軍用レベルのセキュリティを実現する「KNOX」とは

サムスン電子は3月にスペイン・バルセロナで開催したモバイル製品の発表イベント「SAMSUNG Galaxy UNPACKED 2015」において、最新の「Galaxy S6」と「Galaxy S6 edge」を発表した。これまでのGalaxy Sシリーズのデザインを一新し、新たに金属とガラスの質感を前面に押し出した高性能スマートフォンとして、4月10日より世界各国での発売を予定している。

サムスン電子がMWC2015に合わせて開催したUNPAKCEDイベントで発表した「Galaxy S6 edge」

このGalaxy S6の発表においてサムスンが強調したのが、エンタープライズ向けセキュリティ機能のさらなる強化だ。UNPACKEDイベントに登壇したサムスン電子 エンタープライズ・ビジネス・チーム バイス・プレジデントのグレゴリー・ウェイド氏は、「Defense-grade」のフレーズを強調、「軍事用途レベルのセキュリティを備えている。コンシューマー向けとして最高のスマートフォンであることはもちろん、エンタープライズ向けデバイスとしても即座に導入いただける」(ウェイド氏)と位置付ける。

サムスン電子がMWC2015に合わせて開催したUNPAKCEDイベントで発表した「Galaxy S6 edge」

Galaxy S6セキュリティの中核にあるのが「Samsung KNOX」だ。2013年からGalaxyシリーズが搭載してきたKNOXは、Android OS上にKNOXコンテナーと呼ぶ特別な領域を設け、業務用のアプリやデータを保護するプラットフォームとなる。

これにより1台のスマートフォンの内部を、業務データを扱う企業用の領域と、プライベートデータを扱う個人用の領域に分離することが可能となる。メールや写真、連絡先など、あらゆるデータが業務用と個人用に区別され、相互にアクセスできない構造のため、機密情報が含まれるデータを誤って個人のSNSに投稿するといったミスを防ぐことができる。

KNOXコンテナー内で業務用アプリやデータを保護できる

これらの領域はOS内部で分離しており、プロセス間通信やアプリ間連携機能からも保護されるという。これにより、個人用の領域に悪意のあるアプリが混入したとしても、KNOXコンテナー内のデータを読み取られる不安はないとしている。

また、Android OS自体の改変にも対策を施している。ブートローダーを保護するセキュアブートや、OSカーネルを保護するトラステッドブート機能を搭載、これらはARMアーキテクチャのSoCが備える「TrustZone」機能をベースとした実装となっている。

万が一、カーネルの改変を検出した場合には、1度だけ書き換え可能なヒューズをオンにすることでフラグを立てる仕組みも備える。これはカーネルが信頼できない状態を意味しており、Knoxコンテナーを利用することはできなくなるが、Android OSは通常通り機能し、個人向けの領域にアクセスできる仕組みとなっている。

KNOX 2.4でMDMソリューションとの連携を強化

MWC2015においてサムスンは、企業向けモバイルに関するイベントで、2015年のビジネス用スマートフォンはAndroidが73.8%のシェアを占めるというIDCの予測を引用した。iOSやWindowsデバイスの出荷台数も今後数年間で伸びていくとしつつも、Androidが大多数を占めるトレンドが大きく変わることはないとの見通しを語った。

サムスンはこうした市場環境を背景に、Galaxy S6の優位性を語る。業務用データを保護するため、個人のスマートフォンとは別に業務用の端末を「2台持ち」させる企業が増える中、サムスンはKNOXを活用することで、最高のAndroidスマートフォンを仕事とプライベートの両方に使うべきである、と主張している。

実際に従業員の退職や端末の紛失時には、対応したMDMソリューションを用いることでリモートからKNOXコンテナーを削除することになる。これにより業務用のデータを完全に削除しつつ、個人用の領域は継続して利用できるため、従業員の私的財産とみなされるプライベートデータを削除することに対する訴訟リスクを回避できるとしている。

主要なMDMソリューションがGalaxy S6に対応、最新のKNOX 2.4をサポートする

Galaxy S6では、最新バージョンである「KNOX 2.4」を搭載する。新機能として、「KNOX Quick Access with Samsung Gear」機能では、サムスンのGearシリーズのウェアラブルデバイスと連携することで、スマートウォッチやヘッドセットの接続を維持している間はKNOXコンテナーのロック解除の手間を省くことが可能となる。スマートフォンがウェアラブルデバイスから一定の距離に離れ、Bluetoothの接続が切れた場合はただちにロックされる仕組みだ。

他にも、MDMソリューションと連携することで多数のデバイスを容易にセットアップできる「KNOX Mobile Enrollment」機能、Active Directoryとの統合によりKNOXコンテナーにアクセスするためのパスワード入力を最小化する「Container Login using Active Directory」に対応。これまでKnoxコンテナー内からの接続がサポートされなかったNFCやBluetooth機能も、利用できるようになっている。

MWC2015関連記事

Firefox OSを採用したIoT時代のコアデバイス「Runcible」とは

認証技術の"プレミアム"、虹彩認証でスマホのセキュリティは変わるか - 富士通担当者インタビュー

Windows Phoneは法人向けスマホとして圧倒的 - freetel CEO 増田氏インタビュー

マウスコンピュータがWindows Phoneを手がける理由

Apple & IBM連合への対抗馬? Android for Workでゲーム・チェンジを狙うGoogleとSAP、両者に聞くエンタープライズ戦略

テレコム分野にも仮想化とクラウドのトレンド、Ericsson 担当者インタビュー