EMS で実現する、 Office 365 のセキュアな活用方法

503LV と EMS で実現する Office 365 のセキュアな活用方法 2017 年 6 月 19 日 23 日ソフトバンク株式会社法人事業統括クラウドサービス統括部伊藤寛

本日のアジェンダはじめに 503 LV(Windows 10 Mobile) のご紹介 EMSとは Intune Azure Active Directory Azure Information Protection(RMS)

はじめに

ソフトバンクグループ株式会社

5 ソフトバンクの法人ソリューション貴社のコスト削減や業務改革を実現モバイル固定電話 PHS Surface iphone/ipad Android データネットワーククラウドデジタル販促

6 新事業領域新規ビジネスにも事業拡大中 Watson Predix Pepper 経験から学習する人工知能型システム IoT によるデータ分析予測世界初の感情認識ロボット

ソフトバンクは J.D. パワーの顧客満足度調査で No.1 を受賞クラウド型グループウェア導入ベンダーセグメント J.D. パワークラウドサービス提供事業者顧客満足度 No.1< クラウド型グループウェア導入ベンダーセグメント > 出典 :2016 年日本クラウドサービス提供事業者顧客満足度調査クラウド型グループウェアを導入している従業員 50 名以上の企業 585 社からの回答による japan.jdpower.com ソフトバンクは J.D. パワーのクラウドサービスに関する顧客満足度調査で 2 年連続 No.1 を受賞いたしました 7

ソフトバンクが実践する働き方オフィスワーク / テレワーク

オフィスワーク日頃のオフィスワークにも ICT をフル活用テレビ会議チャット出張することなく遠隔でテレビ会議スピーディなコミュニケーション固定電話の廃止情報共有 1 人 1 台スマホを配布チーム内で必要な情報をスムーズに共有勤務時間の多くを占めるオフィス業務を大幅に効率化 9

テレワークモバイルワークスマホやタブレットで外出先から業務を実施メール / カレンダーチャットオフィスに戻ることなくメール返信遠隔からでもシームレスにコミュニケーション案件管理情報収集 SFA などの社内システムにセキュアにアクセス商材やサービスの情報をスピーディに取得外出時間を有効活用することで無駄な時間を削減テレワークとは tele= 離れた場所で work= 働くという意味の造語で ICT を活用した場所や時間にとらわれない柔軟な働き方を意味します 10

11 ソフトバンクは様々な働き方を自社で試しながら改革を進めています

503 LV のご紹介

2016 年 11 月 11 日リリース! Windows 10 mobile 初のキャリア端末最新の Windows OS 搭載注目の Continuum にも対応 Office Mobile アプリ標準搭載スマホで PowerPoint や Excel が利用可能マイクロソフトの多彩なアプリ Skype などのビジネスアプリも利用可能

SoftBank 503LV デバイスの特長持つ喜び Luxury Design 手の平サイズ 5 インチディスプレイ明るい場所でも認識しやすい NTSC 比 70% Display 薄さ 7.7 ミリ軽量 143 グラム

OS バージョン対応のメーカ依存無し Current Branch for Business (CBB) Wi-Fi 接続時のみアップデートを許可する設定も可能管理者がコントロールすることも可能 Windows PC とまとめて管理も可能メーカー依存など無しビジネスユーザー向け常に最新の機能を提供常に最新のセキュリティー更新を提供企業向けのアップデートコントロール (Windows Update for Business) 複数のバージョンの OS が混在する心配なし Windows 10 Mobile Enterprise のライセンスが必要となります

多重レイヤーでセキュリティ機能を実装し脅威をブロック準備やられないようにする防御力向上 Windows Hello Microsoft Passport Windows Defender 検知分析やられている事をすぐに検知する検知分析 Windows Defender Advanced Threat Protection 根絶復旧封じ込めやられても被害を小さくする被害軽減ロックダウン機能 AppLocker Device Guard Credential Guard 事件発生後の対応やられた後でも情報を保護する事後対応 BitLocker( 端末紛失時 ) Enterprise Data Protection* リモートワイプ

デスクトップと同一ユーザーインターフェイスを採用し複数端末利用時でも違和感なくご利用いただけますインターフェースアプリスマホタブレット PC

ディスプレイに接続することにより大画面での WEB ブラウジングやファイルの編集が可能画面出力中も通話可能! 注意!PC と全く同じように使える機能ではありませんので PC 置き換えとしての 503LV 提案はお控えください専用のコネクタが別途必要になります

キャリア端末ならではの安心サポート Windows 10 mobileはソフトバンクだけ 503LV ならソフトバンクが導入前から導入後までフル活用に向けてサポートします導入運用活用紛失キッティング端末の一元管理セキュリティ設定ヘルプデスク故障 / 紛失時の保証活用支援デバイス / 効果検証お客様ごとにお見積りいたします

キャリア端末ならではの安心サポートレンタル保守パック (S) Windows 10 mobileはソフトバンクだけ故障 / 紛失時の保証サービスも充実 1 回交換で代替機交換もできるから業務支障無し! レンタル保守パック (S) 1 台あたり 475 円 / 月で ( 税抜 ) 故障修理費不要 ( 最大 47,619 円 0 円 ) 税抜紛失時損害金不要 ( 最大 50,000 円 0 円 ) 不課税電池パック交換手数料不要 ( 実費 0 円 ) レンタル保守パックへご加入いただけるタイミングは新規契約 / 機種変更契約時のみです

EMS とは

Enterprise Mobility +Security (EMS) とは EMS はクラウド時代の先駆的セキュリティーサービスのパッケージです Microsoft Intune Microsoft Azure Active Directory Premium Microsoft Azure Information Protection デバイスを管理ヒトを管理データを管理

情報コミュニケーションの HUB あらゆる端末であらゆる情報の取り扱いが可能純正アプリブラウザサードパーティアプリ個人端末業務端末メールドキュメント写真動画

Office 365 利用にあたっての課題便利な反面多くのリスクが存在クライアント誤操作一人歩き不正アクセス情報共有お客様社内端末紛失デスクトップノート PC スマホ / タブレット

セキュリティインシデントの原因不正アクセス 8.00% その他 17.80% 紛失置き忘れ 30.40% 管理ミス 18% 誤操作 25.80% 日本ネットワークセキュリティ教会 2015 年情報セキュリティインシデントに関する調査報告書より引用

それではどのように Office 365 のセキュリティを担保するのか?

EMS による課題解決 EMS でリスクを低減 Azure Information Protection でデータを保護追跡回収 Azure AD Premium で個人認証を強化クライアントお客様社内情報共有デスクトップノート PC スマホ / タブレット Intune で端末のセキュリティー強化

Office 365 にとっての EMS の位置づけデバイスの保護ヒト ( 認証 ) の保護データの保護 Office 365 簡易的なデバイス管理機能 Azure Active Directory Free RMS( 一部の製品のみトラッキングは不可 ) Enterprise Mobility + Security E3 Intune Azure Active Directory Premium P1 Azure Information Protection Premium P1 Enterprise Mobility + Security E5 Azure Active Directory Premium P2 Azure Information Protection Premium P2 E3 特にデバイス関連の機能を中心に説明します

Intune

MDM 機能 Microsoft の MDM サービス Intune で端末を一元管理マルチデバイス対応ポリシーによる制限機能が豊富アプリ配信機能充実 ios Android Windows 対応 1 ライセンスあたり 15 台利用可能アプリストア禁止カメラ禁止端末の私的利用防止管理画面から選択したアプリをインストール 30

ポリシー適用各端末でポリシーを適用パスコード強制アプリストア禁止カメラ禁止 31 ios Android Windows10Mobile

アプリ配信機能管理画面より選択したアプリを配信管理者がアプリを一元管理各デバイスにアプリ配信 32

33 遠隔消去情報漏えい紛失盗難利用者から紛失故障申告端末初期化遠隔消去選択的ワイプ or フルワイプ選択可能ポータルサイトからセルフワイプも可能管理者からリモートタスクを実行

( 有償オプション ) 紛失時のワイプ代行 (200 円 ) Enterprise Mobility Suite / Intune に有償オプションとしてワイプ代行窓口 (24 時間 365 日 ) を追加したいと考えています 1 法人のお客様モバイルデバイスの紛失盗難の発生 2 クラウドサービスデスクオペレーターが電話一本で受付 24 時間 365 日の即時対応 3 ソフトバンク倉庫代替機を用意しお客様へ送付紛失したモバイルデバイスのデータを消去及び回線停止 PC に残ったデータファイル消去代替機の手配についてはソフトバンクによりレンタルもしくは販売された端末のみを対象としますレンタル端末の代替機の手配はレンタルサービス規約に従います売り切り端末につきましては代替機をご購入頂く必要があります

35 しかし MDM だけでは十分ではありません! 1 端末内情報流失 2 企業データを個人 Dropbox に転送個人端末から企業アプリにログイン ID PW 入力どの端末からもログインされてしまう

36 よりセキュアな Office 365 利用のために Intune ではアプリケーション制御も可能! 条件付きアクセスセキュリティレベルに応じてログイン制御企業データの保護機能 Windows 10 : Windows Information Protection ios, Android : MAM

37 アプリケーション制御の全体像条件付きアクセス制御会社 : セキュリティ違反アクセスアクセス会社端末アクセスアクセス個人端末 : 企業領域企業データを個人 Dropbox に転送個人端末 : 個人領域企業データの保護 =MAM/Windows information Protection 個人端末

38 条件付きアクセス条件付きアクセスによる制御ドメイン参加していない端末からのアクセス禁止 MDM に管理されていない端末からのアクセスを禁止するセキュリティレベルの低い端末からのアクセス禁止設定したポリシーに準拠していない端末のアクセスを禁止する対象 OS 選択可能対象 OS を選択しアクセスを禁止する

企業データの保護機能概要企業領域端末内に企業領域を生成企業領域と個人領域間のコピー & ペーストデータ転送を制御個人領域企業領域内のデータは自動暗号化企業領域のみ遠隔消去することも可能

Windows Information Protection Windows 10 Windows 端末の MAM 制御機能アプリ間のデータ転送禁止企業データを個人領域に転送禁止 MAM で管理されているアプリ同士のデータ転送可能制御する範囲の指定可能 IP を設定しアクセス制御する範囲を指定社外からの接続を制御全アプリ対象データ転送コピー & ペーストを用いるアプリを対象 40

41 MAM ios Android MAM 制御結果アプリ間のデータ転送禁止企業データを個人領域に転送禁止 MAM で管理されているアプリ同士のデータ転送可能 PIN 設定可能アプリログイン時に PIN 入力強制 BYOD 対応個人端末で MAM 制御可能

Azure Active Directory

Azure Active Directory 多要素認証 Step 1 パスワード入力 Step 2 事前に登録したデバイスを保持しているかの確認 - 会社固定電話の音声 ) ー SMS ーメールー専用アフリによるワンタイムパスワード

ドメイン参加 (Windows 10 のみ ) Windows PC を Azure AD Join させることにより端末にサインインした後 SaaS アプリへのサインインの際に ID/PW の入力が不要にサインイン自動的にサインイン端末へのサインインに Windows Hello 機能を使うことでさらにセキュリティ強化が可能

Azure Information Protection

アクセス制限の設定簡単にアクセス権限設定が可能

Azure RMS ドキュメントトラッキング機能ファイルのトラッキングが可能場所別時系列

配布済みファイルのアクセス権の取り消し権限設定にミスがあった場合やファイルが古くなった際にアクセスの取り消し実行

ご清聴ありがとうございます