企業がスマートフォンを利用するには、電子メールや業務データの情報を保護するセキュリティ対策が欠かせない。最近ではPCと同様に管理していく環境が整いつつある。
本記事は、オンライン・ムックPlus「スマートフォンの企業導入大作戦」のコンテンツです。関連記事はこちらでご覧になれます。
スマートフォンを企業で運用するためには、端末側で利用する業務情報を保護する仕組みに加えて、社員に配布した多数の端末を管理者が把握していくことが必要になる。端末側でのセキュリティ対策に加え、最近ではPCと同様にスマートフォン端末を集中管理するためのツール「MDM」(Mobile Device Management)が登場するようになった。今回は企業内および端末の両面から、スマートフォンを運用していくために必要なセキュリティ対策をみていこう。
企業でのクライアント管理の環境を遡ると、PCはまず部門単位で導入、利用され、その後、個人に支給されるようになった。資産管理ツールによるPCの集中管理が始まった。一方、スマートフォンは当初から個人が利用する端末であるため、スマートフォン導入ではMDMを端末と併せて導入することが求められるだろう。
スマートフォンに注目する企業が増えたことで、OSを提供するマイクロソフトや、セキュリティ対策の側面からシマンテックやトレンドマイクロといったセキュリティベンダーなどからスマートフォンのためのMDMが相次いで登場した。また、Nokia傘下のインテリシンクのようにMDMを専業とするベンダーも存在する。
各社のMDMが備える主な機能は、端末およびユーザーの登録管理、ポリシーの作成および配布、端末紛失時などのセキュリティ対策機能など、PCの管理ツールと類似している。しかし、スマートフォンのMDMとPCの管理ツールで大きく異なるのは、PCではLAN上に接続された端末を管理するが、スマートフォンでは携帯電話網や無線LANなどのワイヤレスネットワーク上の端末を管理する点である。
端末管理機能
個々の端末管理については、PCと同様に各ユーザー端末と利用方法の把握が主な目的となる。MDMでは、まず端末とユーザー名を紐付けて、企業ネットワークへの接続状況(日にちや時間)や実行したアプリケーションの種類、OSやアプリケーションのバージョン、セキュリティポリシーの適用状態といった情報を知ることができる。また、一部のMDMではユーザー情報のバックアップも可能である。
これらの情報は、端末にインストールしたエージェントソフトウェアが収集し、ワイヤレスネットワークを介して定期的に管理サーバへリポートする。一方、管理者側からは端末に対して設定したポリシーの配布やVPNなどのネットワーク接続設定、OSやアプリケーションのインストール/アップデート作業、端末の遠隔操作(ロック、データ消去)などができる。
端末の紛失などで取得した第三者による不正接続が想定される場合には、MDMで対象となる端末からの接続を拒否する、接続設定を遠隔操作で削除するといった手段も取れるようになっている。
ポリシーの設定/配布
端末を適切に運用するためには、端末利用のためのポリシーを用意する必要がある。スマートフォンの場合、ハードウェアの機能とソフトウェアの機能の両面でMDMからポリシーを設定できる。例えば、ハードウェア面では内蔵カメラやBluetooth、外部メディア、赤外線通信、USBポートなどの利用を強制的に禁止できる。ソフトウェア面では、ゲームなど業務に関係しないアプリケーションの起動やショートメッセージサービスの利用を禁止するといったことが可能だ。
設定可能なポリシーの項目数はMDMによって異なる。例えば、カナダのResearch In Motionの「BlackBerry Enterprise Server」では400項目以上を設定でき、柔軟にポリシーを用意できる。作成したポリシーのデータは、MDMからワイヤレスネットワーク経由で各端末へ配布する。ポリシーのデータは、設定ファイルとして電子メールに添付して端末側でインストール操作をする、もしくはショートメッセージにコマンドを記載して、端末側で受信すると自動的に適用させるといったことができる。
このように、MDMではスマートフォンを対象にユーザー単位やグループ単位でポリシーを作成できる。ポリシーの運用について、シマンテックのエンタープライズSE部長の丸山隆一郎氏は「複雑な運用を避けるために、企業のセキュリティポリシーに準じた内容を用意すべきだろう」とアドバイスしている。
セキュリティ対策機能
小型で持ち運びが容易なスマートフォンには、常に端末の紛失や盗難のリスクがつきまとう。紛失した端末を第三者が拾得して、企業のシステムへ不正アクセスを働く可能性もある。スマートフォンのセキュリティ対策では、紛失や盗難への備えが不可欠だ。
端末の紛失や盗難のリスクに対して、MDMには「リモートワイプ」や「リモートロック」、「ローカルワイプ」と呼ぶ機能を用意している。リモートワイプとリモートロックは、管理者がワイヤレスネットワークを経由して端末にコマンドを指示することにより、端末のデータを出荷状態に戻したり、操作を完全にロックしたりできる。原則として端末がワイヤレスネットワークに接続された状態でなければ利用できないが、オフライン状態でコマンドを指示しておき、端末がネットワークに再接続された段階で機能させることもできる。
一方、ローカルワイプは端末がネットワークに接続されていなくても、第三者による不正操作を防止する機能だ。事前に端末側でログインパスワードやポリシーを設定しておかなければならない。MDMからポリシーとしてパスワード認証に失敗した回数を指定することで、第三者が認証に失敗すれば端末のデータが自動的に出荷状態になり、不正アクセスが困難になる。
シマンテックやトレンドマイクロが提供するMDMは、セキュリティ管理機能を強化しており、ウイルスなどの定義ファイルの更新やパーソナルファイアウォールの設定、指定したフォルダの暗号化(一部のMDMでは制限あり)、VPN接続の設定などもできるようにしている。
紛失した端末が運良く見つかった場合には、MDMからユーザー情報やアプリケーション環境を再構築することもできる。
Copyright © ITmedia, Inc. All Rights Reserved.