スマートフォンの進化とセキュリティの挑戦～スペシャリストインタビュー第3弾

2025年、私たちのセキュリティ診断サービスは30周年を迎えます。この節目の年にあたり、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識や取り組みを広く発信していく特別企画を展開しています。

この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティの重要性や診断対象の範囲も大きく広がりました。そこでラックは、セキュリティ診断の過去・現在・未来を見つめ直すインタビュー企画、「専門家が考えるセキュリティ診断の現在地と未来」を実施しています。

第3弾となる本記事では、スマートフォンの黎明期からセキュリティの在り方やガイドラインの構築を行ってきた、日本スマートフォンセキュリティ協会（以下、JSSEC）の皆さまにインタビューしました。JSSECが発足した2011年は、スマートフォンが急速に普及し始めた時期でした。スマートフォンの利便性と機能性が飛躍的に向上し、それに伴いセキュリティに対する懸念も増大しました。そのような状況を受け、ラックを含む発起人の発案で、故安田 浩 東京大学名誉教授を会長としてJSSECは設立されました。

今回はスマートフォンの普及当初を振り返りながら、現在のスマートフォンにおける脅威や対策、今後の展望について業界の第一線で活躍する専門家の観点からお話を伺います。

プロフィール

スマートフォンが登場してからの変化

──2007年にApple社が初代iPhoneを発売し、翌2008年にはAndroidなど日常用のスマートフォンが急速に普及しました。いまや、スマートフォンが無い生活は考えられないと言っても過言ではないでしょう。スマートフォンが登場してから約20年が経ちましたが、振り返ってみて時代の変化を感じる点や印象に残っていることはありますか？

藤平氏

私は中高生など若年層のスマートフォン利用を中心に見てきましたが、スマートフォンの活用はここ数年で大きく変化したと感じます。以前はテキストでのやり取りが中心で、セキュリティについてはモラル啓発の需要が高かったです。しかし、コロナ禍をきっかけにスマートフォンは単なるコミュニケーションの手段から生活インフラへと位置づけが変わり、それに伴ってセキュリティ教育への関心も大きく高まりました。

──この20年で、スマートフォンの使い方だけでなく、活用の幅も大きく広がりました。その中で、さまざまなセキュリティインシデントもあったと思います。特に課題や教訓になった出来事はありましたか？

本間氏

スマートフォンの登場で生活は格段に便利になりましたが、利用者の急増とともに悪用する人も確実に増えました。技術的な対策だけでなく、利用者へのセキュリティ教育をどう広めていくかが課題です。特に、昨今急増しているフィッシング詐欺などは、深刻な問題だと感じています。

松下氏

スマートフォンには、PCと同等かそれ以上の情報が詰まっています。紛失すれば、個人情報やバイタルデータといった重要な情報が漏えいする可能性もあり、PC以上に注意が必要な場合があります。最近も、国際的なイベントでのスマートフォンの紛失の話題がありましたね。また、SNSの普及によって人間関係のあり方も大きく変わりました。今の若い世代は、生まれたときからスマートフォンがあるのが当たり前です。その感覚を理解せずに対策を講じると、形だけのセキュリティや使いにくいUIになりかねません。

藤平氏

確かに、中高生からの相談で最も多いのはSNSの乗っ取りです。スマートフォンがなかった時代には考えられなかったトラブルですね。

仲上

この20年間で、スマートフォンは生活の利便性を飛躍的に向上させましたが、その一方で数多くのセキュリティインシデントも発生しています。この利便性を損なわずに、いかに安全性を高めていくかということが私たちの重要な使命だと考えています。

スマートフォンアプリやIoT機器を狙った脅威の変化と現在のトレンド

──最近のスマートフォンアプリやIoT機器を狙った脅威の中で、特に注目すべき攻撃手法や事例はありますか？

仲上

最近では特に、QRコード詐欺が広がってきていると思います。店舗で表示されたQRコードが本物かどうかを利用者が判別するのは非常に困難で、ログイン情報を入力してしまうとアカウントの乗っ取りや個人情報の漏えいにつながります。便利な技術である反面、対策が難しい課題ですね。

本間氏

パスワードを覚えようとするとどうしても脆弱になってしまうため、覚えないということも防御になります。パスワードマネージャーなどがもう少し簡単に使えるようになるといいのですが。

松下氏

スマートフォンの利用世代が広がる中で、デジタルディバイド（情報格差）の問題がより顕著になってきているなと感じます。高齢者にはデバイスの操作に不慣れな方も多く、セキュリティリスクや詐欺への対策知識が十分ではないケースが目立ちます。

脅威に対抗するために、開発企業が意識して対策すべきポイント

──スマートフォンの利用者層や、セキュリティ脅威の在り方は年々変化しています。JSSECでは対策の一環として、IoTのガイドラインを策定されたと伺いました。どのような観点から作成されたのでしょうか？

──それでは、実際にセキュアなアプリケーションを開発するために必要なことはなんでしょうか？

本間氏

まずは、セキュアコーディングガイドに準じたアプリケーションを丁寧に作ることが基本です。さらに、アプリケーションを開発して終わりではなく、リリース前のアプリケーションへのセキュリティ診断や、オープンソースソフトウェア（以下、OSS）の継続的な脆弱性チェックも欠かせません。スマートフォンのアプリケーションはOSSを使用することが多いので、自分のアプリケーションが何を使って作られているのか把握して、脆弱性情報を自ら管理する意識が必要です。

藤平氏

最近では、生成AIがアプリケーション開発に使われる機会も増え、何が含まれているのか分かりにくいという課題があります。GitHubなどで公開されているソフトの中には、セキュリティ診断が行われていないものも多く、そのまま使用すると脆弱性につながる恐れがあります。こうした場合には、必ずセキュリティ診断を実施してほしいですね。

セキュアな開発を支えるセキュリティ技術やサービスの進化

──アプリケーション開発において、セキュリティ診断が必要だと考える理由を教えてください。

仲上

アプリケーション開発の現場では、「本当にセキュリティ診断が必要なのか？」と疑問に思うことがあるかもしれません。しかし、これは開発者として、自分たちのアプリケーションが利用者に被害を与えないようにするために必要です。開発者の観点ではリリースするアプリケーションが機能を満たしていれば十分と考えがちですが、そのアプリケーションが悪用されれば、利用者に深刻な被害を及ぼす可能性があります。こうしたリスクを未然に防ぐため、セキュリティの専門家に診断してもらい、リスクを未然に防ぐというのがセキュアなアプリケーション開発の基本的な考えだと思います。

──セキュリティ技術の進化により、開発者が簡単に利用できるようになったツールやサービスはありますか？

本間氏

Google社やApple社が提供する一般的な開発ツールでは、一定のセキュリティ対策はできるようになってきています。しかしそれだけでは完全とは言えず、やはり最終的なリリースには脆弱性診断が必要です。現代のアプリケーション開発には、脆弱性のあるOSSが使われている可能性が高いためです。

脆弱性診断で心がけてほしいのは2点です。1つ目は、アプリケーションとWebをセットで脆弱性の判断を行うことです。2つ目は、診断結果だけで判断するのではなく、その結果がアプリケーションにどのような影響を与えているのか深く理解して対応することです。無料の診断ツールもありますが、最新OSに対応していない場合や、診断後の対応が不十分なものもあるので、信頼できる診断の支援が受けられるソリューションを選択すべきでしょう。

松下氏

セキュリティ診断の必要性を伝えることは必要ですね。ただ、企業の研究開発費用は限られているので、どこまで実施するかが課題です。セキュリティ強化にコストをかけると販売価格が上がり、アプリケーションの競争力が失われてしまいます。開発者の悩ましいところだと思います。

仲上

診断を外部に依頼する場合はコストがかかる場合もあるので、リリースの前には必ず一度診断を実施して、細微な変更の際はツールを使用するなど、うまく使い分けていきたいですね。

今後10年でセキュリティ環境はどのように変化するか

──10年前の2015年と比べると、生成AIの登場などテクノロジーは大きく進化しています。これからの10年では、スマートフォンやIoTデバイスを取り巻くセキュリティ環境に、どのような変化が訪れると考えますか？

本間氏

最近、Google社からAI動画が作れるツールが発表されました。今後も、生成AIやディープフェイクの技術が進化し、画像やテキストなどコンテンツが簡単に作成・拡散されていくはずです。そのため、コンテンツに対する信頼性を担保する仕組みが重要になってきますが、すでにその枠組みはでき始めていて、C2PAなど「コンテンツの証明書」技術が注目されています。今後、動画などのコンテンツの真偽は証明書技術に頼っていくことになると思います。また、「このサイトにあるということはこのコンテンツは安全だ」というホワイトリストも有効だと思います。

藤平氏

今の中高生と会話していると、SNSの影響でかなり幅広いコミュニティを持っていることがわかります。今後は、そうしたつながりの中に人間と見分けのつかない生成AIが入り込む可能性があります。もし気づかないうちにAIとやり取りをしていた場合、闇バイトやSNS乗っ取りなど、AIを利用した高度な詐欺被害に遭う可能性があります。技術的な対策だけではなく、AIを正しく認識する「認知セキュリティ」が重要になってくると思います。

松下氏

最近はスマートコンタクトなど、生体認証の技術も話題になっていますね。ブレイン・コンピュータ・インターフェース（BCI）のように、脳波や生体データを直接デバイスに接続する技術が進化しており、こうした情報が新たな攻撃対象になる可能性もあります。我々がカバーしなければいけない領域も分野も広がりそうですね。

本間氏

皆さんがおっしゃる通り、この先の10年でスマートフォン・IoTのセキュリティ環境は大きく変化すると思います。その変化にどう向き合い、どう備えるかが大事になってきます。JSSECとしても、サービス提供者と利用者の双方が安心・安全にスマートフォンを活用できる環境づくりを目指して、引き続き取り組んでいきたいと思います。

さいごに

今回は特別企画として、スマートフォンセキュリティの最前線で活躍する専門家たちへのスペシャリストインタビュー第3弾をお届けしました。これから公開予定の第4弾も鋭意制作中ですので、ぜひご期待ください！さらに、企業の実務に直結するサイバー脅威への具体的な対策を詳しく解説する定期ウェビナーなど、多彩なコンテンツを企画しています。

特別企画の情報は、いつでもどこでも参加可能なオンライン展示会「LAC Virtual EXPO」の3階「診断30周年 特設エリア」にて公開しています（2026年3月31日まで）。インタビュー記事やウェビナーのアーカイブ動画、その他有益なコンテンツを多数取り揃えていますので、ぜひお立ち寄りください！