テックノート

テックノート>情報漏洩対策に必要な7つの楯 Vol.3

  • セキュリティ/仮想化
2015.04.17

情報漏洩対策に必要な7つの楯 Vol.3

情報漏洩対策に必要な7つの楯 Vol.3

企業としてさらに強固なセキュリティ対策を施すきっかけとなるような情報漏洩対策のポイントや考え方をご紹介する本連載、第3の楯は「MDM対策」です。


Vol.3 MDM対策のポイント


昨今のビジネス・シーンでは、スマートフォン/タブレットのようなスマートデバイス端末と呼ばれるモバイル機器の活用が急速に広まっています。モバイル機器はワークスタイルを変革させ利便性を向上させる一方で、機器が小型であることから「紛失/置き忘れ」、「盗難」等のセキュリティ・リスクが高まります。そのため、モバイル機器活用におけるセキュリティ対策は、従来のPCと同等かそれ以上に重要となります。

モバイル機器使用時のセキュリティ課題として以下の3点が挙げられます。

これらの課題に対する対策として、以下の4つのポイントに分けて考察していきます。

1. 不正入手(紛失/置き忘れ/盗難)対策


モバイル機器の紛失/盗難等により、第三者に不正利用されないよう、ユーザID/パスワード等の(本人)認証の仕組みの実装が最低限必要です。しかし、よりセキュアかつ安心して使用できる状態にするためには、あらかじめ紛失/盗難等を想定した対策を実装しておきます。

【対策のポイント】認証連動とリモート操作

認証連動
本人認証と連動し、不正なユーザIDやパスワードが複数回入力された場合に、端末を初期化(ワイプ)してデータ自体を削除するか、無効化(ロック)を実施し使用できないように設定する。

リモート操作
モバイル機器を管理者配下に設置し、リモート操作により、初期化(ワイプ)や無効化(ロック)を実施して、データ自体を削除するか、使用できないように設定する。

図1:不正入手(紛失/置き忘れ/盗難)対策 ~認証連動とリモート操作~

図1:不正入手(紛失/置き忘れ/盗難)対策 ~認証連動とリモート操作~

BYOD(個人保有デバイスの業務利用)により、私用とビジネス利用を併用しているケースでは、「MAM」(Mobile Application Management:BYODに対して、業務用のアプリケーションやデータのみを管理する仕組み)や「MCM」(MCM:Mobile Content Management:BYODに対して、業務用のデータや文書ファイルのみを管理する仕組み)の観点から、特定のアプリケーションやコンテンツのみをセキュリティ管理の対象とすることも有効です。

2. アクセス・ポイントの制御対策


ビジネス・シーンでモバイル機器の利用が普及してきた背景には、Wi-Fi等の無線アクセス・ポイントが整備され、ワークスタイルの変革という言葉で表されるように場所を選ばずに業務ができるようになったことが要因の1つと考えられます。しかし、この無線アクセス・ポイントでもデータの漏洩やマルウェアの侵入などが起こり得る可能性があることから、セキュリティ・リスクの1つとして対応を検討しなければなりません。無線アクセス・ポイントに関しては以下のようにアクセス・ポイントを制限するという対策が有効です。

【対策のポイント】アクセス・ポイントを制限する

社内では、未承認のアクセス・ポイント(Wi-Fi等)には接続不可とし、SSID自体も非表示とする。社外では、許可された公衆アクセス・ポイントのみに接続し、必要に応じて社内接続用のVPNサーバのみに接続可能とする。また、インターネットを使用する場合は、一度VPNを経由し社内のネットワークに接続後、プロキシやファイアウォールを経由する。

図2:アクセス・ポイントの制御対策 ~アクセス・ポイントの制限~

図2:アクセス・ポイントの制御対策 ~アクセス・ポイントの制限~

3. 端末設定での対策


モバイル機器の社外利用や無線アクセス・ポイントへの接続時のセキュリティ・リスクを想定し、「端末」側で必要な対策として以下4点を実施します。

【対策のポイント】端末側で対応する

パスワード・ポリシーの強化
本人認証と社外における不特定の第三者使用を排除する観点から、より強固で複雑なパスワード・ポリシーを設定する。

利用可能アプリケーションの制限
PCと同様、モバイル機器でも、業務上不要なアプリケーション(ファイル共有等)の利用を制限する。

Webアクセスのフィルタリング
業務上不要または不適切なサイトへのアクセスを制限する。

root化、JailBreakの検知
ポリシーとして本来認められていないroot化/JailBreak時に管理者へ通知することにより、不正使用の予兆と早期検知を実現する。

4. 端末管理での対策


端末での設定と同様に、「端末管理」側でもモバイル機器の社外利用や無線アクセス・ポイントへの接続時のセキュリティ・リスクを想定し、対策として以下の4点を実施します。

【対策のポイント】管理側でも対策を実施

設定情報の管理
不正アプリケーションの検知やウイルス・チェックのパターン・ファイル更新/最新のセキュリティ・パッチの適用状況等を把握し、脆弱性を早期に発見する。

インストール制限
ファイル共有等、業務上不要なアプリケーションのインストールを制限する。

パターン・ファイル/パッチ・ファイルの一斉適用
デバイスごとに適用状況が異なることによるセキュリティ・リスクを考慮し、ウイルス対策やセキュリティ・パッチを常時最新に統一する。

ポリシーの一斉配布/一括管理
上記と同様にセキュアな環境を維持するための強固なポリシー(プロファイル)を統合的に実装する。

今回はMDM対策について整理してみました。次回は持ち出し制御について解説します。


連載記事

情報漏洩対策に必要な7つの楯 Vol.1
情報漏洩対策に必要な7つの楯 Vol.2
情報漏洩対策に必要な7つの楯 Vol.4
情報漏洩対策に必要な7つの楯 Vol.5
情報漏洩対策に必要な7つの楯 Vol.6
情報漏洩対策に必要な7つの楯 Vol.7


執筆者のご紹介

アシスト伊藤 雄介

伊藤 雄介
ビジネスインフラ技術本部

1992年入社。メインフレーム時代から28年間、企業の基幹となるシステム運用管理を中心としたパッケージ・ソフトウェア導入業務に携わる。直近の15年間ではセキュリティ分野に特化したソリューション開発やセミナー講師を務める。顧客の業務要件を広くヒアリングしてきた経験から、ソフトウェアの機能中心ではなく、顧客のスコープを明確化した上での最適な提案を得意とする。

本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。


関連している記事

  • セキュリティ/仮想化
2019.02.01

脅威の分離、サイバー攻撃対策の現実解

「脅威分離型」アプローチに焦点をあてサイバー攻撃対策の現実解をご紹介します。

  • セキュリティ/仮想化
2018.10.01

その特権ID管理は本当にセキュアと言えるか
~特権ID管理から特権アクセス管理へのシフトチェンジ~

「特権ID管理」の重要性と簡単に管理できる製品をご紹介。さらに海外では既に主流となっている「特権アクセス管理」という概念とそれを実現する製品もご紹介します。

  • セキュリティ/仮想化
2016.09.09

クライアント環境における見落としがちな情報漏洩の新たな抜け道とは

政府が無線LANの整備を促進しています。街中でのアクセスポイントが増強され利便性が向上する一方で、企業にとっては新たな危険も潜んでいます。本稿では、そのように変化する環境の中で、企業のクライアント環境における情報漏洩対策で見落としがちなポイントについてご紹介します。

ページの先頭へ戻る