Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第3回 MDM対策のポイント

  2015/04/17 06:00

企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第3の楯は「MDM対策」です。

 昨今のビジネス・シーンでは、スマートフォン/タブレットのようなスマートデバイス端末と呼ばれるモバイル機器の活用が急速に広まっています。モバイル機器はワークスタイルを変革させ利便性を向上させる一方で、機器が小型であることから「紛失/置き忘れ」、「盗難」等のセキュリティ・リスクが高まります。そのため、モバイル機器活用におけるセキュリティ対策は、従来のPCと同等かそれ以上に重要となります。

 モバイル機器使用時のセキュリティ課題として以下の3点が挙げられます。

  1.  不正入手時の情報漏洩 第三者によるパスコード解除、機密データの持ち出し、端末位置の特定
  2.  端末利用時のセキュリティ 脆弱なパスワード利用、不適切サイトへの閲覧/接続、無許可アプリケーションのインストール、管理者権限の利用(root化)
  3.  運用 設定情報の管理、利用アプリケーションの管理、ポリシーの強制適用、パターン・ファイルやセキュリティ・パッチの強制適用

 これらの課題に対する対策として、以下の4つのポイントに分けて考察していきます。

1.不正入手(紛失/置き忘れ/盗難)対策

 モバイル機器の紛失/盗難等により、第三者に不正利用されないよう、ユーザID/パスワード等の(本人)認証の仕組みの実装が最低限必要です。しかし、よりセキュアかつ安心して使用できる状態にするためには、あらかじめ紛失/盗難等を想定した対策を実装しておきます。

 【対策のポイント】認証連動とリモート操作

 認証連動

 本人認証と連動し、不正なユーザIDやパスワードが複数回入力された場合に、端末を初期化(ワイプ)してデータ自体を削除するか、無効化(ロック)を実施し使用できないように設定する。

 リモート操作

 モバイル機器を管理者配下に設置し、リモート操作により、初期化(ワイプ)や無効化(ロック)を実施して、データ自体を削除するか、使用できないように設定する。

不正入手(紛失/置き忘れ/盗難)対策 ~認証連動とリモート操作~

図1 不正入手(紛失/置き忘れ/盗難)対策 ~認証連動とリモート操作~

 BYOD(個人保有デバイスの業務利用)により、私用とビジネス利用を併用しているケースでは、「MAM」(Mobile Application Management:BYODに対して、業務用のアプリケーションやデータのみを管理する仕組み)や「MCM」(MCM:Mobile Content Management:BYODに対して、業務用のデータや文書ファイルのみを管理する仕組み)の観点から、特定のアプリケーションやコンテンツのみをセキュリティ管理の対象とすることも有効です。  

2.アクセス・ポイントの制御対策

 ビジネス・シーンでモバイル機器の利用が普及してきた背景には、Wi-Fi等の無線アクセス・ポイントが整備され、ワークスタイルの変革という言葉で表されるように場所を選ばずに業務ができるようになったことが要因の1つと考えられます。しかし、この無線アクセス・ポイントでもデータの漏洩やマルウェアの侵入などが起こり得る可能性があることから、セキュリティ・リスクの1つとして対応を検討しなければなりません。無線アクセス・ポイントに関しては以下のようにアクセス・ポイントを制限するという対策が有効です。

 【対策のポイント】アクセス・ポイントを制限する

 社内では、未承認のアクセス・ポイント(Wi-Fi等)には接続不可とし、SSID自体も非表示とする。社外では、許可された公衆アクセス・ポイントのみに接続し、必要に応じて社内接続用のVPNサーバのみに接続可能とする。また、インターネットを使用する場合は、一度VPNを経由し社内のネットワークに接続後、プロキシやファイアウォールを経由する。

アクセス・ポイントの制御対策 ~アクセス・ポイントの制限~

図2 アクセス・ポイントの制御対策 ~アクセス・ポイントの制限~

3.端末設定での対策

 モバイル機器の社外利用や無線アクセス・ポイントへの接続時のセキュリティ・リスクを想定し、「端末」側で必要な対策として以下4点を実施します。

 【対策のポイント】端末側で対応する

 パスワード・ポリシーの強化

 本人認証と社外における不特定の第三者使用を排除する観点から、より強固で複雑なパスワード・ポリシーを設定する。

 利用可能アプリケーションの制限

 PCと同様、モバイル機器でも、業務上不要なアプリケーション(ファイル共有等)の利用を制限する。

 Webアクセスのフィルタリング

 業務上不要または不適切なサイトへのアクセスを制限する。

 root化、JailBreakの検知

 ポリシーとして本来認められていないroot化/JailBreak時に管理者へ通知することにより、不正使用の予兆と早期検知を実現する。

4.端末管理での対策

 端末での設定と同様に、「端末管理」側でもモバイル機器の社外利用や無線アクセス・ポイントへの接続時のセキュリティ・リスクを想定し、対策として以下の4点を実施します。

 【対策のポイント】管理側でも対策を実施

 設定情報の管理

 不正アプリケーションの検知やウイルス・チェックのパターン・ファイル更新/最新のセキュリティ・パッチの適用状況等を把握し、脆弱性を早期に発見する。

 インストール制限

 ファイル共有等、業務上不要なアプリケーションのインストールを制限する。

 パターン・ファイル/パッチ・ファイルの一斉適用

 デバイスごとに適用状況が異なることによるセキュリティ・リスクを考慮し、ウイルス対策やセキュリティ・パッチを常時最新に統一する。

 ポリシーの一斉配布/一括管理

 上記と同様にセキュアな環境を維持するための強固なポリシー(プロファイル)を統合的に実装する。

 今回はMDM対策について整理してみました。次回は持ち出し制御について解説します。



著者プロフィール

  • 伊藤 雄介(イトウ ユウスケ)

    株式会社アシスト システムソフトウェア事業部 メインフレーム時代から23年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化したうえでの最適な提案を得意とす...

バックナンバー

連載:情報漏洩対策に必要な7つの楯
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5