今年5月に立ち上がった日本スマートフォンセキュリティフォーラム（JSSEC）。直近の活動や今後の展開を西本逸郎事務局長に聞いた。

　――日本スマートフォンセキュリティフォーラムの設立意図について教えてほしい。

　西本　従来の携帯電話は、総務省と各キャリアの管理の下で、いわば閉じたネットワークで、セキュリティを意識する必要はなかった。一方、スマートフォンは、アプリケーションの開発は誰でも行うことができる。生産性の向上を図ることができるスマートフォンを一般企業がなかなか導入しないのは、セキュリティに対して懸念を抱いているからだ。普及を阻害している要因をこのまま放置できない。業界横断で、セキュリティに対する解決策とコンセンサスを得ていこう、ということで発足した。

　――最初に呼びかけたのは……。

　西本　KDDIと日本ネットワークセキュリティ協会、ラックが、今年2月に東京電機大学で準備会を開いて立ち上げた。本当は、4月にフォーラムを本格的に開始する予定だったが、震災の影響で5月から活動を開始した。現在、キャリアや端末ベンダー、関係省庁を含め、124社・団体が参加している。

　――活動内容を教えてほしい。

　西本　「利用部会」「技術部会」「PR部会」の3部会があって、さらにそれぞれいくつかのワーキンググループ（WG）をつくって活動している。利用部会WGの一つ、「利用ガイドラインWG」では、「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」のベータ版をリリースし、パブリックコメントを受け付けている。また、「利用シチュエーションと要求セキュリティの体系化WG」では、スマートフォン利用のリスクやユーザーの利用シーンに着目した情報セキュリティの諸問題をもとに、スマートフォンのセキュリティの体系化を行っている。ケーススタディを収集する事例研究WGもある。

　技術部会では、ネットワーク関連のセキュリティを検討する「ネットワークWG」、マルウェア対策ベンダーが参加している「アプリケーションWG」「デバイスWG」「ぜい弱性WG」の4WGがある。「アプリケーションWG」では、ウイルス対策のデータベースを整理し、「セキュアなアプリケーションとはこうあるべきだ」「マーケットはこうあるべきだ」という方向性をつくっていく。「デバイスWG」は。堅牢なデバイスの検討などを行っている。

　――直近の活動や、今後、進む方向を教えてほしい。

　西本　11月7日に、成果発表会を開催する。また来年の2月には、単独のシンポジウムを行う計画だ。活動は、利害関係抜きにして、スマートフォンの信頼基盤をつくることに集中している。ユーザーとして、トヨタ自動車にも参加してもらい、利用者の視点から意見をもらっている。企業の垣根を越えた活動にしたいと考え、フォーラムの活動に関わっている人には、「所属する会社の“帽子”は脱いで活動してほしい」といっている。ユーザー企業にも参加してほしいが、セキュリティに関して情報を提供してもらうことはなかなか難しい。それでも、他社の事例を知りたいと思っているユーザー企業を、成果発表やシンポジウム、ユーザー参加型の勉強会などで巻き込んでいきたい。

　――現在の課題は何か。

　西本　社員の個人使用端末を業務で活用するBYOD（Bring Your Own Device）が、いま注目を浴びているが、社員による私物スマートフォンの持ち込みや携行は考えていかねばならない。例えば、軍需産業に従事している人が私物スマートフォンを持ち歩いていて、もしそれに「カレログ」がインストールされていたら、勝手に外部に情報を送信されてしまう。情報セキュリティのリスクは高い。純然たるウイルスは、マーケット全体のアプリケーションのうち1％にも満たないが、勝手にアクションを起こすようなアプリケーションを入れると、実に3割は「ウイルス」と位置づけられるのではないかと思う。いま、少しずつ、さまざまなアプリケーションの分類を行っている。

　運営面の課題を挙げると、任意団体で動いているものの、周囲から期待は非常に大きい。いずれは法人格にすることを考えているが、経営のバランス感覚をもっている人に運営してほしいと考えている。フォーラムは純然たるセキュリティを追求する活動ではあるが、参加する方々の横の人脈をつくることにも役立ててほしい。（鍋島蓉子）