SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

情報漏洩対策に必要な7つの楯

第3回 MDM対策のポイント

企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第3の楯は「MDM対策」です。

 昨今のビジネス・シーンでは、スマートフォン/タブレットのようなスマートデバイス端末と呼ばれるモバイル機器の活用が急速に広まっています。モバイル機器はワークスタイルを変革させ利便性を向上させる一方で、機器が小型であることから「紛失/置き忘れ」、「盗難」等のセキュリティ・リスクが高まります。そのため、モバイル機器活用におけるセキュリティ対策は、従来のPCと同等かそれ以上に重要となります。

 モバイル機器使用時のセキュリティ課題として以下の3点が挙げられます。

  1.  不正入手時の情報漏洩 第三者によるパスコード解除、機密データの持ち出し、端末位置の特定
  2.  端末利用時のセキュリティ 脆弱なパスワード利用、不適切サイトへの閲覧/接続、無許可アプリケーションのインストール、管理者権限の利用(root化)
  3.  運用 設定情報の管理、利用アプリケーションの管理、ポリシーの強制適用、パターン・ファイルやセキュリティ・パッチの強制適用

 これらの課題に対する対策として、以下の4つのポイントに分けて考察していきます。

1.不正入手(紛失/置き忘れ/盗難)対策

 モバイル機器の紛失/盗難等により、第三者に不正利用されないよう、ユーザID/パスワード等の(本人)認証の仕組みの実装が最低限必要です。しかし、よりセキュアかつ安心して使用できる状態にするためには、あらかじめ紛失/盗難等を想定した対策を実装しておきます。

 【対策のポイント】認証連動とリモート操作

 認証連動

 本人認証と連動し、不正なユーザIDやパスワードが複数回入力された場合に、端末を初期化(ワイプ)してデータ自体を削除するか、無効化(ロック)を実施し使用できないように設定する。

 リモート操作

 モバイル機器を管理者配下に設置し、リモート操作により、初期化(ワイプ)や無効化(ロック)を実施して、データ自体を削除するか、使用できないように設定する。

不正入手(紛失/置き忘れ/盗難)対策 ~認証連動とリモート操作~

図1 不正入手(紛失/置き忘れ/盗難)対策 ~認証連動とリモート操作~

 BYOD(個人保有デバイスの業務利用)により、私用とビジネス利用を併用しているケースでは、「MAM」(Mobile Application Management:BYODに対して、業務用のアプリケーションやデータのみを管理する仕組み)や「MCM」(MCM:Mobile Content Management:BYODに対して、業務用のデータや文書ファイルのみを管理する仕組み)の観点から、特定のアプリケーションやコンテンツのみをセキュリティ管理の対象とすることも有効です。  

2.アクセス・ポイントの制御対策

 ビジネス・シーンでモバイル機器の利用が普及してきた背景には、Wi-Fi等の無線アクセス・ポイントが整備され、ワークスタイルの変革という言葉で表されるように場所を選ばずに業務ができるようになったことが要因の1つと考えられます。しかし、この無線アクセス・ポイントでもデータの漏洩やマルウェアの侵入などが起こり得る可能性があることから、セキュリティ・リスクの1つとして対応を検討しなければなりません。無線アクセス・ポイントに関しては以下のようにアクセス・ポイントを制限するという対策が有効です。

 【対策のポイント】アクセス・ポイントを制限する

 社内では、未承認のアクセス・ポイント(Wi-Fi等)には接続不可とし、SSID自体も非表示とする。社外では、許可された公衆アクセス・ポイントのみに接続し、必要に応じて社内接続用のVPNサーバのみに接続可能とする。また、インターネットを使用する場合は、一度VPNを経由し社内のネットワークに接続後、プロキシやファイアウォールを経由する。

アクセス・ポイントの制御対策 ~アクセス・ポイントの制限~

図2 アクセス・ポイントの制御対策 ~アクセス・ポイントの制限~

3.端末設定での対策

 モバイル機器の社外利用や無線アクセス・ポイントへの接続時のセキュリティ・リスクを想定し、「端末」側で必要な対策として以下4点を実施します。

 【対策のポイント】端末側で対応する

 パスワード・ポリシーの強化

 本人認証と社外における不特定の第三者使用を排除する観点から、より強固で複雑なパスワード・ポリシーを設定する。

 利用可能アプリケーションの制限

 PCと同様、モバイル機器でも、業務上不要なアプリケーション(ファイル共有等)の利用を制限する。

 Webアクセスのフィルタリング

 業務上不要または不適切なサイトへのアクセスを制限する。

 root化、JailBreakの検知

 ポリシーとして本来認められていないroot化/JailBreak時に管理者へ通知することにより、不正使用の予兆と早期検知を実現する。

4.端末管理での対策

 端末での設定と同様に、「端末管理」側でもモバイル機器の社外利用や無線アクセス・ポイントへの接続時のセキュリティ・リスクを想定し、対策として以下の4点を実施します。

 【対策のポイント】管理側でも対策を実施

 設定情報の管理

 不正アプリケーションの検知やウイルス・チェックのパターン・ファイル更新/最新のセキュリティ・パッチの適用状況等を把握し、脆弱性を早期に発見する。

 インストール制限

 ファイル共有等、業務上不要なアプリケーションのインストールを制限する。

 パターン・ファイル/パッチ・ファイルの一斉適用

 デバイスごとに適用状況が異なることによるセキュリティ・リスクを考慮し、ウイルス対策やセキュリティ・パッチを常時最新に統一する。

 ポリシーの一斉配布/一括管理

 上記と同様にセキュアな環境を維持するための強固なポリシー(プロファイル)を統合的に実装する。

 今回はMDM対策について整理してみました。次回は持ち出し制御について解説します。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
情報漏洩対策に必要な7つの楯連載記事一覧

もっと読む

この記事の著者

伊藤 雄介(イトウ ユウスケ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6695 2015/04/17 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング