「Bring Your Own Device(BYOD)」とも呼ばれる、個人が保有する端末機器の職場への持ち込みは、情報管理と情報保護に関する問題を提起しました。BYOD は、企業と個人が持つ情報の境界線をあいまいにしただけではなく、例えば、端末機器の紛失や窃取、また、従業員が保有する端末機器を介した情報漏えいといった危険性をもたらしました。
「モバイルデバイス管理(Mobile Device Management、MDM)」は、IT管理者が個人所有の端末機器内にある企業の情報やアプリを監視し、保護する手法です。しかしやはり、MDM にはいくつか考慮すべき点があります。
■MDM に関する懸念
MDM に関する最大の懸念の 1つは、セキュリティの問題です。2014年の情報セキュリティ国際会議「Black Hat」の講演で、MDM とそれに関連するセキュリティ上の潜在的な危険性が強調されました。そこで行われたデモでは、これらのセキュリティ対策ツールに不具合があることが判明しました。例えば、「認証を無視する」、「暗号化をせずにワンタイムパスワードを送信する」などです。また、攻撃者の端末機器上にユーザの携帯端末内の個人情報を複製し、攻撃を開始することができることを明らかにしたセキュリティ専門家もいました。
MDM に関するこのような懸念が提起されたのは、これが初めてではありません。昨年の「Black Hat」のヨーロッパ会議でも、MDM を狙った攻撃に関する講演がありました。この講演では、特に ”Spy Phone” と呼ばれるアプリ利用して、攻撃者が個人情報を窃取する手法が注目されました。
■MDM について再考する
こうした攻撃のシナリオは、MDM はセキュリティを保護する手法ではなく、むしろさらなる攻撃を起こすための入り口となる可能性があることを明らかにしました。端末機器を保護するための適切なツールやインターフェースを選択する際に、企業が賢明でなければいけないのは、まさにこうした理由からです。MDM のような環境の活用を検討している企業は、以下の点を追求すべきでしょう。
- ユーザが使いやすいものにする:従業員に必要なプログラムやアプリは、簡単にインストールできるものにすべきです。MDM のアプリは、Android や iOS といったさまざまなプラットフォームで利用できると良いでしょう。こうしたアプリは、スマートフォンでもタブレット上でもわかりやすく簡単に扱えるものでなければいけません。そうすることによって、従業員は容易にそのアプリを使いこなすことができます。
従業員にとってなじみのあるアプリを使用するということは、「コンテナ技術」を使用する際にしばしば起こる問題に対処します。コンテナ技術とは、BYOD の環境下で頻繁に使用される技術で、企業の IT部門が、従業員の機器内の「封鎖」されている特定の領域を管理することを可能にします。このコンテナには、企業のすべてのアプリと情報が入っています。
しかし、残念ながら、コンテナ内のほとんどのアプリは、それぞれユーザインターフェース(UI)が異なっており、それが従業員の意欲をそぐかもしれません。さらに、「安全」なコンテナはホストシステムの整合性に依存します。つまり、ホストシステムが侵害された場合、そこに含まれた中身は安全でなくなります。気を付けるべき点は、企業の情報やアプリは、従業員の端末機器内に置かれたままだということです。つまりこうした端末機器は、企業の IT部門が完全に管理、ホストしているものではありません。端末機器が窃取されたり、紛失した場合は、こうした状況は重大な問題を引き起こす可能性があります。
- 管理を簡素化する:管理のしやすさと透明性から、IT管理者は、1つのコンソールですべてのユーザを中央管理できるようにすべきです。プロフィールで管理する方法などは非常に有効でしょう。当然のこととして、IT管理者が求めるべき点は、システム内に簡単に設置できることです。
- 安全性を追求する:安全性は、企業にとって最大の懸念です。企業は、業務に関連したアプリや情報を保護することを優先して、セキュリティ対策や方法を検討する必要があります。企業はまた、保護された別の企業にアプリや情報を保存し、その企業の IT管理者が管理できるようにすることも可能です。こうした場合、アプリや情報は端末機器上ではなくサーバ上に保存されるため、端末機器の窃取や紛失に対する問題に対処することができます。従業員には、しばしば「仮想ワークスペース」と言った形で、端末機器内に安全な環境が提供されるべきです。こうすることで、情報は潜在的な攻撃者から保護されます。
■セキュリティのブロックを築く
1つとして同じ企業は存在しません。企業はそれぞれ独自の環境に合わせた MDM の構成や設定が必要になるかもしれません。しかし、安全で保護された BYOD の環境を構築するために、この記事で取り上げた対策を建物のブロックのように活用すると良いでしょう。こうした「ブロック」が実践されれば、IT管理者は、容易に従業員の端末機器内にある企業の情報やアプリを監視し、保護することができるようになります。
従業員の端末機器のセキュリティ対策をお考えの企業は、トレンドマイクロの「Safe Mobile Workforce(英語情報)」をご検討ください。「Safe Mobile Workforce」によって、IT管理者は従業員を邪魔することなく、企業の情報資産を完全に管理することができます。
参考記事:
by Rachel Jin (Mobile Threat Response Manager)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)