モバイル端末を業務で活用するためのUEM
モバイル端末を活用して、さまざまな場所で仕事をする人が増えている。新型コロナウイルス対策のために、テレワークを取り入れた新しい働き方に変化しており、結果的にモバイル端末の利用がさらに増えている。このような状況の中で、 モバイルを中心とした統合エンドポイント管理(Unified Endpoint Management:UEM)およびゼロトラスト・セキュリティソリューションを提供するモバイルアイアンでは、ニューノーマルな働き方を進める企業を”Everywhere Enterprise”と定義している。「これは働く場所にとらわれない、分散型企業のことです」とリチャード氏は言う。
新型コロナウイルスのパンデミックが発生する以前からこの傾向は出てきており、クラウドを利用してさまざまな場所にITインフラを配置してきた。その上でユーザーや顧客も分散しており、さまざまな場所からITツールを使うことで、スムーズなコミュニケーションや業務の生産性向上を実現しようとしてきた。このEverywhere Enterpriseでは、当然ながら「モバイルの利活用、端末の効率的な管理が重要になります」とリチャード氏。そのために必要となるのが、MobileIron UEMだと指摘する。
例えばMobileIron UEMを使うことで、1つのプラットフォームでさまざまなモバイル端末を一括して管理できるようになるという。端末をMobileIron UEMに登録することで必要なセキュリティ設定が行われ、業務用のアプリケーションが端末に自動的にインストールされるため、ユーザーはすぐに端末を使用することできる。またユーザー管理のためには、既存のActive Directoryなどの仕組みとも連携が可能だ。さらにMobileIron UEMはCA局としても動くので「証明書の管理、運用もこれを使って楽に行えます」とリチャード氏は紹介する。
MobileIron UEMは、iOSやAndroidの端末はもちろん、macOSやWindowsにも対応する。本セッションでは、特にiOSとAndroidについての解説が行われた。最初にリチャード氏が指摘したのが、モバイル端末で仕事をするためにはアプリケーションが必要ということ。アプリケーションをApp StoreやGoogle Playから直接インストールすると、モバイル端末の中の個人領域に入ることになる。MobileIron UEMで管理していれば、個人領域とは別に企業領域が確保される。そして、アプリケーションをMobileIron UEM経由で入手すれば企業領域にインストールされるため、企業領域にあるデータを個人領域に引き渡すことを禁止できる。
しかし、仕事で扱う情報を保護するために、領域を分けてデバイスを管理するだけでは不十分。通常、モバイル端末から企業のインフラにアクセスする際には、その接続が許可されるものかどうかを判別する必要がある。アクセスしてきた端末が管理下にあることが前提であり、その上で企業領域にあるアプリケーションからであればアクセスを許可することになる。管理下の端末であっても、個人領域のアプリケーションからのアクセスは拒否できなければならない。MobileIron UEMでは、ここまでの制御をすることで、モバイル端末のセキュアな業務利用ができるわけだ。
どんな環境からでも、ゼロ・サインオンを実現
一般的に、端末からアクセスする際には、IDとパスワードが使われていることが多いだろう。実は、パスワードは安全でないとリチャード氏は指摘する。ID、パスワードの認証は、既に60年くらい前からある古い技術。いくつかの問題を抱えているが、未だにそれらは解決されていないのだ。1つ目の問題は、パスワードがセキュリティリスクになりうること。セキュリティインシデントの80%は、推測されやすいパスワードか漏洩されたパスワードによって引き起こされている。
また、44%の人が職場でフィッシング攻撃に遭った経験があるという。これは、明らかにパスワードを盗もうとしているものだ。さらに、同じパスワードを複数のサービスで使い回す人も多い。IDとパスワードだけでアクセスを許可していると、こういった盗難や漏洩による不正ユーザーのアクセスを防ぐことはできないという。
もう1つの問題が、パスワード認証がユーザー体験を損なっていることだ。平均的に1人のユーザーは25から85のアカウントを管理している。また、定期的なパスワード変更を強いるサービスもあるが、人の記憶ではその管理に限界があるため、パスワードを忘れてしまい、ロックされてサービスが使えないという事態にも陥ってしまう。加えて、企業側から見ても、パスワードロック解除のために多くの労力とコストがかかっている。
そのため現在では、パスワード以外の認証方法が求められている。MobileIron UEMでは「ゼロ・サインオン」機能により、証明書を活用したパスワードを使わない認証が可能だ。この認証方法ではMobileIron UEMで管理している端末はもちろんのこと、管理していない端末においても、パスワードレスの認証が利用できるようになるという。
リチャード氏は、実際にMobileIron UEMに登録して端末を利用するデモを紹介。自身が普段利用しているiPadを用い、まずは企業領域にOutlookを追加する様子を解説した。管理サーバーから配信されたアプリケーションは自動的に企業領域にインストールされ、アカウントの設定も自身のIDと結びついているために、自動で設定済みの状態となる。「パスワードの入力なしですぐに仕事のメールが使えるようになります」とリチャード氏。
また、クラウドストレージのBoxやSalesforceの例でも、企業領域のアプリケーションからアクセスすればID、パスワードを入力することなく、証明書を使ったゼロ・サインオン認証ですぐに使えるようになる様子が示された。
「これらを使うのに私は一度もID、パスワードを入れていませんが、裏で証明書による認証が行われ安全に接続されているのです」とリチャード氏は言う。
一方、同じ端末の個人領域にあるアプリケーションからアクセスするとどうなるかも示された。個人領域にあるブラウザを立ち上げ、そこからOutlookにログインしようとすると、企業リソースにはアクセスできないとのアラートが出現してブロックされた。これは、SalesforceやBoxにブラウザからアクセスしようとしても同じである。ブラウザが個人領域にあるために、安全ではないと判断されているためだ。
他にも、管理されていない端末からパスワードレスで接続する方法も紹介された。MobileIron UEMによって管理されていない端末でSalesforceなどに接続しようとすると、QRコードが表示される。QRコードを管理されているiPadのMobileIronの管理用アプリケーションで読み込む。このときiPadでは、生体認証であるFace IDや指紋認証を用いて端末自体のユーザー認証をしているため、その端末が正式なユーザーのものだと判断され、結果的にアクセスを許可しているという。
MobileIron Threat Defenseで攻撃から自動でモバイル端末を守る
もう1つ、端末の中の企業情報を守るための機能として、「MobileIron Threat Defense」も紹介された。これは、モバイル端末向けセキュリティソリューションを提供しているZimperium社の攻撃検知エンジンをMobileIron UEMのエージェントアプリケーションに組み込んだもので、管理者側で機能を有効にすれば、ユーザーには一切インストールや設定の手間をかけず、攻撃を検知して防御アクションをとることができるようになる。一般的な脅威検知製品と異なり、企業の管理下にある端末で100%脅威検知を有効にすることができるので、一部の端末がセキュリティホールとなることがなく、企業全体のセキュリティを確保することができる。また、攻撃検知エンジンは端末上で動作するので、ネットワーク接続がない場合も迅速に防御を行うことができるという。
実際にデモでは仕事用端末にしかけられた中間者攻撃を検知し、自動的にコンプライアンス違反であると端末上に表示される様子が紹介された。さらに、その後のアクションとして、業務用のアプリケーションやアカウントは全て自動的に削除された。削除以外にもロックなどの使用制御もできるという。リチャード氏は、「もし、個人的にアプリケーションを入れ直したとしても個人領域にインストールされるため、前述したように企業領域へのアクセスはブロックされます。そして、中間者攻撃が検知されなくなると、自動的にアプリケーションがインストールされ、再び使用できるようになります」と特徴を述べた。
UEMだけでなくパスワードレス認証など統合的なソリューション
MobileIron製品のアーキテクチャは、複数のコンポーネントが組み合わせられている。端末を登録して必要な設定を行い管理する基盤となるUEMがあり、社内への安全な通信を実現するSENTRYやクラウドへのログイン制御のACCESS、先ほど紹介したMobileIron Threat Defenseがある。これらを必要に応じて組み合わせて利用することができる。MobileIron製品は、既に国内で400社以上が利用しており、「日本を代表するそうそうたる企業の、厳しいセキュリティ要件もMobileIronは満たしています」とリチャード氏。どのような企業でも安心して導入を検討してもらえるソリューションだということを強調した。
ポストコロナの時代には、よりいっそうモバイル端末の利活用が増えることになる。「一般的なUEM機能のソリューションは他にもあるかもしれませんが、完全な条件付きアクセスやパスワードレス認証、さらに外部脅威検知・防御機能などを一体化して提供できるのはMobileIronならではのものです」とリチャード氏は説明する。また、モバイルアイアンラーニングセンターには、さまざまな資料やデモを多数用意しているので、これからモバイル端末を活用してニューノーマルな働き方を推進しようとしている企業は、ぜひそれらを参照してほしいと講演を締めくくった。