最近は、スマートフォンやタブレットを業務で利用するケースが増え、社員の個人端末を業務で利用する「BYOD (Bring your own device)」も、盛んに論じられるようになってきた。一方で、スマートデバイスによる企業の情報漏えいの危険性も同時に高まっている。比較的セキュリティやポリシー管理が徹底されているPCに比べ、スマートデバイスのセキュリティは、まだまだ低いレベルにあるためだ。
数カ月ほど前に「韓国国防省が情報漏洩対策を図るため、軍関係者が使用するスマートフォンについて、カメラ機能や録音機能を強制的に使えなくするアプリをインストールするよう指令した」との報道があった。アプリ自体は以前から存在していたが、全体の20%ほどにあたるスタッフがインストールしていなかったため、強制インストールを発令したとのことだ。
つまり、個人の判断に任せていたため、カメラ機能の無効化が行き届かなかったわけだ。機能無効化のためのアプリをインストールする作業が個別に必要になるのは仕方ないとしても、組織によって業務に合わせたセキュリティポリシーがあるだろうから、設定内容ぐらいは管理者が強制的に統一したいところである。Windowsサーバで、Active Directoryとグループポリシーを使ってクライアントPCの設定を強制するのと同じ考え方だ。
このように、スマートデバイスに対してパスワードロックを強制したり、カメラの利用を制限するようなセキュリティポリシーを適用するソリューションがMDM(Mobile Device Management:モバイルデバイス管理)だ。スマートデバイスを利用する企業では、必須といわれるソフトだ。ただ、新たにサーバを立てる必要があるなど、中小企業にとっては敷居が高い。
それを手軽に実現しようというのが、ヤマハの無線LANアクセスポイント「WLX302」に新たに実装されるモバイル端末管理機能、いわゆるMDMオプションだ。この機能は、サーバを立てることなく「WLX302」単体でMDMを実現できる優れものだ。
「WLX302」のMDMでできること
「WLX302」のMDMは、OSにiOSまたはAndroidを搭載するスマートフォンやタブレットに対応している。設定画面では、カメラ機能やアプリのインストールなど、セキュリティに影響しそうな項目について、個別に「許可」「禁止」の別を指定できる。設定できる項目は、OSの種類やバージョンによって異なる。
また、インストール済みのアプリ一覧を把握したり、実行できるアプリを限定したりといったこともできるため、管理者が許可していないアプリをインストールしているユーザーを発見することも可能だ。
特に、悪意のあるアプリケーションを勝手にインストールして実行するような事態は避けたいところなので、このような機能は重要となる。
さらに、デバイスが盗難に遭ったり、紛失した場合に備えて、デバイスロックやワイプを指示することもできる。現行の仕様では、いったんWLX302に登録したデバイスはずっとWLX302の管理下に置かれ、WLX302のMDM機能で設定したポリシーの適用を続けるようになっている。そのため、当該デバイスが何らかの形で通信可能な状態になれば、WLX302を通じて管理者が発した指令を受け取ってロックをかける。その後は、正しいパスワードを入力するまでロックは解除できない。
MDMの導入・設定
「WLX302」のMDM機能を利用するには、MDM対応のファームウェアに変更する必要がある。10月現在は、ベータ版のみが提供されており、ヤマハネットワークエンジニアに入会(無料)すれば、無料で利用できる。試用したい人は、会員登録して、ダウンロードしてほしい。
MDM機能はベータ版では無料だが、正式リリースに関してはベータ版の反応を見て検討していく予定だ。
なお、モバイル端末を管理するためには、プッシュ通知サービスを利用する(Android端末をポーリング方式で管理する場合は除く)ため、WLX302からプッシュ通知サービスへ接続する必要がある。また、端末がWi-Fiに接続している場合は、端末からプッシュ通知サービスへWi-Fi経由で接続する必要がある。そのほか、LANの外へ持ち出す端末を管理するには、WLX302のMDMサーバを公開する設定が必要だ。
管理できるスマートデバイスは、iOSが5.0以降がインストールされたiPhone 4、iPhone 4S、iPhone 5、iPad 2、新しいiPad(第3世代)、iPad mini、iPad Retinaディスプレイモデル(第4世代)、iPod touch(第4世代)、iPod touch(第5世代)。AndroidがNTTドコモのGALAXY NEXUS SC-04D(Android 4.2以降)だ。
管理対象となるデバイスでは、Androidの場合だけ専用アプリのインストールが必要になる。
ポリシー設定画面は、「モバイル端末管理」の中の「共通設定」にある。これは、許可する機能やアプリ、あるいは禁止する機能に関する設定の集合体だ。OS別に画面が分かれており、設定は「制限する」、「制限しない」をラジオボタンで選択するだけで簡単に設定できる。ポリシー名を分けることで、複数のポリシーを登録して、デバイスの持ち主が所属する部署、あるいは仕事の内容によって使い分けることも可能だ。
たとえば、ポリシーの設定でカメラ機能の使用を禁止すると、そのポリシーを対象デバイスに送信・適用した時点で、カメラ機能が使えなくなる。このとき、iOSではカメラ機能のアイコンそのものが非表示になる。一方、Androidではアイコン自体は表示したままで、それを実行しようとするとエラーになるという挙動の違いがあるが、結果は同じだ。
管理できる端末情報およびポリシーは、以下のとおりだ。
OS | iOS | Android |
---|---|---|
端末情報の管理 | 利用者、メールアドレス、説明文、デバイス名、機種名、OS種別、電話番号(対応端末のみ)、MACアドレス、稼働状態、インストールされているアプリ、MDMサーバへの接続履歴 | 利用者、メールアドレス、説明文、機種名、OS種別、電話番号(対応端末のみ)、MACアドレス、稼働状態、インストールされているアプリ、所在地(緯度、経度、Googleマップ上での表示)、MDMサーバへの接続履歴 |
ポリシーの設定 | パスコードの強要、自動ロックまでの時間、アプリのインストール制限、カメラの使用制限、FaceTimeの使用制限、画面の取り込みの制限、Siriの使用制限、音声ダイヤルの使用制限、アプリ内での購入の制限、YouTubeの使用制限(iOS 5以前)、iTunes Storeの使用制限、Safariの使用制限、実行するアプリの固定(iOS 6以降、Apple Configuratorが必要) | ロックパスワードの強要、自動ロックまでの時間、アプリのインストール制限、MDMサーバへの通知間隔、カメラの使用制限、インストールを必須とするアプリの指定、インストールを許可するアプリの指定、インストールを禁止するアプリの指定、起動するアプリの固定 |
デバイスの登録とポリシーの適用
各端末に作成したポリシーを適用するには、デバイス登録が必要だ。デバイスの登録は、端末管理の「端末の追加」をクリックすることで起動される「端末登録ナビ」で行う。
端末を登録する方法としては、メールで招待する方法、端末のブラウザで設定画面に接続して設定する方法があり、iOS端末の場合はさらにApple Configuratorを使う方法もある。
このナビでは、登録する端末のOS、登録方法、利用するポリシー名、利用するSSID、利用するVPN、端末のメールアドレスなどを指定する。
一方端末側では、指定した登録方法にしたがって証明書、構成プロファイルのインストールなどを行う。
端末登録が完了すると、管理画面で端末の詳細情報を参照できる。
「WLX302」MDMのポイント
WLX302のMDM機能のポイントは、デバイスの登録や設定をすべて、管理者の手元にあるWLX302で行えるという点だ。
別の事業者が提供するクラウド・サービスを通じて同様の機能を実現しようとすると、端末の登録や設定情報の管理は、そのクラウド・サービスを提供している事業者が管轄するので、データが外部に出ることになる。もちろん、信頼できるクラウド・サービス事業者を選択すればよいという話ではあるが、手元で完結する形で管理できる方が望ましい。
また、ポリシー適用の状況やポリシー違反の発生状況、端末ロック発動の有無といった各種の「イベント」についても、WLX302の管理画面で確認できる。だとえば、ポリシー適用を指示したのに、何らかの事情で適用に失敗したデバイスがあれば、そのことを把握できるわけだ。
自社のオフィスでスマートフォンやタブレットを使用するのであれば、わざわざ移動体通信の回線を使用するよりも、固定設置したインターネット接続回線と無線LANを組み合わせる方が、性能の面で有利だろう。そこで無線LANのアクセスポイントとしてWLX302を導入すれば、前回に取り上げた「見える化」機能によって電波状況を把握して、無線LANをより安定的に動作させることができる上に、MDM機能によってスマートフォンやタブレットのセキュリティを堅牢化できる利点も加わることになる。単なる無線LANアクセスポイント製品にはできない芸当だ。
キャンペーン実施中
なお、このWLX302について、SCSKでは以下のキャンペーンを実施している。
・Best of Show Award特別賞受賞記念キャンペーン
これは、WLX302とSWX2200-8PoEを対象として、通常なら有償提供となる「先出しセンドバック保守サービス・5年間」を無償提供するというものだ。もちろん、保守サービスのお世話にならずに済むならその方がよいが、特に業務用として使用するデバイスでは、こうした万一の備えがあることの意味は大きい。
また、それとは別にWLX302の評価貸し出しキャンペーンも実施している。
本稿では、WLX302が備えるさまざまな機能の利点を取り上げてきているが、やはり実際に使ってみるに越したことはない。導入を検討するならば、こうしたキャンペーンを活用するのがいいだろう。
ヤマハ ネットワーク製品アップデートセミナー
SCSKは、2013年11月6日~2013年12月13日まで、全国10カ所(札幌、仙台、東京、新潟、長野、金沢、名古屋、大阪、広島、福岡)で、ヤマハ新製品「RTX5000/RTX3500/YMS-VPN8シリーズ」の新製品情報および最新のヤマハ技術情報を紹介するヤマハ ネットワーク製品アップデートセミナー」を開催する。参加費は無料だ。
この中では、進化し続けるヤマハ無線LANアクセスポイント「WLX302」の新機能の紹介(WDS、電波・チャネル自動調整、AP連携)も行われる。興味がある人は、ぜひ参加してほしい。
セミナーの詳細や申し込みはこちら。