合った人と連絡を取り合うケースは一定数あり、男性より女性の方がリアルで会う率が高いことが分かりました。 - 個人情報の扱い
自分や友人の個人情報には気を付けるものの、友達が自分の個人情報を出さないようにすることに対する意識は低い傾向が見られます。 - セキュリティ対策
約7割がスマホのセキュリティ対策に自信がないと回答しており、パスワードの使い回しも依然として問題となっています。
セキュリティかるたで学ぶ
こうした現状を受け、JSSEC啓発事業部会では「スマートフォン・セキュリティかるた」を通じた啓発活動を強化しています。セキュリティかるたは、遊びながら以下のスキルを育むことを目的としています。
- 危険を察知する力
SNSなどのリスクに気付き、トラブルを未然に防ぐ - 協力して解決する力
一人で抱え込まず、友達や大人と一緒に解決策を考える - 主体的に考える力
ルールを学び、自分自身で安全な行動を選択する
学校や教育現場での活用
セキュリティかるたは、教育機関に無料で配布され、すでに32校で導入されています。また、教員向けに解説動画も公開されており、専門知識がない先生でも簡単に活用できます。
今後も、JSSEC 啓発事業部会はスマホの安全利用を促進し、次世代のデジタルリテラシー向上を目指した取り組みを続けていきます。
スマホは便利なツールである一方、適切に使わなければ思わぬトラブルを招くこともあります。学びを深めることで、より安全で楽しいスマホライフを送りましょう。
データセキュリティに対する仕様検討部会の取り組み
進化するIoTセキュリティデータの保護と管理の最前線
SIOTP協議会 仕様検討部会は、IoTに求められるセキュリティ要件を実装レベルの仕様書に落とし込み活動を行っています。特に本年度はIoT機器によって収集されるデータのセキュリティ対策を強化するための研究を行っています。仕様検討部会のこれまでの活動と、最新のWhite Paperに基づくデータセキュリティの重要性についてSIOTP協議会 事務局長 白水 公康 氏より紹介されました。
これまでの活動概要
仕様検討部会は、2021年度にIoTセキュリティ手引書を発行し、IoT機器のライフサイクル(企画・設計・製造・量産・販売・設置・廃棄)に沿ったセキュリティ対策をまとめました。この手引書は、チップ製造業者からクラウドサービス提供者まで、幅広い業界の専門家の意見を反映しています。
2022〜2023年度には、IoTセキュリティ手引書 小型機器編を発行。特に小型IoT機器に焦点を当て、実際のデバイス仕様書を分析した上で、より実践的なガイドラインへと進化させました。これにより、各業界での偏りを減らし、セキュリティ対策を現場に即したものにしています。
最新の取り組み:データセキュリティとWhite Paper
現在、仕様検討部会はデータセキュリティに焦点を当てたWhite Paperを作成しています。これは、データのライフサイクルに基づき、セキュリティ対策を次の6つのフェーズに分類して検討するものです。
- 生成・取得:デバイスがデータを収集する段階
- 加工・利用:データを処理し、分析する段階
- 移転・提供:データをクラウドや他のシステムへ転送する段階
- 保管:データをデバイス内または外部ストレージに保存する段階
- 廃棄:不要になったデータを安全に消去する段階
このWhite Paperでは、国際的な基準にもとづいたアプローチが取られています。特に参考にしているのは、以下の規格です。
- IEC62443:産業システムにおけるセキュリティ規格
- NIST SP800-171:米国政府が発行したデータ保護に関するガイドライン
- NIST SP1800シリーズ:データセキュリティ強化に関するベストプラクティス
データセキュリティの3本柱「CIA」
White Paperでは、データセキュリティの基本概念として、次のCIA(機密性・完全性・可用性)モデルを採用しています。
- 機密性(Confidentiality):個人情報や機密情報へのアクセス制限
- 完全性(Integrity):データの改ざん防止と真正性の確保
- 可用性(Availability):必要なときにデータへアクセスできる環境の維持
これらのバランスを保つことで、データが外部攻撃や内部不正から保護される仕組みを構築しています。
今後の展望
SIOTP協議会 仕様検討部会では、データセキュリティの向上を目指し、データマネージメントフレームワークの策定を進めています。また、クラウドサービスなどの関連システムも含めた包括的なセキュリティ戦略を検討しています。
2025年には、最新のデータセキュリティガイドラインを盛り込んだ新たなWhite Paperを発表する予定です。
IoT時代において、デバイスだけでなくデータそのものを守ることが、今後ますます重要になります。今後の仕様検討部会の活動にぜひご注目ください。
IoT標準化の最前線—標準化部会の取り組み
産業機器にも広がるIoTセキュリティ認証と今後の展望
SIOTP協議会 標準化部会は、IoTセキュリティの標準化と認証制度の強化に取り組んでいます。標準化部会の最新の取り組みと今後の展望について、SIOTP協議会 標準化部会 座長 山澤 昌夫 氏、副座長 松本 義和 氏より紹介されました。
標準化部会の役割と目的
標準化部会では、一般社団法人組込みシステム技術協会(JASA)と連携し、仕様検討部会で作成する「IoTセキュリティ手引書」を基準とした認証制度の構築に取り組んでいます。この認証制度は、IEC62443など国際標準を参照し、産業機器を中心にSIOTP協議会/JASAが考えるIoTセキュリティの3つポイントに絞り込んで、その安全性を確認するものです。
・安全な鍵管理による真正性の担保と識別
・鍵を起点としたライフサイクル管理
・セキュアアップデートの仕組みの提供
将来的には経済産業省の推進するJC-STAR制度との連携も視野に入れて準備をすすめています。
認証制度の拡大と実地検証
現在、標準化部会は認証プログラムの強化に向けた2つのステップに注力しています。
- 実地検証のテストベッド構築
実際の産業機器を用いたセキュリティテスト環境を整備し、認証プロセスの透明性を高める。 - 協力企業の募集
認証テストに協力する企業を募り、産業機器のライフサイクル全体にわたるセキュリティ評価を実施。
これにより、IoTセキュリティの標準化を産業機器まで広げ、より現実的な認証制度の実現を目指しています。
国際的な動向と標準化の最前線
標準化部会では、国際的な動向も注視しています。特に次の3つのキーワードが今後の焦点となっています。
- NISTサイバーセキュリティフレームワーク(CSF)2.0
- アメリカ国立標準技術研究所(NIST)が発表したセキュリティフレームワークの新バージョン。
- サイバーレジリエンス(事故後の復旧力)を重視し、産業界の実装を後押し。
- CMMC(サイバーセキュリティ成熟度モデル認証)2.0
- アメリカ政府が推進するサプライチェーンのセキュリティ強化策。
- IEC62443と直接連動はしていないが、共通点も多く、日本でも準拠する動きが出ている。
- IEC62443の最新ドラフト
- 新しいバージョンのIEC62443が発表され、産業機器への適用範囲が拡大。
これら国際的な基準を踏まえ、標準化部会では日本の産業界に合った認証制度の運用方法を検討しています。
今後の展望
SIOTP協議会 標準化部会は今後、認証制度の運用と見直しを推進するために、部会活動メンバーを増やし、実効性を高める活動を展開して行く予定です。
IoTセキュリティの未来は、産業機器への認証制度拡大と国際基準への準拠によって、さらに進化していきます。標準化部会の活動に引き続きご注目ください。
パーソナルデータの未来—PDS部会の挑戦
個人データを自分で守る時代—新しいデータ管理の形
SIOTP協議会 PDS(パーソナルデータストア)部会は、個人が自身のデータを安全に管理し、活用するための仕組みを検討しています。PDS部会の取り組みと、今後のパーソナルデータ管理の未来について、SIOTP協議会 事務局長 白水 公康 氏より紹介されました。
PDSとは?
PDS(パーソナルデータストア)とは、自分自身が保有する個人データを、自身の意思で管理・共有できるプラットフォームです。これにより、自身で所有するデータを、安全に第三者(医師、薬剤師、理学療養士、医療機関、介護サービス事業者など)と情報を共有することができます。
PDSは、次のような3つの柱を中心に検討されています。
- データの所有と管理
- 個人が自身のデータ(健康情報、位置情報など)を安全に保管。
- データの共有とアクセス管理
- 本人同意のもと、第三者へデータを提供。
- プライバシー保護
- 無断アクセスを防ぎ、データ漏洩のリスクを最小化。
AALとの連携とユースケース
PDS部会では、特に高齢者支援の分野である「Active Assisted Living(AAL)」との連携を重視しています。
ユースケースとして、以下のシナリオが検討されています。
- 健康データの取得と共有
- 高齢者が薬局から貸し出されたウェアラブルセンサを装着して健康管理のために生体情報(血圧、心拍数など)を取得。
- データはPDSに保存され、本人の同意を得て医師や薬剤師に共有される。
- 医療サービスの連携
- 医師が健康管理レポートを作成。
- 本人が薬を取りに来た際に、レポートを受け取って管理薬剤師からアドバイスを貰う。
- 本人同意プロセスの確立
- 情報共有時には必ず利用者が同意を確認。
- 各事業者がデータへのアクセス権限を明確に管理。
今後の展望
SIOTP協議会 PDS部会は、以下の2つの目標に向けた活動を進めています。
- 国際標準化への対応
セキュアなPDSに求められる技術要件の検討と国際標準化を目指す。 - センサーデータストアサービスセキュリティガイドラインの策定
健康・AALサービス事業者向けに、安全なデータの保存・共有方法を明文化。
個人データを自分で管理し、安心して共有する時代が始まっています。
位置情報の未来—位置情報部会の取り組み
位置情報のセキュリティとその可能性—正確なデータを守るために
SIOTP協議会 位置情報部会は、位置情報データのセキュリティ強化とその活用の可能性について議論を深めています。位置情報部会の最新の取り組みと今後の方向性について、SIOTP協議会 位置情報部会 副座長 藤田 智明 氏より紹介されました。
位置情報とセキュリティの課題
位置情報データは、スマートフォン、ドローン、自動運転車両など幅広い分野で活用されていますが、その正確性と安全性がますます重要視されています。特に次のような脅威が指摘されています。
- スプーフィング(Spoofing)攻撃
偽のGPS信号を発信して位置情報を偽装する手口。ドローンや無人車両が誤作動する危険性がある。 - ジャミング(Jamming)攻撃
GPS信号を妨害して、位置情報を取得できなくする行為。 - アプリケーション改ざん
位置情報アプリを改ざんして、位置を偽装する不正行為。
最新の取り組み
位置情報部会では、次の3つの方向性で活動を進めています。
- スプーフィング対策の強化
日本の測位衛星「みちびき」による信号認証サービスを活用し、位置情報の信頼性を向上。 - ドローンのセキュリティ向上
セキュアドローン協議会と連携し、ドローンセキュリティガイドラインにスプーフィング対策を追加。 - 産業応用の実証実験の検証
インドネシアでの位置情報を活用した高速道路料金システムなど産業活用の事例をもとに、セキュリティリスクを検証。
今後の展望
SIOTP協議会 位置情報部会は、以下の目標を掲げています。
- 産業界との連携強化
保険、金融、交通など多分野と協力し、位置情報セキュリティの標準化を目指す。 - 技術ガイドラインの策定
スプーフィングやジャミング対策を盛り込んだセキュリティガイドラインを公開。
位置情報は、未来のスマート社会に不可欠なデータです。正確で安全な位置情報を守るために、位置情報部会の活動に引き続きご注目ください。
