-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR
2025年、私たちのセキュリティ診断サービスは30周年を迎えます。この節目の年にあたり、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識や取り組みを広く発信していく特別企画を展開しています。
この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティの重要性や診断対象の範囲も大きく広がりました。そこでラックは、セキュリティ診断の過去・現在・未来を見つめ直すインタビュー企画、「専門家が考えるセキュリティ診断の現在地と未来」を実施しています。
第3弾となる本記事では、スマートフォンの黎明期からセキュリティの在り方やガイドラインの構築を行ってきた、日本スマートフォンセキュリティ協会(以下、JSSEC)の皆さまにインタビューしました。JSSECが発足した2011年は、スマートフォンが急速に普及し始めた時期でした。スマートフォンの利便性と機能性が飛躍的に向上し、それに伴いセキュリティに対する懸念も増大しました。そのような状況を受け、ラックを含む発起人の発案で、故安田 浩 東京大学名誉教授を会長としてJSSECは設立されました。
今回はスマートフォンの普及当初を振り返りながら、現在のスマートフォンにおける脅威や対策、今後の展望について業界の第一線で活躍する専門家の観点からお話を伺います。
プロフィール
株式会社ラック プロダクト統括部 統括部長
JSSEC 技術部会長
仲上 竜太(ファシリテーター)
モバイルセキュリティに関する技術的調査を行う技術部会を通じて新技術の安全利用を研究・発表。総務省「安全安心なメタバースの実現に関する研究会」、「利用者情報に関するWG、不適正利用対策に関するWG(ICTサービスの利用環境の整備に関する研究会)」、公正取引委員会「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する検討会」にて専門家委員を務める。

JSSEC 副会長・理事、兼、利用部副部会長、技術部会副部会長
本間 輝彰
2016年よりJSSECに参加し、利用者・技術者の両輪の視点からスマートフォンの安全利用を推進。特にフィッシング詐欺対策など利用者を狙った詐欺に注力し、対策提案を行うほか、コラム執筆を通じて広く情報発信を行う。

JSSEC 啓発事業部会長
藤平 武巳
通信会社入社後、サービス企画やITコンサルティング業務に携わる。2014年JSSECの啓発事業部に参画し、中高生のスマートフォンの安心・安全な利用啓発の取り組みを推進。子どもと大人のスマートフォンに対する利用・意識ギャップの調査とそこから生じるリスク対策の講演、かるたを活用した啓発などの活動を行う。

JSSEC 利用部会会長、兼、利用ガイドラインWGリーダー
松下 綾子
JSSEC発足当時から利用部会に所属。JSSEC以外の組織でも、NISC、情報セキュリティWG-サブWG構成員(2012年度)、総務省、クラウドサービス提供における情報セキュリティ対策調査検討会 構成員(2014年度)、東京電機大学Cysec講師(2015年度)、長崎県立大学 企業研究講師(2018~2020年度)など幅広く活躍している。


スマートフォンが登場してからの変化
──2007年にApple社が初代iPhoneを発売し、翌2008年にはAndroidなど日常用のスマートフォンが急速に普及しました。いまや、スマートフォンが無い生活は考えられないと言っても過言ではないでしょう。スマートフォンが登場してから約20年が経ちましたが、振り返ってみて時代の変化を感じる点や印象に残っていることはありますか?

- 本間氏
- スマートフォンの普及に一番影響したのは、やはりインターネットへの接続性の向上だと思います。従来の携帯電話(ガラケー)は、キャリアに制約された閉じたネットワークの利用が中心でしたが、スマートフォンの登場により、誰でもフルブラウザでPCと同様にインターネット接続してWeb閲覧ができるようになったのは革新的でしたね。
- 藤平氏
- 私は中高生など若年層のスマートフォン利用を中心に見てきましたが、スマートフォンの活用はここ数年で大きく変化したと感じます。以前はテキストでのやり取りが中心で、セキュリティについてはモラル啓発の需要が高かったです。しかし、コロナ禍をきっかけにスマートフォンは単なるコミュニケーションの手段から生活インフラへと位置づけが変わり、それに伴ってセキュリティ教育への関心も大きく高まりました。
──この20年で、スマートフォンの使い方だけでなく、活用の幅も大きく広がりました。その中で、さまざまなセキュリティインシデントもあったと思います。特に課題や教訓になった出来事はありましたか?
- 本間氏
- スマートフォンの登場で生活は格段に便利になりましたが、利用者の急増とともに悪用する人も確実に増えました。技術的な対策だけでなく、利用者へのセキュリティ教育をどう広めていくかが課題です。特に、昨今急増しているフィッシング詐欺などは、深刻な問題だと感じています。
- 松下氏
- スマートフォンには、PCと同等かそれ以上の情報が詰まっています。紛失すれば、個人情報やバイタルデータといった重要な情報が漏えいする可能性もあり、PC以上に注意が必要な場合があります。最近も、国際的なイベントでのスマートフォンの紛失の話題がありましたね。また、SNSの普及によって人間関係のあり方も大きく変わりました。今の若い世代は、生まれたときからスマートフォンがあるのが当たり前です。その感覚を理解せずに対策を講じると、形だけのセキュリティや使いにくいUIになりかねません。
- 藤平氏
- 確かに、中高生からの相談で最も多いのはSNSの乗っ取りです。スマートフォンがなかった時代には考えられなかったトラブルですね。
- 仲上
- この20年間で、スマートフォンは生活の利便性を飛躍的に向上させましたが、その一方で数多くのセキュリティインシデントも発生しています。この利便性を損なわずに、いかに安全性を高めていくかということが私たちの重要な使命だと考えています。
スマートフォンアプリやIoT機器を狙った脅威の変化と現在のトレンド
──最近のスマートフォンアプリやIoT機器を狙った脅威の中で、特に注目すべき攻撃手法や事例はありますか?
- 仲上
- 最近では特に、QRコード詐欺が広がってきていると思います。店舗で表示されたQRコードが本物かどうかを利用者が判別するのは非常に困難で、ログイン情報を入力してしまうとアカウントの乗っ取りや個人情報の漏えいにつながります。便利な技術である反面、対策が難しい課題ですね。

- 藤平氏
- もはや、「どう防ぐか」だけでは追いつかない時代になってきていると感じます。被害に遭った際に、いかに被害額や影響範囲を抑えられるか、被害をどのように分散するかが課題になってくるのかと感じます。たとえば、アカウントのパスワードを同じものを使わないなど、アイデンティティをうまく使い分ける工夫などが利用者側に求められています。
- 本間氏
- パスワードを覚えようとするとどうしても脆弱になってしまうため、覚えないということも防御になります。パスワードマネージャーなどがもう少し簡単に使えるようになるといいのですが。
- 松下氏
- スマートフォンの利用世代が広がる中で、デジタルディバイド(情報格差)の問題がより顕著になってきているなと感じます。高齢者にはデバイスの操作に不慣れな方も多く、セキュリティリスクや詐欺への対策知識が十分ではないケースが目立ちます。
脅威に対抗するために、開発企業が意識して対策すべきポイント
──スマートフォンの利用者層や、セキュリティ脅威の在り方は年々変化しています。JSSECでは対策の一環として、IoTのガイドラインを策定されたと伺いました。どのような観点から作成されたのでしょうか?

- 松下氏
- 元々はスマートフォンセキュリティのチェックシートを作成したことがきっかけでした。網羅性と普遍性を重視してチェックシートを作成する中で、最終的に人が触れる部分(ラストワンマイル)としてIoTが使用されるため、ここのセキュリティを強化することが利用者の安全と安心につながると考えました。
当時のIoTガイドラインは開発者向けが中心でしたが、JSSECは利用者の視点を重視しました。IoT機器を利用する企業や一般ユーザーが、安全性を確保しながら簡単に取り組める指針を提供することで、IoTの普及と信頼性向上を目指しました。
──それでは、実際にセキュアなアプリケーションを開発するために必要なことはなんでしょうか?
- 本間氏
- まずは、セキュアコーディングガイドに準じたアプリケーションを丁寧に作ることが基本です。さらに、アプリケーションを開発して終わりではなく、リリース前のアプリケーションへのセキュリティ診断や、オープンソースソフトウェア(以下、OSS)の継続的な脆弱性チェックも欠かせません。スマートフォンのアプリケーションはOSSを使用することが多いので、自分のアプリケーションが何を使って作られているのか把握して、脆弱性情報を自ら管理する意識が必要です。
- 藤平氏
- 最近では、生成AIがアプリケーション開発に使われる機会も増え、何が含まれているのか分かりにくいという課題があります。GitHubなどで公開されているソフトの中には、セキュリティ診断が行われていないものも多く、そのまま使用すると脆弱性につながる恐れがあります。こうした場合には、必ずセキュリティ診断を実施してほしいですね。
セキュアな開発を支えるセキュリティ技術やサービスの進化
──アプリケーション開発において、セキュリティ診断が必要だと考える理由を教えてください。
- 仲上
- アプリケーション開発の現場では、「本当にセキュリティ診断が必要なのか?」と疑問に思うことがあるかもしれません。しかし、これは開発者として、自分たちのアプリケーションが利用者に被害を与えないようにするために必要です。開発者の観点ではリリースするアプリケーションが機能を満たしていれば十分と考えがちですが、そのアプリケーションが悪用されれば、利用者に深刻な被害を及ぼす可能性があります。こうしたリスクを未然に防ぐため、セキュリティの専門家に診断してもらい、リスクを未然に防ぐというのがセキュアなアプリケーション開発の基本的な考えだと思います。
──セキュリティ技術の進化により、開発者が簡単に利用できるようになったツールやサービスはありますか?
- 本間氏
- Google社やApple社が提供する一般的な開発ツールでは、一定のセキュリティ対策はできるようになってきています。しかしそれだけでは完全とは言えず、やはり最終的なリリースには脆弱性診断が必要です。現代のアプリケーション開発には、脆弱性のあるOSSが使われている可能性が高いためです。
脆弱性診断で心がけてほしいのは2点です。1つ目は、アプリケーションとWebをセットで脆弱性の判断を行うことです。2つ目は、診断結果だけで判断するのではなく、その結果がアプリケーションにどのような影響を与えているのか深く理解して対応することです。無料の診断ツールもありますが、最新OSに対応していない場合や、診断後の対応が不十分なものもあるので、信頼できる診断の支援が受けられるソリューションを選択すべきでしょう。
- 松下氏
- セキュリティ診断の必要性を伝えることは必要ですね。ただ、企業の研究開発費用は限られているので、どこまで実施するかが課題です。セキュリティ強化にコストをかけると販売価格が上がり、アプリケーションの競争力が失われてしまいます。開発者の悩ましいところだと思います。
- 仲上
- 診断を外部に依頼する場合はコストがかかる場合もあるので、リリースの前には必ず一度診断を実施して、細微な変更の際はツールを使用するなど、うまく使い分けていきたいですね。
今後10年でセキュリティ環境はどのように変化するか
──10年前の2015年と比べると、生成AIの登場などテクノロジーは大きく進化しています。これからの10年では、スマートフォンやIoTデバイスを取り巻くセキュリティ環境に、どのような変化が訪れると考えますか?

- 仲上
- 今後まず注目すべきは、生成AIの進化による新たな脅威です。これからは、個人や企業が日常的にAIエージェントと接する時代になってくると思います。2025年5月に開催されたRSAカンファレンスでも、AIエージェントやロボットの普及により、人間以外のアイデンティティ(ノンヒューマンアイデンティティ)の管理が重要になると指摘されました。各デバイスやエージェントが個別に認証を行い、アクションを実行する世界では、それを保護するセキュリティ技術が不可欠となってくると思います。
- 本間氏
- 最近、Google社からAI動画が作れるツールが発表されました。今後も、生成AIやディープフェイクの技術が進化し、画像やテキストなどコンテンツが簡単に作成・拡散されていくはずです。そのため、コンテンツに対する信頼性を担保する仕組みが重要になってきますが、すでにその枠組みはでき始めていて、C2PAなど「コンテンツの証明書」技術が注目されています。今後、動画などのコンテンツの真偽は証明書技術に頼っていくことになると思います。また、「このサイトにあるということはこのコンテンツは安全だ」というホワイトリストも有効だと思います。
- 藤平氏
- 今の中高生と会話していると、SNSの影響でかなり幅広いコミュニティを持っていることがわかります。今後は、そうしたつながりの中に人間と見分けのつかない生成AIが入り込む可能性があります。もし気づかないうちにAIとやり取りをしていた場合、闇バイトやSNS乗っ取りなど、AIを利用した高度な詐欺被害に遭う可能性があります。技術的な対策だけではなく、AIを正しく認識する「認知セキュリティ」が重要になってくると思います。
- 松下氏
- 最近はスマートコンタクトなど、生体認証の技術も話題になっていますね。ブレイン・コンピュータ・インターフェース(BCI)のように、脳波や生体データを直接デバイスに接続する技術が進化しており、こうした情報が新たな攻撃対象になる可能性もあります。我々がカバーしなければいけない領域も分野も広がりそうですね。
- 本間氏
- 皆さんがおっしゃる通り、この先の10年でスマートフォン・IoTのセキュリティ環境は大きく変化すると思います。その変化にどう向き合い、どう備えるかが大事になってきます。JSSECとしても、サービス提供者と利用者の双方が安心・安全にスマートフォンを活用できる環境づくりを目指して、引き続き取り組んでいきたいと思います。
さいごに
今回は特別企画として、スマートフォンセキュリティの最前線で活躍する専門家たちへのスペシャリストインタビュー第3弾をお届けしました。これから公開予定の第4弾も鋭意制作中ですので、ぜひご期待ください!さらに、企業の実務に直結するサイバー脅威への具体的な対策を詳しく解説する定期ウェビナーなど、多彩なコンテンツを企画しています。
特別企画の情報は、いつでもどこでも参加可能なオンライン展示会「LAC Virtual EXPO」の3F「診断30周年 特設エリア」にて公開しています(2026年3月31日まで)。インタビュー記事やウェビナーのアーカイブ動画、その他有益なコンテンツを多数取り揃えていますので、ぜひお立ち寄りください!

タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR