法人市場におけるモバイル化の波は、もはや説明する必要がないほど、多くの企業を飲み込んでいます。BYOD、企業によるモバイルデバイスの導入など、その事例は枚挙にいとまがない状況にあります。
一方で、「これまでフィーチャーフォンしか導入しておらず、これからモバイルデバイスを導入する」という状況の企業も多く、「モバイルデバイスを導入する時にどのような対策、どのようなソリューションを導入すれば良いのか」がわからない情報システム部門の人も多いことかと思います。
そこで、携帯キャリアやソフトウェアベンダーなどに「なぜソリューションが必要なのか、プラットフォームのどのような機能を利用すれば良いのか」を解説いただき、モバイルデバイス導入時の悩みをスッキリ解決します。
第6回は第5回から引き続き、3大プラットフォーマーの1つ、日本マイクロソフトでエンジニアを務める小町紘之氏に、いかにしてモバイルセキュリティを担保しつつ、クラウドのメリットを享受するかについて解説いただきます。
MDMにプラスαを
前回、モバイルセキュリティを考えるうえで「アクセスコントロール」が重要であり、アクセスコントロールは「識別」「認証」「認可」「説明責任」の4つから成り立っているとお話しました。また、小社の「EMS(Enterprise Mobility Suit)」において、MDMの主たるソリューションである「Microsoft Intune」の機能も紹介しましたが、これだけでは「説明責任」を十分に果たせるわけではありません。
そこで重要になってくるのが、EMSに含まれる「Azure Active Directory Premium」と「Azure Rights Management Premium」です。「Azure Active Directory Premium」を利用した場合、以下のようなレポート機能を利用できます。
このレポート機能の優れている点は、単なるアクセスログの出力ではなく、「複数地域からのサインイン」や「資格情報が漏えいしたユーザー」「感染の疑いのあるデバイスからのサインイン」といったセキュリティ上脅威となる異常なアクティビティについて、ログ分析結果を出力してくれることです。
これによって、万が一IDが漏えいした場合、もしくはウイルス感染によって悪用された場合においても、その問題を迅速に検知します。逆説的に言えば、MDM/MAM/MCM機能の実現のために用意したソリューションで、「社内に対して不正アクセスが行われていないか」を証明できることことも意味しているわけです。
また、データそのものについても「Azure Rights Management Premium」を利用することで説明責任を果たせます。情報システム部門の方には「データ暗号化ソリューション」という認識が広まっているようですが、暗号化だけでなく、同時にIDとデータのひも付けを行っています。
それによって暗号化されたデータは、以下の画面のように「いつ」「誰が」「どこで」「データ参照に成功/拒否」という事態を確認できます。こちらの例では、データ参照が許可されたユーザー以外のユーザーが該当データを参照しようとして7回拒否された時刻が記録されています。
一方で以下の事例では、データがアメリカと日本で参照され、アメリカで6回、日本で1回拒否されたことがわかります。
これまでの暗号化ソリューションでは、手元を離れた暗号化データを追跡することは困難でした。そのため、BYODのような管理されていないデバイスでデータを扱うことに不安を覚えることも多かったと思います。しかし、「Azure Rights Management Premium」ではIDとデータをひも付けることでファイル単位の追跡を可能にし、想定していないユーザー、もしくは「想定していない場所で該当データが参照されようとしていないか?」という説明責任を果たし、仮にデータ本体が流出したとしてもアクセス不能にすることで、そのセキュリティを担保しています。
このように、禁止という方法ではなしえなかったモバイルセキュリティをEMSでは「説明責任を果たす」こととあわせて実現しています。どれほど強固にデバイスやデータを保護できたとしても、その保護対象の状態を証明できなければ、思いこみのセキュリティにしかすぎません。
思いこみは重大インシデントの予兆を見逃す結果となり、結果として被害が拡大することもしばしばです。迅速な検知・説明責任を果たすため、EMSはあくまでもその証明をする手段の一例にしかすぎません。ですが、モバイルセキュリティを今後検討する上で、モバイルデバイスの利用を禁止するのではなく、アンダーコントロール状態にした上で、「説明責任を果たすというアプローチがなぜ重要であるか」を踏まえてご検討いただきたいと思います。
著者プロフィール小町 紘之(Hiroyuki Komachi)
顧客環境のトラブルシュートから、ナレッジトランスファーのようなプロアクティブな活動まで行うフィールド エンジニア部隊の一員。
マイクロソフト プレミア フィールド エンジニア
担当するプロダクトはOffice 365 からセキュリティ まで幅広く持つ。CISSPを保持しており、最近は各種セキュリティイベントにて 「Security as a Service」をテーマにクラウドセキュリティを中心とした登壇活動も行っている。
常に5~6つのガジェットを持ち歩くガジェットマニア。