デバイスIDとは匿名化された文字列

デバイスIDは、スマートフォンやタブレット、PCのほかスマートウォッチなどすべてのウェアラブルデバイスに割り振られ、識別子としての役割を果たします。

デバイスIDはランダムな英数字からなり、一見しただけではそのデバイスを利用している個人を特定するのは不可能です。

基本的にデバイスIDは変更できず、最初に割り振られた文字列を継続して使用します。ただしOSのアップデートや、一部のセキュリティソフト・アプリの動作によって変更されることもあります。

デバイスIDの仕組み

デバイスIDは、主にアプリマーケティングにおいて広告の最適化に使われる識別子です。

ユーザーがアプリをインストールして初回起動を行うと、そのデバイスに割り当てられたIDが取得され、アプリ提供元へ送信される仕組みです。この取得は強制ではなくユーザーの同意に基づいて行われます。たとえばiOSでは、「トラッキングに同意しますか？」というダイアログが表示され、ユーザーが許可した場合に限りIDが取得されます。

取得されたデバイスIDは、アプリ内での閲覧履歴や操作ログと結びつけられ、ユーザーの関心や行動傾向を可視化するために活用されます。ユーザーには関心の高い広告が表示されやすくなり、広告主側もより効果的なターゲティングが可能になります。

なおWebブラウザ上では、デバイスIDの代替として「Cookie」が使われることが一般的です。Cookieは、Webサイトの閲覧履歴やログイン情報などをブラウザ内に一時保存し、広告のパーソナライズやユーザー体験の向上に役立てられています。

セキュリティに必要な理由

デバイスIDは端末を一意に識別するための文字列でアクセス制御に活用できます。たとえば特定のデバイスIDだけにアクセスを許可すれば、不正アクセスや情報漏洩のリスクを抑えられます。

ただしデバイスIDだけに頼るセキュリティ対策には限界があり、そこで注目されているのが「ゼロトラストセキュリティ」という考え方です。これはネットワークの内外を問わず、すべてのアクセスを信頼せずに都度検証するというもの。デバイスの真正性を常に確認することで、セキュリティの強化につながります。

デバイスIDの種類とセキュリティ強化への活用

デバイスIDはOSによって形式や用途が異なり、主に以下3種類に分類されます。

1. IDFA（Identifier for Advertisers：Apple）

Apple製デバイス（iPhone、iPad、Macなど）に付与されるIDで、「8文字-4文字-4文字-4文字-12文字」の構成です。

iOS14.5以降はユーザーの同意（オプトイン）がなければ取得できず、トラッキング規制が強化されています。個人情報の組み合わせによる特定リスクを抑えるため、トラッキング拒否の選択肢も提供されており、米調査では95%以上のユーザーが同意を拒否しているとされます。

2. GAID（Google Advertising ID：Android）

Android端末に割り当てられるIDで、構成はIDFAと同じですが英字は小文字です。

Googleはトラッキング廃止を表明したものの、2024年の廃止予定は延期され2025年7月時点でもGAIDは有効です。広告パーソナライズの需要の高さが、廃止を先延ばしにしている背景にあります。

3. ハードウェアID（Windows）

Windowsデバイスで使用されるIDで、ドライバーソフトウェアとの照合に使われます。主にPCの構成に合ったドライバーを検索・識別するために用いられ、マーケティング目的では使われません。

デバイスIDは社内システムへのアクセス制御にも活用できます。たとえば「許可されたIDのみ接続を許可する」といった設定を行えば、不正アクセスの防止に有効です。ゼロトラストの考え方に基づきデバイスの信頼性を都度検証することで、企業のセキュリティ水準を高めることができます。

中小企業こそデバイスID制御が必要な理由

サイバー攻撃の脅威は大企業だけでなく中小企業にも及んでおり、セキュリティ対策の甘さが重大な経営リスクにつながるケースも少なくありません。なかでも「デバイスIDによるアクセス制御」は、限られたリソースでも導入しやすく、実効性の高い対策のひとつです。ここではその必要性を3つの観点から解説します。

管理外デバイスによる侵入リスク

企業ネットワークへの不正侵入による情報漏洩やシステム改ざんのリスクが増しています。デバイスIDを用いて許可された端末のみアクセスを許可すれば、不審なデバイスの接続を防げます。
さらに、IPS（不正侵入防止システム）と組み合わせて、正常なアクセスパターンに基づく検知ルールにデバイスIDを活用することで、より強固な防御が可能です。

未パッチ端末・脆弱性放置に狙われやすい現状

セキュリティ対策を講じていても、パッチ未適用のまま放置された端末は攻撃の標的となりがちです。業務への影響を懸念して更新が後回しになることも多く、結果として脆弱なまま運用されるケースもあります。こうした端末へのアクセスをデバイスIDで制限することで、攻撃経路の封じ込めにつながります。

ID・パスワードの限界と認証強化

IDとパスワードを使った認証ではセキュリティ対策として十分とは言えません。フィッシングなどの手法で簡単に盗まれ、悪用されるケースが増えているからです。デバイスIDは端末に固有で偽造が難しいため、不正アクセス対策として有効です。ゼロトラストの考え方に基づき、すべてのデバイスを常に検証する仕組みと組み合わせれば、より安全なアクセス制御が実現できます。

総合セキュリティ対策なら
パロアルトネットワークス

パロアルトネットワークスでは、不正アクセスから個人情報を守るさまざまな製品を取りそろえています。ファイアウォールからクラウド型のセキュリティサービスまで幅広いサービスの中から選択でき、企業の形態に適したセキュリティシステムを構築することが可能です。セキュリティ体制の構築には高度なIT知識が必要なため、外部の専門企業へ委託するのも有効な選択肢です。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

ゼロトラスト時代のセキュリティ強化において、デバイスIDの必要性は高まっています。デバイスIDは機器に割り振られる固有の文字列で、識別子としての役割を果たします。特定のデバイスIDにのみアクセスを許可すれば、不正なアクセスを防ぐことが可能です。デバイスIDのアクセス制御により、社内の堅牢なセキュリティ保護を実現できるでしょう。