※本記事は、マカフィー株式会社 プロダクトマーケティング部スペシャリスト 松久育紀によるものです。
前回、ご説明しましたように、スマートフォンやタブレットなどの携帯端末には情報漏えいやマルウェアなどセキュリティ上の脅威がいくつも存在しています。実際に企業で携帯端末を導入する上で、これらの脅威に対抗していくために最も必要とされるのは、管理者がいかにして各社員が使用する端末へのセキュリティポリシーの適用や状態の管理をしていくかである、といえます。そのためのソリューションとして注目が高まっているのが、MDM(Mobile Device Management:モバイル端末管理)と呼ばれる製品です。
企業でのスマートフォン導入に不可欠な端末管理ソリューション
MDMを使用すると、エージェントプログラムがインストールされたスマートフォンやタブレットなどの携帯端末に対して、管理者は管理コンソールを使用して各端末の状況確認や、パスワードポリシー等のセキュリティポリシーの適用、社内メールや社内ネットワークなどのリソースへアクセスする際に必要なメールサーバーやVPN接続などの構成情報の一括配布などが行うことが可能です。また、端末が紛失・盗難された際に管理コンソールから端末のロックや、端末内部の機密情報の削除(ワイプ)など、情報漏えい対策を行うこともできます。
では実際にMDMを使用すると、どのように携帯端末管理が行われるかについて、McAfee Enterprise Mobility Management(McAfee EMM)を例にあげて説明します。なお、現在販売されているMDM製品には自社内にシステムを持たないクラウド型サービスと自社内にMDMシステムを構築するオンプレミス型のものがあるが、ここでは後者の場合となります。
端末のプロビジョニングによる構成情報の適用
社内にMDMシステムが導入されたら、管理対象となる携帯端末にエージェントプログラムをインストールする必要があります。エージェントの配布方法にはいろいろありますが、McAfee EMMの場合、アップルのApp Storeやアンドロイドマーケットにエージェントプログラムが公開されており、そこから自由にダウンロードしてインストールすることが可能です。
次に、エージェントがインストールされた端末に対して、社内システムにアクセスするための設定情報(構成ファイル)やセキュリティポリシーをMDMシステムから取得し、端末に適用します(端末のプロビジョニング)。このプロビジョニングの際、製品によっては端末ごとにある程度の設定を事前に行う必要がありますが、McAfee EMMの場合、エージェントを起動し、社内メールのアドレスとパスワードによる認証を行いポリシーに同意すれば、自動的にメールサーバーやVPN/WiFiなどの設定情報や証明書ファイルが一括構成ファイルとしてダウンロードされ、端末に適用されます。
携帯端末のセルフ・プロビジョニング
不正端末の接続防止のためのコンプライアンスチェック
プロビジョニングが終了した端末には、メールアカウントやVPN接続の設定が適用されますが、その端末が何の制限もなく自由に社内システムにアクセスできるというわけではありません。端末とMDMシステムは定期的に通信を行い、管理者がMDMシステム上で設定したセキュリティポリシーに対して適合しているかどうかコンプライアンスチェックが実行されます。例えば、iOSやアンドロイドOSの端末に対して、「Jailbreak/root化された端末からのアクセスは拒否する」というポリシーが適用されている場合、Jailbreak/root化されている端末は社内システムへのアクセスが拒否されます。他にも、OSの暗号化機能の有効/無効の状態やOSバージョンによるチェックなどが可能です。
情報漏えい対策のためのセキュリティポリシーの強制とリモートワイプ/ロック機能
携帯端末をビジネスで使用する際の大きな懸念点の一つに、端末の紛失・盗難などによる情報漏えいの危険性があげられますが、MDMを使用することで情報漏えいからの端末の保護を実現できます。そのための機能がセキュリティポリシーの強制です。
セキュリティポリシーの一つとしてはパスワードポリシーがあげられますが、これを設定することで端末のPINコードとは別に認証用のパスワードを使用させることができ、さらにパスワードの文字数の長さや特殊記号の使用、有効期間や過去に使用されたパスワードの再利用の禁止、パスワード入力を複数回失敗したときの強制ワイプなど、PCと同レベルのセキュリティの強固なパスワードを端末に設定させることが可能となり、不正な端末へのログインを防ぐことができます。また、端末を紛失してしまったり盗難された場合に、管理者がリモートからその端末内のデータを消去したり、デバイスをロックすることで端末を保護する機能も搭載されています。
その他、リモートからデータを消去する、いわゆるリモートワイプ機能を使用することで端末内の重要データそのものを消去してしまうことが可能です。さらに、完全消去と部分消去という形で消去するデータの種類を選ぶことができ、前者の場合は端末を完全に初期化してしまうが、後者の場合、メールのデータやカレンダー、連絡帳といった企業システムの利用に関する部分だけを消去し、他のデータは残しておくこともできます。前述のコンプライアンスチェックやセキュリティポリシーの強制、リモートからのデバイス操作機能を使用することで、管理者が規定した基準を満たす端末のみ企業システムにアクセスさせることが可能になり、企業で配布している端末だけでなく、個人所有の端末から企業システムを利用させたい場合にも一定のセキュリティレベルを保つことができるのです。
【McAfee EMMで設定可能なコンプライアンス/セキュリティポリシーおよびリモートからのデバイス操作機能】
コンプライアンス | 暗号化されていない端末の接続制御 |
Jailbreak/root化された端末の接続制御 | |
OSバージョンの制御(古いOSは接続不可) | |
パスワードポリシー | 簡単なパスワード、長さ、英数字の組み合わせ、自動ロック、パスワード複数回失敗時のワイプ(ローカルワイプ) |
有効期間、履歴(過去パスワードの利用制御) | |
機能制御 | カメラ, スクリーンキャプチャ, アプリケーション, ブラウザなどの使用制限 |
ヘルプデスク (管理・運用) | デバイス情報、OSの種類やバージョン、導入アプリのなどの情報取得 |
ロック / ワイプ(完全/部分) / パスワードリセット |
アプリケーション制限機能と企業アプリケーションの配布による、安全なアプリケーションの使用
MDMにはアプリケーションの使用を制限するような機能もある。セキュリティポリシーとしてカメラ、スクリーンキャプチャ、ゲーム、アプリケーションのインストールなどを禁止することで、業務に不要な操作を制限することができます。アプリケーションの使用を制限するだけでなく、企業用のカスタムアプリケーションを配布する機能や推奨アプリケーションのみインストールを許可する機能もあり、これにより、企業でのみ使用する専用のアプリケーションを配布できるだけでなく、管理者が許可した安全なアプリケーションだけを従業員に使用させることが可能になります。
携帯端末のセルフ・プロビジョニング
レポートによる接続端末の状態確認
企業で携帯端末を使用する場合、コンプライアンスポリシーやセキュリティポリシーによる接続端末の制限だけでなく、どのような端末が企業システムを利用しているのかを管理者が把握することも重要です。MDMのレポート機能では、OSやデバイスの情報、使用ユーザー、インストールアプリケーションの種類、コンプライアンスポリシーへの対応状況といった情報を確認できます。これらの情報は個別の端末だけでなく、統計情報としても表示できるため、管理者は全体の把握を容易に行うことが可能になり、次に必要なセキュリティ施策を決める際に非常に役立つといえるでしょう。
端末にインストールされたアプリケーションの統計情報
デバイスの詳細情報
まとめ
今回は企業での携帯端末の導入における必要なセキュリティ対策として、MDMシステムを中心に説明してきたが、これから本格的に進む携帯端末のビジネス利用において、セキュリティを確保することだけを考えると、使用できる機能が著しく制限されたり、利用手順が複雑化したりするなど利便性を損なうようなことにもなって可能性があります。管理者はセキュリティと利便性のバランスを考慮しながら、いかに安全に利用できる環境を構築していくことが必要になってきます。そのための手段として、MDMというソリューションを活用していくことは、今後不可欠になっていくと思われます。
関連記事
- [2011/09/20] スマートフォンおよびタブレットの企業導入における課題と対策:前編