スマートフォンやタブレット端末の企業導入で気になるセキュリティ対策：情報セキュリティEXPO Report

5月11〜13日に東京ビッグサイトで「情報セキュリティEXPO」が開催された。今年の出展物で目立つのがモバイルセキュリティだ。出展各社の内容から現状のモバイルセキュリティ対策の動向をお伝えする。

[國谷武史，ITmedia]

　リード エグジビション ジャパンが主催するIT関連の総合展示会「Japan IT Week」が5月11日から3日間、東京ビッグサイトで開催された。セキュリティソリューションがテーマの「情報セキュリティEXPO」では、モバイルセキュリティに関連する出展が目立った。

　コンシューマー市場でのスマートフォンやタブレット端末の人気を背景に、企業ではモバイル端末を導入して業務に活用できないかと検討する動きが広まっている。そこで検討課題に挙げられるのがセキュリティ対策。クライアントデバイスのセキュリティは、これまではPCを中心に考えられてきたが、モバイル端末が加わることでどのような対応が求められるのか――。出展各社の動向をお伝えしたい。

基本アプローチはPCと同じ

シマンテックが参考出品したMDMの管理者画面。管理対象の端末の詳細な設定情報を確認できる

　企業としてモバイル端末を導入する場合、まず必要とされるのはIT管理者やセキュリティ管理者がモバイル端末を管理できる手段だ。モバイル端末の管理は「モバイル・デバイス・マネージメント（MDM）」と呼ばれる。MDMでは社内の情報システムを利用する端末の情報、その端末を利用するユーザーの情報を一元的に把握できるようにし、セキュリティの管理を行っていく。こうした方法は、基本的にPCで取られてきた方法と同じだ。

　しかし、モバイル端末ならでは留意点も多い。例えばその1つがOSの違いだ。企業で利用されるPCのほとんどがWindowsだが、モバイル端末ではAppleのiOSやGoogleのAndroidが中心。モバイルOSはアップデートの頻度も多く、端末の導入タイミングによっては同じOSでもバージョンが違うため、管理者が把握すべき情報や管理項目、対策方法が端末に変わる。また、モバイル端末は簡単に持ち歩きができるため、PCよりも盗難や紛失のリスクが高い。PCに比べて複雑な運用が伴うことを留意しておきたい。

　出展されたMDM製品は、既にこうしたモバイル端末ならでは特徴を考慮しているものが多い。例えばマカフィーが出展した「Enterprise Mobility Management」は、企業で構築しているセキュリティ管理のライフサイクルに基づいてモバイル端末を管理するという方法が取られている。サポートするOSの種類も多く、モバイル端末が異種混在の状況であっても、1つの管理コンソールで運用できる使い勝手を来場者に訴求していた。

　また、日本ベリサインは電子証明書の発行・配布機能とMDMを組み合わせた「ベリサイン MDM powered by CLOMO」を出展した。モバイル端末で社内システムにアクセスするためにはユーザーの認証が不可欠であるとし、この認証に電子証明書を利用することを同社は推奨している。MDMに電子証明書の運用に必要な機能も統合することで、運用の負担を軽減するというのが同社の提案であった。

　サイバートラストのMDM製品では、iOSの管理に強みとするSAPの「Sybase Afalia」を採用する。Afaliaは、「Jailbreak」と呼ばれるOSの制御機能を解除された状態の端末を検出できるのが特徴。Jailbreakされた端末は不正プログラムに悪用されるリスクが高く、このような端末が企業内にアクセスするのを防ぐことができるという。

　シマンテックは現在開発中のMDM製品をデモンストレーションで紹介した。同社では、PCとモバイル端末の資産管理やセキュリティ管理を一元的に行う仕組みを目指しているという。提供時期は6月の計画である。

　しかし、現在のMDMが抱える一番の課題がAndroid端末の対策手法だ。iOSについては各製品とも一定の管理機能を確立しているが、Androidではまだ確立されていない。

　例えば、遠隔操作で盗難や紛失に遭った端末のデータを消去しようとしても、前述したバージョンの違いから、Android 2.1では連絡先やスケジュールなど削除できる項目が少なく、同2.2以降では初期化ができる。また、データの暗号化をサポートしているのは同2.3以降だ。盗難・紛失時の対応方法をバージョンごとに用意しなければならない。さらにAndroidは、「Jailbreak」するためのツールが多数出回っているため、iOSによりも簡単に「Jailbreak」できてしまう。Androidのこうしたセキュリティ上の弱点に全て対応できるMDM製品はまだ無い。

端末側の対策は個別に

　モバイル端末側の対策は、エージェントツールをインストールすることから始まる。エージェントツールはMDMと連携するために不可欠であり、端末の情報を収集してMDMに提供したり、MDMで設定したポリシーを端末に反映したりするなどの役割を果たす。エージェントツールのインストールは、MDMからワイヤレスネットワーク経由で強制的に行う方法や、ユーザーがアプリケーションストアなどからダウンロードしてMDMにアクセスし、有効化するなどの方法がある。これはベンダーによってまちまちである。

マカフィーのエージェントツールはユーザー自身がインストールする仕組み。これは個人所有のモバイル端末でも適切に管理することを考慮したもので、エージェントツールに会社のメールアドレスを登録すると、会社利用でのプロファイルが自動的に設定される。個人と企業とに管理範囲を分けられるという

　また、盗難・紛失対策やマルウェア対策、スパム対策、Web保護などの各種のセキュリティ機能については、盗難・紛失対策をエージェントツールに統合していても、それ以外の機能は個々のアプリケーションを別にインストールする方法を提案するベンダーが目立った。盗難・紛失対策を統合しているのは、特に情報漏えいのリスクを危惧する企業ユーザーの声を反映させたものだ。

　例えば、日本ベリサインはワンタイムパスワード（OTP）の機能を搭載しており、前述した電子証明書とOTPによる二要素認証でセキュリティレベルを高めつつ、Webベースのシステムやサービスにシングルサインオンでアクセスする機能を持つ。

　また、チェック・ポイント・ソフトウェア・テクノロジーズは、NECと共同でモバイル端末によるリモートアクセスソリューションを出展した。NECの統合脅威管理（UTM）アプライアンスとチェック・ポイント・ソフトウェア・テクノロジーズのセキュリティソフトウェアを組み合わせ、SSL VPNによるモバイル端末から企業のゲートウェイまでの一貫した安全なネットワークを構築できるようにしている。

　PCでは統合対策ソフトの利用も多いが、モバイル端末ではコンシューマー向けの製品にほぼ限られ、企業向けには「検討中」とするベンダーが多い。これは、特にマルウェア対策においてモバイル端末を標的にした攻撃がPCよりも少ないという実情を考慮してのようだ。モバイル端末はPCよりも性能が低いために、マルウェア対策を導入することで端末の使い勝手への影響を懸念する声もある。

　とは言え、モバイル端末を標的にしたマルウェアの発生件数が増加しており、将来的にはPCを上回るという予想もある。企業のような管理体制が無い個人利用では、既にマルウェアによるリスクが高いため、ベンダー各社はまずコンシューマー向けに統合対策ソフトを提供している。

　情報セキュリティEXPOではシマンテックが「ノートン モバイル セキュリティ」を、また、カスペルスキーがJapan IT Weekの別会場の「スマートフォン＆モバイルEXPO」で「カスペルスキー モバイル セキュリティ 9」を出展した。いずれもコンシューマー向け製品だが、企業関係の来場者が将来の自社導入を見据えて製品を確認する姿が目立った。