スマートデバイス、業務で安全に運用するためのポイントは：スマートデバイスのビジネス活用を考える（4）（2/2 ページ）

[小澤浩一／内山英子（KCCS），ITmedia]

スマートデバイス向けセキュリティ管理ツールの現状

　こうした中、スマートデバイスの管理ツールとしてMDM（Mobile Device Management）ソリューションが注目を集めている。MDMといえば管理者の運用負荷を低減するものとみられがちだが、セキュリティの強化にも有効だ。

　MDMを利用することで、利用できるアプリケーションの指定や管理対象の端末への設定の配布、遠隔ロック、遠隔消去などが可能になる。製品によっては、アンチウイルス対策用定義ファイルのバージョンやパッチの管理、Root化やJailbreakの検知なども行え、端末側のセキュリティレベルをチェックできるものもある。

　MDMを通じて端末のポリシー違反を検知し、端末認証やVPN製品と連携させることで違反デバイスを社内ネットワークに接続させないようにすることで、セキュリティを強化できるだろう。

　しかし、スマートデバイス向けのMDMは、PC向けのセキュリティ対策サービスと比較すると、機能が優先になりがちで、運用面の配慮が不足している製品も散見する。多種多様な製品やサービスが乱立するMDMであるが、導入に当たっては、運用に耐えるかどうかを重要なポイントとして選定を行いたい。

　さらに、Android端末については、同じOSのバージョンでもメーカーによって実装の仕方が異なり、“MDMがサポートするのは、特定メーカーの特定端末”というケースも増えている。MDMをセキュリティ対策にも利用する場合は、「○○というセキュリティポリシーを適用したいので、それができる△△というMDMを使用する。結果、採用するデバイスはそのMDMに対応した□□にしなければならない。」という流れになる。逆にいうと、デバイスの選定段階で、セキュリティポリシーの適用可否も考慮しておく必要がある。

　このような状況に対応すべく、KDDIは2011年11月から3LMSecurityサービスを提供している。このセキュリティサービスを利用することで、複数のAndroid端末に同じセキュリティポリシーを適用したり、VPNによる社内接続とVPNのシームレスな連携が可能になる。

　しかし、このサービスを使用する場合、端末はauブランドのものに限定される。今後しばらくは、セキュリティポリシーとデバイス選定と通信キャリア選定は並行して行っていかなければならないだろう。

今できるスマートデバイス向けセキュリティ対策

　企業がスマートデバイスを導入する際には、どのようにポリシーを決め、運用を含めたセキュリティ対策を行うべきなのか。ここではポイントを挙げてみた。

• 利用するネットワークの保護

　スマートデバイスから社内のリソースにアクセスする場合、外出先からどのようにアクセスさせるかを考えることになるが、インターネットVPNを経由するのが一般的だろう。そしてRoot化／Jailbreakされた端末、悪意のあるアプリがインストールされた端末からの情報漏えいを防ごうと思うなら、接続に際して「認められた端末」なのか「セキュリティポリシーを満たした端末」なのかを確認するべきだろう。

　例えば、デバイス固有の識別子を利用した端末認証や検疫などのソリューションを組み合わせることだ。このようにして、認められた端末のみが社内リソースにアクセスできるようにすることで、情報のエンドポイントを限定することが可能になる。

• 利用者の限定と教育

　スマートデバイスには、PCともフィーチャーフォンとも異なるセキュリティリスクが存在する。また、PCのようにシステム機能のみでリスクを回避することができず、利用者への注意喚起など人に対しての対策をとらざるを得ないのもスマートデバイス導入の現状である。

　そのようなユニークなリスクが存在することや、そのリスクによる被害などについて教育を行うとともに、企業として新しいデバイスを利用してどのようなことを目指しているのか、何を実現したいのか利用者に理解してもらい、自覚と責任を持って利用してもらう必要がある。

• 利用者と利用するアプリケーション、リソースの決定

　スマートデバイスで利用できる社内リソースとアプリケーションを業務に合わせて決めることも重要だ。すでに企業内で決められたセキュリティポリシーと、スマートデバイスを運用するのに必要なセキュリティ対策を照らし合わせ、どういったリソースやアプリケーションを、どのように使えるようにするのかを判断するべきだろう。

　「セキュリティ対策を十分に施したPCと、そうでないスマートデバイスからアクセスできる情報は異なる」というポリシーもあるだろうし、「PCからは社内資料の閲覧も編集も可能だが、スマートデバイスからは閲覧のみ」というポリシーもあっていいだろう。

• 利用するアプリのセキュリティ検証

　利用するアプリについても、安全かどうかを検証する必要がある。Androidマーケットなどで一般公開されているアプリケーションを業務で使用する場合、自社固有のアプリケーションを開発する場合のいずれも、アプリケーションの安全性を検証しておくべきだ。

　例えば、auであればBREWなどのクライアントアプリの開発や検証経験のある企業が、アプリケーションのセキュリティ検証を行っていれば、信頼性が高いといえる。スマートデバイスの場合もアプリの開発経験のある企業のセキュリティ診断がお勧めだ。

• ポリシーを見直すタイミングの決定

　決定したポリシーは定期的に見直す必要がある。まだスマートデバイス向けのアプリケーションは発展途上であり、未知のリスクが現れる可能性もある。2001年のPCにおけるコードレッドのような衝撃的なワームが発生する可能性だってあるわけだ。

　また、今後、MDMを始めとしたセキュリティ管理ツールも充実してくるので、定期的にポリシーを見直し、必要に応じてツールの導入や管理サービスの利用を検討するべきだ。

　セキュリティポリシーを決め、それを徹底して運用し、定期的に見直す――。これを守ることで、安全にスマートデバイスを業務活用できるだろう。

執筆者プロフィール：小澤浩一（おざわこういち）

　京セラコミュニケーションシステム ICT事業統括本部 ネットワークサービス事業本部 コミュニケーションサービス事業部 事業部長。

　1996年、京セラコミュニケーションシステムに入社。ID管理や文書管理などの自社パッケージシステム「GreenOffice」シリーズの開発企画に携わる。2009年10月よりコミュニケーションサービス事業部事業部長に就任。データ通信サービス「KWINS」をはじめとするリモートアクセス/モバイルアクセス、仮想デスクトップなどのサービス事業に携わる。近年では、リモートアクセス/モバイルアクセスでの経験を活かし、スマートフォンやタブレット端末など、PCに限らないさまざまな情報端末の導入支援やアプリケーション開発に取り組む。

執筆者プロフィール：内山英子（うちやまひでこ）

　京セラコミュニケーションシステム ICT事業統括本部 事業推進本部 事業推進部 企画1部 部長 公認情報システム監査人。

　大学卒業後に外資系企業にシステムエンジニアとして入社。数多くのIT企業の日本におけるスタートアップに携わった後、2002年に京セラコミュニケーションシステム入社。セキュリティ関連の事業開発責任者や米SOX法対応に関する同社のシステム導入プロジェクトに携わる。現在はICT関連事業のマーケティング、プロモーションを担当。