法人市場におけるモバイル化の波は、もはや説明する必要がないほど、多くの企業を飲み込んでいます。BYOD、企業によるモバイルデバイスの導入など、その事例は枚挙にいとまがない状況にあります。

一方で、「これまでフィーチャーフォンしか導入しておらず、これからモバイルデバイスを導入する」という状況の企業も多く、「モバイルデバイスを導入する時にどのような対策、どのようなソリューション導入をすれば良いのか」がわからない情報システム部門の人も多いことかと思います。

そこで、携帯キャリアやソフトウェアベンダーなどに「モバイルデバイス向けソリューションがなぜ必要か、プラットフォームのどういう機能を利用すれば良いのか」を解説いただき、モバイルデバイス導入時の悩みをスッキリ解決します。

第1回は、MDM(Mobile Device Management、モバイルデバイス管理)ベンダーのモバイルアイアンの方に寄稿いただき、ベンダーの観点から見た、スマートフォンセキュリティの重要性とポイントを解説していただきます。

EMMの機能が充実しつつあるプラットフォーム

昨年の2月25日にGoogleが「Android for Work」という新しい仕組みをアナウンスしました。法人市場に向けて、数々の新機能を実装したのです。また、7月29日にMicrosoftからWindows 10がリリースされました。Windows 10は、従来のWindowsの機能に加え、iOSやAndroidと同様のモバイルOSとしての機能も同一のコンポーネントとして提供されます。

これらのOSには、EMM(Enterprise Mobility Management)のAPIが実装されており、"公私分離"の思想を取り入れられています。iOSとAndroid、Windowsというプレイヤーがそろう中で、企業がモバイルの導入を検討する際に、今までよりもはるかに多くの選択肢が用意されています。

一方で、もう1つ忘れてはいけないのは、モバイルプラットフォームがハッキングの標的になり始めたことです。2015年7月に報告されたAndroidをターゲットとした「StageFright攻撃」や、9月~10月に報告されたiOSを標的にする「KeyRaider」「XcodeGhost」「YiSpector」などは記憶に新しいことでしょう。モバイルを導入した企業、導入を検討している企業が、今までよりも真剣にモバイルのセキュリティを考えなければいけない状況にあります。

2016年は企業のモバイル導入がさらに加速すると見られますが、モバイルのセキュリティ対策について今一度整理することで、皆さまの参考になればと思います。モバイルのセキュリティを考える時、モバイルアイアンは「デバイス」「アプリ」「インフラ」という3つの項目で分けて議論します。以下、各項目について説明しましょう。

デバイスセキュリティ

まずは「デバイス」です。「MDM」という言葉は既に浸透しており、認識されていると思います。

MDMと言われた時、「デバイスパスコードの強制」や「デバイス暗号化の強制」、紛失や盗難を想定した「リモートワイプ」「リモートロック」などの機能を思い浮かべることでしょう。ただ、これらの機能は基本中の基本に当たります。そして、OSの標準APIを利用すれば実装のハードルが低いため、「ほとんど誰でも利用できる」と言えます。

ただ、MDMと言っても、iOSだけ対応しているベンダーもあれば、Androidのみをサポートするというベンダーもあります。Windows 10を含め、主要OSをすべて対応できるソフトウェアベンダーは意外と少ないのが実情です。社員に"より多くの選択肢"を提供し、会社としてもより柔軟にプラットフォームを選択できるという観点から考えると、やはりApple、Google、Microsoftと密に連携でき、すべてのOSプラットフォームを迅速に対応できるベンダーを選択すべきでしょう。

モバイルOSは今までのWindowsよりもセキュアです。しかし、JailbreakやRoot化することによって、セキュリティが破られることがあります。昨年報告されたモバイルOSへの攻撃は多くがJailbreak/Root化したデバイスを狙ったものでした。iOS 9がリリースしてから1カ月後には、中国からJailbreakのツールがリリースされました。新しいOSで行われるJailbreakをいち早く検知して、対策を講じることができるかどうか、それもモバイルのセキュリティを検討する時に必要な項目です。

以下が、デバイスセキュリティにおいてチェックすべき項目になります。

  • パスコードの強制
  • 暗号化の強制
  • リモートロック・ワイプ
  • Jailbreak・Root化の検知
  • 最新バージョンの対応速度
  • メジャーのOSの対応(iOS、Android、Windows)

アプリセキュリティ(Managed Open-In)

MDMの機能だけで十分でしょうか? リモートロック、リモートワイプだけで安心でしょうか? 答えは明確な「No」です。

最近は、MAM(モバイルアプリケーションマネジメント)、MCM(モバイルコンテンツマネジメント)という考え方が広まりつつあります。これらは、デバイスだけでなく、「デバイスの中で動作している業務アプリをしっかり守らないといけない」という考え方で、そのアプリが扱う業務コンテンツを保護する必要があるのです。

ご存知かと思いますが、モバイルOSはサンドボックス構造を実装しています。それぞれのアプリが自分のデータ領域を確保しており、その領域が隔離されています。つまり、アプリAは勝手にアプリBのデータを読み込めません。唯一、アプリ間でデータをやり取りできる仕組みは「Open-In」と呼ばれています(Androidでは「共有」)。

iOSでは、矢印のマークをクリックすると、デバイスにインストールされているほかのアプリが表示されて、「どのアプリでそのデータを開きたいか」を決めて、アイコンをクリックすれば、データが別のアプリに渡されて、そのアプリの中で開くことになります。

これらの機能は非常に便利ですが、使い方によっては情報漏えいにつながります。

例えば、1人の営業が会社のメールで顧客名簿をPDFファイルで受信しました。その名簿を開いて、「自分の使っているクラウドサービスに保存すれば、後で必要な時に、いつでも調べられる」と考え、「Open-In」の機能を使って、名簿を自分のDropboxに保存しました。この時点で、名簿はもう管理外の個人領域に漏れて、会社からは追跡もできないし、管理もできなくなります。

こうしたOpen-Inを制御すべく、AppleはiOS 7からManaged Open-Inという機能を実装しています。基本的に、企業のEMMから配布したアプリ、EMMによって設定されたメールアカウントがすべて企業のリソースであって、管理対象(Managed)として認識されます。つまり、管理対象から非管理対象(利用者が自分で設定したメールアカウント、AppStoreから直接インストールしたアプリなど)へのデータの引き渡しを禁止することができます。

iOS 8からは、管理対象の範囲がさらに広がり、「Managed Domain」が設定できるようになりました。Safariを利用して会社のWebサイトにアクセスする場合、企業のEMMで事前に「Managed Domain」を定義すれば、そのサイトの中のファイルを、非管理対象のアプリへと引き渡せなくなります。そのようにOpen-Inを制御することで、モバイル環境の情報漏えい対策として実現しています。iOS 7で「Managed」の概念が紹介されてから既に2年。多くのIT管理者がモバイル環境での情報漏えい対策が必要と認識して、EMMを利用して、Open-Inの制御を行っています。

もちろん、Appleだけではなく、Googleも情報漏えい対策の必要性を理解しています。そのため、Android for Workより、iOSと同等なレベルの制御をAndroid OSにも実装しました。MicrosoftのWindows 10の中でも、EDP(Enterprise Data Protection、企業情報保護機能)の仕組みが実装されています。ただし、iOS、Android、Windows 10、いずれも情報漏えい対策の設定は、EMM経由で行う必要があります。

前編では、アプリケーションのデータ漏えい対策について解説しました。後編では不正アプリ対策やインフラセキュリティについて、引き続きモバイルアイアンの方に解説していただきます。
著者プロフィール

Richard Li(リチャード・リ)
モバイルアイアン シニアテクニカルセールスディレクター

モバイルアイアンでアジア地域、特に日本、中国市場におけるセールス活動を技術的な側面からサポートする。エンジニアとセールス両方の経験を持つため、顧客にとって安心できる立場として仕事に従事している。ブログ「モバイルの日々」を執筆し、日本のEMM市場を牽引するエバンジェリストとしても活躍。前職はシスコシステムズでワイヤレスソリューションの販売を担当していた。