日立ソリューションズセッション2 スマートデバイスの企業導入に潜むリスクと対策のポイント 2012/6/27 株式会社日立ソリューションズプラットフォームソリューション本部セキュリティソリューション部技師猪股健一
1 スマートデバイスのビジネス利用状況 スマートデバイスの企業導入は拡大傾向 スマートデバイスを導入している企業は全体の 20% に満たない状況だが 70% 以上の企業が興味を持っており 今後導入が進んでいくと予想される 一方 セキュリティへの不安が導入しない理由の上位を占めている 導入状況 導入阻害要因 セキュリティに不安がある 紛失の危険性が高い 出展 : キーマンズネット 業務用スマートフォンの導入状況 (2012 年 ) スマートデバイスの企業導入にはセキュリティ対策が急務 1
2 スマートデバイスに関するセキュリティの現状 スマートデバイスを標的としたマルウェアが急増 2012 年に入り数千単位に急増 (2011 年中頃は数百単位 ) McAfee 脅威レポート :2012 年第 1 四半期 より スマートデバイスの脆弱性情報の報告脆弱性対策情報データベース JVN ipedia には スマートデバイスに関連する脆弱性情報が蓄積 公開されている Android:102 件 ios:64 件 BlackBerry:27 件 (2012 年 6 月 1 日時点 ) スマートデバイスの普及とともにデバイスにおけるリスクは益々高くなってくる 2
3 スマートデバイス利用時の代表的なリスク 社外での社内システム利用 店舗での商品説明 業務外アプリの利用 公共アクセスポイントへの接続 クラウドサービス経由での不正な持ち出し 端末の紛失 盗難 端末の紛失 盗難 通信経路上での盗聴 FW DMZ 社内セキュリティ対策の迂回 管理外端末からの不正アクセス 社内ネットワーク 不適切な廃棄 ウイルス拡散 秘 社内での利用 秘 秘 秘 秘 社内システム 3
4 企業導入におけるリスクと対策 スマートデバイスの企業導入におけるリスクと対策 リスク 認可されていないスマートデバイスからの不正アクセス 盗難 紛失による情報漏えい 不正な情報持ち出しによる情報漏えい OS やアプリケーションの脆弱性を悪用されたウイルス感染や情報漏えい クラウドサービスの不適切な利用による情報漏えい 不適切な Web アクセスによるウイルス感染 私的利用による生産性の低下 不適切な廃棄による情報漏えい 対策 利用ルールの明確化リテラシー教育によるモラル向上 デバイス管理 (MDM) デバイス情報の管理 セキュリティポリシーの強制 デバイス機能のロックダウン アプリケーションの管理 通信設定 (Wi-Fi VPN) の管理 認証強化 デバイス認証 ( 証明書 +VPN) ウイルス対策 暗号化 持ち出し制御 4
5 対策のポイント スマートデバイスを安心 安全に業務で利活用するためには... 企業や組織が認可したスマートデバイスを厳格に管理 特定すること 認可したデバイスだけをセキュアに社内リソースへ接続させること 持ち出されることが前提のデバイス自体のセキュリティを確保すること 3 つの対策ポイント デバイス管理 MDM 認証強化デバイス認証 +VPN デバイスセキュリティ 5
6 スマートデバイスのライフサイクル管理 廃棄 業務利用データの消去 デバイス設定の消去 業務アプリケーションの削除 計画 計画 社内ルール ( 利用規約 ) の整備 利用者マニュアルの整備 サポート体制の確立 ( ヘルプデスクや緊急時連絡先 ) 廃棄 運用 デバイス情報の収集 監視 デバイス機能の制御 職制変更 人事異動への対応 ( 適用ポリシーの見直し 変更 ) 事故対応 ( 遠隔ロック & ワイプ ) デバイス管理 (MDM) 運用 導入 導入 利用開始手続き ( 利用申請 承認 誓約書 ) 利用者教育 ( リテラシー向上 ) デバイスの初期設定 ( キッティング / セルフサービス ) デバイスの配布 MDM を活用してスマートデバイスのライフサイクルを管理 6
7 デバイス管理 (MDM) の概要 MDM Mobile Device Management 企業や組織がスマートデバイスを業務で利活用するうえで 必須の管理ツール 一般的な MDM 機能 デバイスの統合管理 デバイス情報の一元管理と状態監視 ポリシー アプリケーション 接続設定の一元管理 プロビジョニング デバイスへのポリシー適用 アプリケーション 通信設定の配布 セキュリティ対策 遠隔ロック & ワイプ ( データ消去 ) セキュリティポリシーの強制 デバイス機能のロックダウン 社内環境 メール 機密ファイルサーバ VPN 秘 証明書サーバ MDM ディレクトリサーバ Wi-Fi DB サーバ 社内 / 社外 7
8 MDM 製品の実装ポイント MDM 製品によるデバイス管理 対策のポイント セキュリティポリシーの設定パスコードの強制は必須! パスコードの履歴とパスコードポリシーの強制 パスコード失敗時のアクション設定 ( ワイプなど ) デバイス機能の制御業務上 必要のない機能はロックダウン! カメラなど 業務で使用しない機能は利用不可 社内アクセス用の通信設定の管理 MDM 管理下の認可されたデバイスだけに社内アクセス用の通信設定を配布! アプリケーションの管理推奨アプリや禁止アプリを設定! カメラなど 業務で使用しない機能は利用不可 パスコードポリシーの強制 カメラ禁止 禁止アプリ ポリシー配信 アプリ 通信設定の配布 VPN 接続設定 VPN 機器 MDM 管理サーバ 秘 社内システム 8
9 MDM 製品の選定ポイント 1 製品タイプでの選定 MDM 製品は その提供形態によってサービス (SaaS) 型とオンプレミス型に大別される 運用要件やセキュリティ要件 コスト面などから総合的に判断する 提供形態 サービス型 (SaaS 型 ) オンプレミス型 特長 短期間でサービス開始可能 MDM 管理サーバなど新たな設備投資が不要 運用コストが月額費用のみ 運用代行サービスなども利用可能 不要になったら 解約可能 自社内に MDM システムを構築するため 柔軟な運用が可能 Active Directory や LDAP との連携などにも対応可能 端末や利用者に関する機微情報を自社内で管理できる 9
10 MDM 製品の選定ポイント 2 製品機能での選定 課題 1 大規模な導入に対応できるか? また 導入後の運用負荷を軽減したい 選定ポイント デバイスをグループ管理 ( 利用者の所属や職制でグルーピング ) できる AD や LDAP とディレクトリ連携できる キッティングツール ( またはサービス ) が提供されている 課題 2 セルフ プロビジョニングによって運用負荷を軽減したい 選定ポイント デバイスへのポリシー適用 アプリケーションや通信設定の配布が自動化されている ポリシー違反を検出したら 当該デバイスから自動的にアプリケーションや通信設定をはく奪できる 10
11 MDM 製品の選定ポイント 3 課題 3 禁止アプリケーションを起動できないようにしたい 選定ポイント 禁止アプリへの対応は製品によって異なる 禁止アプリがインストールされたデバイスに警告通知してアンインストールを促すが 起動はできてしまうのが一般的な製品仕様 禁止アプリを起動させない といった強制力を発揮する製品もある 課題 4 私物デバイスの活用 (BYOD) を容認した場合 様々な OS 機種への対応が必要 選定ポイント マルチ OS(iOS Android Windows Phone などの混在 ) 環境に対応できる 課題 5 MDM 製品が管理するデバイス情報や位置情報を外部システムと連携したい 選定ポイント 外部システムと連携するための Web API が提供されている 11
金額 様 印紙 12 認証強化 ( デバイスの個体識別 ) セキュアな社内アクセスを実現するためには 企業や組織によって認可されたスマートデバイスを厳格に特定することが重要 デバイスを特定できたら セキュアに社内アクセスする手段を提供する 課題 認可されたスマートデバイスだけを社内アクセスさせたい 認可されていないデバイスは社内ネットワークに接続させない 対策ポイント デバイス証明書による個体識別端末固有識別情報をもとに認証書を発行 ( 端末固有識別情報 :IMEI UDID など ) 端末固有識別情報が異なるデバイスには証明書はインストールできない 申請 認証局 VPN 機器 秘 社内システム 会社から貸与されたスマートデバイス用に発行されたデバイス証明書を個人所有のスマートデバイスにインストール 端末固有識別番号が異なるので インストールできない 領収証 会社貸与のデバイス 証明書発行 証明書あり 個人所有のデバイス 証明書なし 12
金額 様 印紙 金額 様 印紙 13 セキュアな社内アクセス 1 認可されたスマートデバイスにセキュアなアクセス手段を提供 課題 利用者のなりすましによる社内への不正アクセスを防ぎたい 社内システムへのアクセス設定を一元管理 配布したい 対策のポイント 二要素認証による利用者識別デバイス認証 +α の二要素認証によって 利用者のなりすましを防止! α: ユーザ ID/ パスワード OTP など MDM サーバ ID/PW 認証 認証サーバ 秘 MDM 連携による通信設定の管理認可されたデバイスへ MDM から社内アクセスの通信設定 (VPN Wi-Fi) を配布! ポリシー違反や盗難 紛失したデバイスに対しては MDM の機能によって通信設定をはく奪する VPN 設定の配布 VPN 機器 社内システム 認可されたデバイスを入手しても ID/PW がわからなければ アクセスできない! 領収証 領収証 盗難 紛失 なりすまし 13
金額 様 印紙 金額 様 印紙 14 セキュアな社内アクセス 2 無線 LAN からのセキュアな社内アクセスを実現するには 課題 無線 LAN 経由での社内への不正アクセスを防ぎたい 社内システムへのアクセス設定を一元管理 配布したい 対策のポイント 暗号化 ユーザ認証によるセキュリティ強化盗聴 なりすまし等の不正アクセスを防止! 不正アクセスポイントを検知無線電波の監視により 不正通信の検知 遮断 不正アクセスポイントの特定が可能! ユーザごとのアクセス制御を提供ユーザごとに詳細に適切な権限の設定が可能! MDM 連携による接続設定の登録 削除 Wi-Fi の接続設定の登録 削除が可能! 紛失 盗難時に接続設定を遠隔削除することが可能 一般業務情報 MDM サーバ 無線 LAN 機器 領収証 Wi-Fi 設定の配布 経営情報 領収証 認証サーバ 管理者ユーザ 一般ユーザ 14
15 セキュアな社内アクセス 3 どこからでも 社内のデスクトップ PC を利用できたら 課題 スマートデバイスを使用して 社内のデスクトップ PC を操作したい スマートデバイスには業務データを残したくない 対策のポイント リモートデスクトップを利用した遠隔操作デスクトップ PC の画面情報のみ転送! 実データは転送も保存もされないので安心 機能制御によるセキュリティ強化ファイル転送 ハードコピーや印刷を制御! 二要素認証によるセキュリティ強化デバイス認証 + ユーザ ID/ パスワード認証で接続時のセキュリティも確保! Wake-on-LAN 機能使いたいときだけ遠隔操作で電源 ON! 節電対策や BCP への対応としても有効 15
16 ウイルス対策 急増するマルウェアからスマートデバイスを保護するには 課題 スマートデバイスのウイルス感染を防止したい ウイルス対策状況を効率的に管理したい ウイルスに感染したデバイスを検知したい 対策のポイント 企業向けウイルス対策ソフトの導入ウイルス対策を利用者に一任するのは NG! コンシューマ向け製品では 対策状況を把握できない BYOD では 利用者による対策を誓約書で合意する 管理コンソールで集中管理 PC との共通コンソールであればさらに効率的! 最新のパターンファイルが適用されていないデバイスも容易に確認することができる パターンファイル 管理サーバ 利用者に警告通知! ウイルス削除を促す リアルタイム検出と通知即座に利用者へ通知し 被害の最小化を図る! 利用者によるアンインストール禁止アンインストールパスワードを設定できる製品を選定! ウイルス感染 16
17 暗号化 持ち出し制御 情報漏えい対策の基本は 持ち出させないこと! 持ち出す場合は 許可を得て安全対策を確実に実施すること! 課題 万一の盗難 紛失時でも第三者にデータを参照させない スマートデバイスによる情報の持ち出しを管理したい 対策のポイント 内蔵データ 外部メディア (SD カード ) を暗号化スマートデバイスは 大容量の USB ストレージ! 暗号化をサポートする OS を選択暗号化機能の有効化を MDM でポリシー強制! 暗号化されていないデバイスへの持ち出し禁止 内蔵データや SD カードを暗号化 専用ソフトによる暗号化利用者は意識することなく 自動的に暗号化 / 復号! ログインによって暗号化されたデータにアクセスできる 専用ソフトによる持ち出し制御専用ソフトがインストールされたスマートデバイスにのみデータ持ち出しを許可! 万一の盗難 紛失時でも 暗号化により第三者はデータ参照が不可 第三者 17
18 ガイドラインの有効活用 日本スマートフォンセキュリティフォーラム (JSSEC) スマートフォン & タブレットの業務利用に関するセキュリティガイドライン 第一版 http://www.jssec.org/dl/guidelines2011_v1.0.pdf 日本ネットワークセキュリティ協会 (JNSA) スマートフォン活用セキュリティガイドライン β 版 http://www.jnsa.org/result/2010/smap_guideline_beta.pdf 企業や組織においてスマートデバイスを導入する責任者 管理者向けに安心 安全にスマートデバイスを業務で利活用するための対策ポイントがガイドラインとして整理されています 18
19 関連プロダクト カテゴリ商品 サービス概要 MDM/ デバイス認証 / ウイルス対策 スマートフォンセキュリティ統制サービス MDM デバイス認証 ウイルス対策など スマートデバイスに必要なセキュリティ対策を設備投資が不要なクラウド型サービスとして提供 必要なときに必要な規模で 短期間でセキュリティ対策を実現します MDM MobileIron デバイス情報 セキュリティポリシー WiFiやVPNの接続設定 アプリケーションを統合的に管理 盗難 紛失時には 遠隔ロック & ワイプで情報漏えいを防止 オンプレミスでのMDMシステム構築に対応しており ID 認証基盤との連携も可能 リモートアクセス Juniper Networks Secure Access シリーズ スマートデバイスから社内リソースへ簡単にリモート接続可能 SSL-VPN 接続で通信を暗号化 外部認証サーバとの連携に加え ワンタイムパスワードやクライアント証明書とも連携可能 リモートアクセス Array Desktop Direct スマートデバイスからオフィス内のパソコンを簡単にリモート操作 可能 Android ipad/iphoneなど 様々な端末で利用可能 無線 LAN Aruba シリーズ 有線ポートを備えていないスマートデバイスには無線環境が必須 Arubaシリーズは IPSec-VPNにより通信を暗号化して セキュ アな無線 LAN 環境を提供 ウイルス対策 /MDM Trend Micro Mobile Security パターンファイルの適用状況や各端末のエージェント設定を集中管理する企業向けウイルス対策ソフト 加えて 盗難 紛失時のデータ保護やセキュリティポリシーを適用する デバイス管理 を包括的に実現 暗号化 秘文 AE SmartDevice Encryption 暗号と認証強化でスマートデバイスの盗難 紛失時の情報漏えいに対策 スマートデバイスのフラッシュメモリ 外部メモリを自動的に暗号化 ユーザは 暗号化 / 復号を意識する必要はあり ません 19
END スマートデバイスの企業導入に潜むリスクと対策のポイント 2012/6/27 株式会社日立ソリューションズ