社内のスマホ、守ってますか？　「Symantec Endpoint Protection Cloud」でモバイルデバイスもまとめて安全（1/2 ページ）

専任IT担当者がいない規模の企業でもエンタープライズレベルのセキュリティを安価に構築できる「Symantec Endpoint Protection Cloud」。今回は社用・私用問わず使われるモバイルデバイスの保護について見ていこう。

» 2019年02月21日 10時00分公開

[PR／ITmedia]

　第1回で紹介したSymantec Endpoint Protection Cloud（以下、SEP Cloud）はもう導入済みだろうか。第1回記事ではクライアントとしてPCを紹介していたが、現在のオフィス事情ではPCだけを保護しても不十分だ。今回はSEP Cloudでスマートフォンやタブレットなどのモバイルデバイスをまとめて保護する手順を紹介する。

意外におろそか？　モバイルデバイスのセキュリティ

　働き方改革によって勤務場所に縛られないテレワークを導入する企業も増えてきた。だが、利便性とセキュリティは相反するケースも多く、テレワークの導入のためには事前にしっかりとしたセキュリティ対策を行うことが重要だ。

　モバイルデバイス、特にスマートフォンはさまざまなコミュニケーションのツールとなっているため、その中には個人情報が大量に保存されている。また、出先や自宅で完全にオフィスと同等のことができなくても、メールや予定表のチェックだけでもできれば……という社員の声を受けて、コストの兼ね合いから個人用のスマートフォンを業務に使用する、いわゆるBYODを認める（あるいは黙認する）ケースもある。

　まさに利便性とセキュリティが相反する代表例であり、いざ企業でモバイルデバイスのセキュリティ対策を行う、といっても具体的にどうすればいいかピンと来ないのではないだろうか。

　セキュリティ担当者がいないSOHO、中小企業でも、安価にエンタープライズレベルのセキュリティ対策を行うことができるSEP Cloudを導入すれば、PCだけでなく、会社所有あるいは個人用のモバイルデバイスまで一元管理・保護することができる。今回は第一回の続きとして、SEP Cloudが導入されている組織でモバイルデバイスの管理を追加する方法を紹介しよう。

モバイルデバイスにSEP Cloudを導入するには

　SEP Cloud導入済みの組織で新たにモバイルデバイスを管理するのは非常に簡単だ。モバイルデバイスの追加登録は管理したいモバイルデバイスから、各ユーザーが簡易管理ページにアクセスして行う。ここではAndroid、iOS両方の導入手順を紹介する。

Android端末の場合

　Android端末の場合は上記の説明でほとんど終わってしまうくらいに手順は簡単だ。各ユーザーがAndroid端末で簡易管理ページにサインイン、「このデバイスを追加」をタップする。次にデバイスが会社所有のデバイスなのか、個人用のデバイスなのかを選択する。

　会社所有のデバイスでは各種ポリシーが強制的に適用されるのに対し、個人用のデバイスでは会社のポリシーに基づいて許可または制限される。また、端末盗難・紛失時などにデバイスのデータを消去し、初期状態にしてしまう遠隔ワイプが利用できる、できないの違いもある。

　いくら業務にも利用するからとはいえ、個人用のデバイスを完全に会社が管理することは好ましくない。もちろん、社員の方からしてもそこまでして自分の端末を会社にささげたいとは思わないだろう。SEP Cloudでは会社所有のデバイスと個人用デバイスを明確に区別することで、両方のケースにマッチした運用を行うことができる。

スマートフォンから簡易管理ページにサインインして「このデバイスを追加」をタップ（画面＝左）。会社所有デバイスか、個人用デバイスかを選択（画面＝右）

会社所有のデバイスと個人用のデバイスの違い

　デバイスの登録準備ができたらエージェントとなるセキュリティアプリケーション「SEP Cloud」のインストールを行う。SEP Cloudは一部セキュリティベンダーなどで見られた「独自アプリケーションストアからのインストール」とは異なり、Google Playからインストールされる。

デバイスの登録準備ができたらセキュリティアプリケーションのインストールを行う（画面＝左）。セキュリティアプリケーション「SEP Cloud」はGoogle Playからインストール（画面＝右）

　インストールが完了したらアプリを起動し、「GET STARTED」をタップして初期設定を進めていく。基本的には先に進めていくだけなので難しいことはない。

SEP Cloudを起動したところ。GET STARTEDをタップ（画面＝左）。モバイルデバイスを保護するためにVPNを有効化。「続行する」をタップ（画面＝中央）。SEP Cloudの利用ではその管理上、多くの権限を必要とするので許可をする（画面＝右）

iOSの場合

　iOSの場合は事前に組織管理者がAPNs（Apple Push Notification service）証明書の登録を行う必要がある。これはサーバからの通知をiOS端末にプッシュ通知を送るために必要な証明書だ。証明書の発行は組織管理者が申請してAppleが行う。そのため、組織管理者は事前にApple IDを取得しておく必要がある。

　APNs証明書の発行・登録手順はSEP Cloud管理画面メインメニューの「設定」にある「Mobile Device Management」から行う。作業はたった3ステップだ。

ステップ1：証明書署名要求のダウンロード

　証明書を発行してもらう場合、まず行うことは証明したい内容を記述した証明書署名要求ファイル（CSRファイル）の作成だ。「Mobile Device Management」のページ下部「ステップ1 証明書署名要求のダウンロード」にある「ダウンロード」ボタンをクリックすると、Apple.csrファイルをダウンロードできる。

設定→Mobile Device Managementを選択（画面＝左）。画面下部の「ステップ1 証明書署名要求のダウンロード」にある「ダウンロード」ボタンをクリック（画面＝右）

ステップ2：APNs証明書の作成または更新

　ダウンロードしたApple.csrはまだ署名が入っていない状態だ。次にこれをAppleに提出し、署名を付けてもらう作業を行う。

　「Mobile Device Management」ページ下部「ステップ2 APNs証明書の作成または更新」にある「Apple Push Certificates Portal」をクリックすると新しいタブでApple Push Certificates Portalが開く。組織管理者のApple IDでログインし、「Create a Certificate」をクリックする。

　利用許諾にチェックを入れて先に進むと「Create a New Push Certificate」ページが表示されるので、そこで先ほどダウンロードしたApple.csrを選択、アップロードする。署名はすぐに完了し、APNs証明書がダウンロードできるようになる。APNs証明書のファイル名は「MDM_ Symantec Corporation_Certificate.pem」となっている。

「ステップ2 APNs証明書の作成または更新」にある「Apple Push Certificates Portal」をクリックし、Apple IDとパスワードでログイン。ログインしたら「Create a Certificate」をクリックし、利用許諾にチェック入れてAccept

先ほどダウンロードしたCSRファイルをアップロードし、署名された証明書をダウンロードする

ステップ3：APNs証明書のアップロード

　最後にAPNs証明書を管理コンソールに登録する。「ステップ3 APNs証明書のアップロード」の入力フィールドにAPNs証明書を作成した際に使用した組織管理者のApple IDとダウンロードした証明書ファイル「MDM_ Symantec Corporation_Certificate.pem」を選択、「アップロードボタンをクリックする。

SEP Cloudの画面に戻り、「ステップ3 APNs証明書のアップロード」にApple IDとAPNs証明書を指定し、アップロード（画面＝左）。登録完了。セキュリティ証明書管理に登録情報が表示される。期限は1年間なので、期限が切れるまでに更新を行う（画面＝右）

　組織管理者側の作業が完了したら、各ユーザーにてAndroid端末同様、iOS端末からSEP Cloud簡易管理ページにアクセスして「このデバイスを追加」をタップする。会社所有のデバイスか、個人用のデバイスかを選択して「次へ」をタップすると「このデバイスを登録」ページが表示される。

　デバイスの登録では管理プロファイル、セキュリティアプリケーションの2つがインストールされる。「登録を開始」をタップするとSymantec Corporationによって署名された「Enrollment Profile」プロファイルのインストール、セキュリティアプリケーションのインストールが連続して行われる。