研鑽、交流、そして共育。全国に拡がるIBMユーザーのネットワーク line IBMユーザー研究会
fream01 ようこそ ゲスト さま separate fream2
 
  logomark IBMユーザー研究会TOP

midashiID登録がまだの方はこちらからblankup

ID登録のススメ
IBMユーザー研究会
入会申し込み
お問い合わせ
 
   
 
 
Security
Analytics
Commerce
Cloud
Social
Systems
Watson
Topics
 <業種別>
金 融
保 険
製 造
流 通
公共・通信
 
 <IBMユーザー研究会主催>
Webセミナー blankup
 <IBM主催>
IBM Webセミナー blankup
OnDemandセミナー blankup
IBM YouTubeチャネルblankup
日本IBMホームページ
Easy Web Browsingヘルプ 拡大読み上げ
当サイトのURLは予告なく変更・削除されることがございますことを予めご了承ください。
7
 
Social
エンドポイント管理の動向(#2)
2014年02月03日掲載
日本アイ・ビー・エム株式会社
ソフトウェア開発研究所 大門 昭
第二回はモバイル・デバイスの管理についてです。
モバイル・デバイスというと、さまざまなデバイスが含まれます。最近では、パソコンと同じWindowsを搭載したタブレットで、8インチから10インチ程度のサイズのものも現れていますが、OSとしてWindowsを搭載している場合は、管理という視点では一般のパソコンと同じですので、ここでは、Windows以外で広く使われているAndroidとiOSのデバイスを扱いたいと思います。

第一回では、パソコンの管理について述べましたが、パソコンの場合と、モバイル・デバイスの場合では、共通な点と、違う点があります。
機密情報を格納することができ、脆弱性を狙われたり、マルウェアに感染して情報を盗まれたり、ボットに乗っ取られたりする可能性があるといった点は普通のパソコンと同じです。「エンドポイント管理」に関心があってこの記事を読まれている方で、「スマホは電話だからセキュリティーに気をつける必要は無いよ」といった考えをお持ちの方はいらっしゃらないと思いますが、もし万一にもそのような方がおられましたら、まずは独立行政法人 情報処理推進機構(IPA: Information-technology Promotion Agency, Japan、以下ではIPAと表記します)作成のビデオ[1]をご覧頂くと良いかと思います。そのうえで、I ♥ スマホ生活 [2]、スマートフォンを安全に使うための6箇条[3]といったWebサイト等を一読されることをおすすめします。さらに詳しく知りたい場合には、サイバーセキュリティ読本[4]も良いかと思います。

一方、違う点としては、まず、利用形態が違う、名前の通りモバイルであるということがあります。パソコンについては、社外への持ち出しを禁止している会社もありますが、モバイル・デバイス、特にスマートフォンを社外持ち出し禁止としている会社は無いものと思います。モバイル・デバイスの場合は、長い時間、さまざまな場所に持ち歩くため、紛失する、あるいは盗難にあう可能性もパソコンより高く、また、使用場所によっては画面を覗き見されることもあるかもしれません。
システム的に見ると、パソコンと異なる点としては、利用者の権限が限られること、この結果としてアプリケーションのインストール方法が決まっていること、があげられます。
まず、利用者の権限についてですが、すでにご存じのように、パソコンの場合は、ユーザー毎に権限を分けることができ、パソコンの管理者は、管理者のユーザーID(Windowsの場合はAdministratorsグループに所属するID、Linuxの場合root)でログインすること、デバイス・ドライバーをインストールすること、WindowsのLocal Systemのような強力な権限で実行するサービスを追加することが可能です。モバイル・デバイスの場合は、状況が大きく異なります。デバイスを個人で購入した場合の所有者、あるいはデバイスを一括購入した企業の管理者であっても、パソコンでいう一般ユーザーの権限しか持ちません。もちろん、アプリケーションをインストールしたり、無線LANの設定を変えたりといった設定はできますが、パソコンの場合のように管理者権限でログインすることができません。デバイスの購入後にインストールしたアプリケーションはすべてサンドボックスと呼ばれる他のアプリケーションと分離された環境で、一般ユーザーの権限で実行します。
なお、現実にはroot化あるいはJailbreakと呼ばれる方法で、Linuxのrootに当たる権限でログイン、あるいは操作できるようにする方法が知られています。順次述べていきますが、root化あるいはJailbreakはセキュリティーの観点で極めて危険な行為です。

次に、アプリケーションのインストール方法が決まっているという点です。パソコンの場合、ソフトはパソコン・ショップで箱に入ったソフトを購入、ダウンロード、ファイル・サーバーの共有ディレクトリー等さまざまな方法で入手することができ、インストールする方法も「インストーラー」と呼ばれるソフトウェアを使うのが一般的ですが、「インストーラー」にも様々なものがあり、またインストールしないで実行できるものもあります。これに対してiOSの場合は、iOS Developer ProgramまたはiOS Developer Enterprise Programを利用する場合を除いて、アプリケーションはApp Storeからしかインストールできません。 Androidの場合は、Google Playから、あるいは設定によってはダウンロードサイト等から入手できますが、「アプリケーション」としてインストールしたい場合は、Androidのアプリケーションのインストール機能でインストールすることが必要で、ダウンロードしただけ、解凍しただけ、ではアプリケーションとしては使用できませんし、Androidのインストール機能以外でインストールすることはできません。このアプリケーションのインストール方法の制限も、前記のユーザーの権限によって制限がされており、root化、あるいはJailbreakした端末では、これ以外の方法でのインストールも可能となってしまいます。
セキュリティー管理
パッチ管理(脆弱性対策)
モバイル・デバイスも、オペレーティング・システムだけでなく、さまざまなソフトウェアがインストールされていて、脆弱性が発見される[5]という点はパソコンと同じです。ただし、前記のユーザー権限の制限のため、オペレーティング・システムの脆弱性とそれ以外のアプリケーションの脆弱性では対策が異なります。

パソコンの場合は、オペレーティング・システムに脆弱性が発見された場合には、オペレーティング・システムのベンダーがパッチを提供し、パソコンのユーザーが、あるいは管理者がツールを使ってパッチを適用できました。モバイル・デバイスでは、ユーザーの権限が制限されているため、オペレーティング・システムにパッチを適用することができません。オペレーティング・システムに脆弱性が発見された場合、オペレーティング・システムのベンダーがオペレーティング・システムの更新版を提供し、iOSであればソフトウェア・アップデートあるいはiTunesを使用して、Androidであればソフトウェア更新あるいはメジャーアップデートという形でオペレーティング・システムを入れ替えることになります。
iOSの場合は、オペレーティング・システムの開発者がそのままオペレーティング・システムを提供していますし、デバイスはApple Inc.が提供しているものに限られますので、iOSの更新版が提供されれば、現役世代のデバイスであれば、オペレーティング・システムを
更新して脆弱性の対策をとることができます。一方、Androidの場合は、Googleが直接販売するデバイスを除いては、元々のAndroidはGoogleが開発しますが、これをAndroidデバイスのベンダーに提供し、ベンダーがそれぞれのデバイス向けにカスタマイズしています。また、通信事業者のブランドで販売されるデバイスについては、デバイスのベンダーが通信事業者のサービス用のアプリケーションをプリインストールしたり、アクセスポイント名を設定したりといった通信事業者向けのカスタマイズを行って提供しています。このため、Androidに脆弱性が発見された場合、Googleが修正版を作成しても、各ベンダーが修正をカスタマイズ版に適用する必要があるため、ファームウェアのアップデートが提供されるまで、デバイスのベンダーによっては時間がかかったり、さらには特定の通信事業者向けのデバイスにはアップデートが提供されなかったりといった状況が発生することがあります。
例として、マスターキーの脆弱性8219321と9695860[6]に関する対応を筆者が保有するデバイスのいくつかについてみてみます。
2013年10月下旬に提供されている最新のアップデートを適用した状態では、2012年モデルのNexus 7 では両方の脆弱性が修正されていました。これに対して、2013年に購入した日本メーカーのスマートフォン2台とタブレットでは、8219321は修正されていましたが、9695860は未修正でした。また、2012年に購入したスマートフォンは、Android 4.2に更新されていますがどちらの脆弱性も修正されていませんでした。
その後、2013年12月に、日本メーカーのタブレットと2013年に購入したスマートフォンの1台についてはアップデートが提供され、この2台については両方の脆弱製が修正されました。他の2台のスマートフォンについては、2013年10月以降にアップデートは提供されておらず、2013年に購入したスマートフォンの1台では9695860は未修正のままで、2012年に購入したスマートフォンは、どちらの脆弱性も修正されないままです。

このような更新を提供する経路の関係から、Androidデバイスをビジネスで使用する場合には、脆弱性が発見された際に、速やかにアップデートが提供されそうなデバイスを選択することが必要です。未来のアップデートの提供について知ることはできませんが、ベンダー、あるいは通信事業者のこれまでのアップデート提供の実績からアップデートの提供に対する姿勢を見ることはできるかと思います。また、Androidデバイスではアップデートが提供される期間が限られていることが多いため、古いデバイスを使用することは脆弱性が修正されないリスクがあります。

アプリケーションについてもパソコンと同様に、さまざまな脆弱性(例を[7][8]に示します)が発見されています。脆弱性については、通常はアプリケーションの新しいバージョンで修正されていますので、脆弱性が発見されたアプリケーションについては直ちに更新が必要です。

Root化やJailbreakできる脆弱性があるオペレーティング・システムを使用している状態で、任意のコードを実行できてしまう脆弱性を持つアプリケーションを使用すると、アプリケーションの脆弱性を利用してroot化やJailbreakが行われ、デバイス内の情報を盗まれる、知らない間にマルウェアがroot権限で実行される、オペレーティング・システムの設定を変更されてしまうといった可能性があります(過去の事例を[9]に示します)。また、ユーザーがroot化やJailbreakを行ったデバイスで脆弱性があるアプリケーションを使用すると、アプリケーションもroot権限で動作していることになりますので、脆弱性を悪用した攻撃もroot権限で実行できてしまうことになり、同様な危険があります。
オペレーティング・システムについても、アプリケーションについても、脆弱性の修正が提供されたら可能な限りすみやかに適用することが必要です。

業務で使用するデバイスについては、脆弱性の悪用であり、マルウェアの感染や情報漏えいを招く可能性のあるroot化やJailbreakは禁止する必要があります。もちろん、root化やJailbreakを行えないオペレーティング・システムを使用するのが望ましいのですが、新しい手段が発見された直後でまだオペレーティング・システムが対応していないといった場合でも、社員が勝手にroot化やJailbreakをしないように、root化やJailbreakを検出できる管理ツールで監視することも必要でしょう。

Androidでは、Google Playからインストールしたアプリケーションについては、Google Playでアプリケーション毎に設定できる「自動更新」を設定しておくとアップデートがリリースされた場合に自動的に更新できます。iOSでも7からApp Storeで「Appを自動的にアップデート」する機能が追加されました。

パソコンでは、ツールを使って脆弱性管理を自動化することができましたが、モバイル・デバイスでは管理ツールであっても普通のユーザーの権限で動作しますので、勝手にアプリケーションを更新することはできません。Androidの場合、管理ツールが、アプリケーションをダウンロードして、ユーザーに更新版のインストールを促すことはできますが、この場合、Google Playを経由しないでインストールすることになるため、ユーザーがセキュリティーの設定で「提供元不明のアプリケーションのインストールを許可する」の設定をチェックしておかないと、インストールが拒否されます。後で述べるマルウェア対策ではこの設定をしないことが推奨されていますので、管理ツールのためにこの設定をチェックすることが必要になることは好ましくありません。
なお、一部のAndroidデバイスでは、デバイス・ベンダーによる拡張機能として、そのデバイス・ベンダーが提供するAPIを使用する管理ツールは、「提供元不明のアプリケーションのインストールを許可する」をチェックすることなく、またユーザーに通知することもなくアプリケーションをインストールすることができるよういなっているものもあり、この機能を利用した特定ベンダー製品向け拡張機能を実装した管理ツールも存在します。
iOSでは、管理用のAPIは一般には公開されていませんが、製品化されている管理ツールの機能からみて、管理ツールを経由しないでインストールしたアプリについては管理ツールでは管理できないようです。
セキュリティー設定の管理
モバイル・デバイスでは、画面ロックの解除をパターンで行うか、PINで行うか、パスワードを使用するかといった設定はありますが、パスワードは何文字必要かといった設定は、管理ツールを使えばできるものの、デバイスの設定画面では設定できません。
セキュリティー設定の識別に、第一回の記事で紹介したCCE(Common Configuration Enumeration)[10]があり、WindowsやLinux等の設定のリストが作成されていますが、CCEでは2013年11月の時点では、モバイル・デバイス用は定義されていません。
マルウェア対策
モバイル・デバイスで非常に増えているのがマルウェアです。
Androidに関しては、アプリケーションをどこから入手したものでもインストールできる設定があることもあって、例えばIPAでは2011年始めからAndroidを標的としたウィルス[11]や不審なアプリ[12]に対する注意喚起をしてきましたが、マルウェアの数は増える一方です。
マルウェアに感染してしまうと、デバイス内の情報が流出してしまうという危険に加えて、例えば企業のアカウントでスパムを発信する、TwitterやFacebookで不適切な発言を繰り返す、あるいはボットネットの一部として国際的なサイバーテロの一翼を担わされてしまうといった企業イメージを大きく損なう活動に利用される危険もあります。
iOSの場合、アプリケーションは基本的にはAppStoreからしかインストールできず、AppStoreに掲載する際にはアプリケーションの審査が厳重に行われているため、Androidに比べてマルウェアの数が少ないといわれています。しかし、iOSであってもマルウェアと疑われるアプリケーションは見つかっていますし、ITmediaによると充電器からマルウェアに感染させるデモが行われた[13]ということですので、iOSだから何も対策はしなくても大丈夫といった油断は禁物です。
一般的にはモバイル・デバイスのマルウェア対策としては以下が挙げられています:

・root化、Jailbreakをしない
・脆弱性の対策をする
> OS、アプリケーションは最新の脆弱性の対策を適用しておく
・アプリケーションを信頼できる場所からインストールする
> Android端末では、「提供元不明のアプリ」はチェックしない
・Androidの場合はアプリケーションをインストールする際にアクセス許可を確認する
・セキュリティー・ソフトを使用する

root化、Jailbreakをしない、脆弱性の対策をするというのは知らない間にマルウェアをインストールされることを避ける意味からは必須と言えるでしょう。
アプリケーションを信頼できる場所からインストールするのは当然ですが、「提供元不明のアプリ」をチェックしないというのはGoogle Play以外からはアプリケーションをインストールできないようにする設定です。Google Playにあるアプリケーションの方が得体の知れないサイトにあるアプリケーションよりは安全である可能性が高いとは言えますが、IPAの2013年3月の今月の呼びかけ「 公式マーケット上の不正なアプリに注意! 」[14]や偽アプリの事例[15]に見られるように、Google Playに掲載されているからといって必ずしも安心できるアプリケーションとは限りません。業務用に購入したデバイスであれば、業務に必要なアプリケーション以外はインストールしないようにすべきでしょう。
Androidでは、アプリケーションをインストールする際に、電話をかける、電話帳を参照するといった、アプリケーションが要求している許可のリストが表示され、ユーザーは許可リストをチェックして適切と判断したらインストールすることになっています。この許可リストを確認するというのが4番目の項目ですが、Androidのバージョンによって許可リストの項目のグルーピングが変わったり、許可によっては何をするのかがわかりにくかったりしますし、ネットワークへのフルアクセスがあったとしても、単に広告をダウンロードするために利用しているのか、端末から情報を盗み出すのに使用しているかは判断できませんので、Androidに詳しくない一般のユーザーが許可リストを見てインストールの可否を判断するのは難しいように思います。

最後のセキュリティー・ソフトについては、モバイル・デバイスではセキュリティー・ソフトも、ユーザー権限で実行しているだけですので、他のアプリケーションがどのような通信をしているかチェックしたり、おかしなふるまいをしていないかチェックしたりすることはできませんし、他のアプリケーションがどのようなデータを保存しているかを知ることもできないため、全く役に立たないと主張している人もいるようです。しかし、root化していない通常のAndroidでは、アプリケーションを起動するには、一回はユーザーの操作で起動する必要があるため、先にセキュリティー・ソフトをインストールして稼働させておけば、アプリケーションをインストールしたタイミングで既知のマルウェアでないかチェックして、ユーザーが起動する前に警告する、あるいはセキュリティー・ソフトで確認してから起動することが可能ですので、筆者は意味が無いとは思いません。ただし、一度でも起動してしまうと、マルウェアとセキュリティー・ソフトは対等になってしまいますし、マルウェアは起動した直後に端末内の情報を外部に送信しているかもしれません。セキュリティー・ソフトを選ぶ際には、アプリケーションがインストールされたら自動的にスキャンして警告する機能をもつものを選ぶか、インストールしたアプリケーションを起動する前にスキャンするように社員を教育するといった考慮が必要でしょう。
管理ツールでインストールされているソフトウェアの一覧を取得し、禁止されているアプリケーションがインストールされていることを検出するとことは可能ですが、マルウェアについては検出した時点ですでに情報が流出している可能性も高く、root化したAndroidデバイスでは、マルウェアが管理ツールを起動できないようにしてしまう可能性もあります。このため、マルウェアについては、インストールしたことを検知するよりも、インストールしない、させないことが重要です。
一部のAndroidデバイスでは、デバイス・ベンダーによる拡張機能として、アプリケーションのインストールや起動を制限する機能を実装しているものがあり、この機能を利用した特定ベンダー製品向け拡張機能を実装した管理ツールも存在します。
iOSの場合は、Androidと同様に権限の関係で他のアプリケーションのチェックが難しいことに加えて、iOS6以前はバックグラウンドでできる動作が厳しく限定されていたために、パソコンのセキュリティー・ソフトのようなバックグランドでのウィルススキャンができないこともあり、パソコンと同じような役割のセキュリティー・ソフトは存在しないようです。一方、管理ツールを使えば、AppStoreを使用できないようにすることが可能で、これによってJailbreakしていないという条件の下では、アプリケーションをインストールさせないように設定することができます。
紛失、盗難対策
モバイル・デバイスは、携帯するという性質から、盗難や紛失について必ず考えておく必要があります。
モバイル・デバイスの場合、スマートフォンであれば取引先の担当者の電話番号やメール・アドレス、使用形態によっては機密のメール、メールに添付された機密文書、タブレットでは取引先に説明する資料といった情報が格納されていることも多いでしょう。
モバイル・デバイスの場合は、常に携帯することが多いため、パソコンのようにセキュリティ・ワイヤーで固定するといった対策は受け入れられないでしょうし、殆どのモバイル・デバイスではセキュリティ・ワイヤーで固定するためのセキュリティスロットも用意されていません。
盗まれてしまった、どこかに置き忘れてしまったといった場合には、パソコンの場合と同様に、データにアクセスできないようにするか、データを解読不能にする、または消去することが必要です。
モバイル・デバイスでは、まずはパスワードで画面ロックを行うことが必要です。Androidデバイスでは、パスワード以外の画面ロック解除方法が提供されていますが、例えばパターンは画面に残った指紋の跡からパターンを解析できてしまうことが多いといわれていますし、PINでは文字種が限られますので、パスワードに比べて突破される可能性が高くなります。モバイル・デバイスではWindowsとは異なり、ユーザーがパスワードのルールを設定する画面は提供されていませんが、管理ツールを使用すると、パスワードの長さや文字の種類、画面ロックまでの時間、それ以上間違えて入力するとデバイスのデータを消去するパスワードの最大入力試行回数等が指定できます。管理ツールを使って、一定以上複雑なパスワードを必須とし、一定回数以上パスワードを間違えた際にはデバイスをワイプするポリシーを適用しておけば、無闇にパスワードを試すようなユーザーが取得した場合には、内容が消去されることが期待できます。
Androidの場合はAndroid 4.2から電話機能を持たないデバイスでは複数のユーザーを定義できるようになりましたが、ユーザーは独立しており、管理ツールもアプリケーションなので、パスワードの長さ等のセキュリティー設定は、そのアプリケーションをインストールしたユーザーに対してだけ有効となります。
iPhone5Sのように指紋認証のついたデバイスもありますが、Chaos Computer Club e.V. によると、登録した指紋を入手できてしまえば他人が認証することも可能[16]ですし、登録できる指紋としては実用的には手の指のいずれかしか使えず、パスワードと違って、他人に知られてしまったからといって自分の指紋を変更することは不可能ですので、機密情報の保護という点では、指紋認証の利用は避けるべきでしょう。

また、殆どの管理ツールや管理サービスでは、モバイル・デバイスの位置を確認したり、データ消去指令を送ることができます。紛失の場合は、位置がわかれば発見できる可能性が大幅に向上します。通信手段が無線LANだけであるデバイスの場合、拾った、あるいは盗んだユーザーが画面ロックを突破した上で、自分のあるいは公衆アクセスポイントに接続できるようにWiFi設定をしてインターネットに接続するまでデータを取り出さないと期待することは難しいですが、スマートフォンやLTE等の回線を使用したデータ通信機能を内蔵したタブレットでは、通信圏内であれば拾われていなくても、あるいはパスワードロックを破ろうとしている時でもデータ消去指令を送ることができます。
ただし、リモートワイプの成功率は低いというレポート[17]もあるようですので、リモートワイプできるように準備しておくことは必要ですが、リモートワイプ機能だけに頼ることは危険です。
また、デバイス内蔵の記憶域を取り出すにはデバイスを分解する必要があり、パソコンのハードディスクほど簡単には取り外せませんが、絶対に取り外せないというわけではありませんので、機密情報を保管するデバイスでは、ストレージの暗号化も行っておくべきです。暗号化しても、画面ロックを解除されてしまえば、データを参照したり、通常のAndroidデバイスであればUSB経由でデータを取り出したりできてしまいますので、画面ロックのパスワードが重要になります。さらに、デバイスでマイクロSDカード等のメモリカードを使用できるデバイスの場合、メモリカードはロックもなく簡単に取り外せてしまいますので、機密情報を保管するのは避けるべきです。
情報漏えい対策
筆者は、モバイル・デバイスの情報漏洩の事例について分析したレポートを見たことはありませんが、Androidのマルウェアでは、個人情報を盗み出すものが多いことから、マルウェアによる漏洩が多いであろうということは想像がつきます。らに、持ち運ぶという性質から紛失・置き忘れ、盗難によって、また操作が簡単であることから、誤操作によって情報漏洩が発生する可能性が高いと予想されます。
マルウェア対策についてはすでに述べましたので繰り返しません。
第一回で述べたように、紛失・置き忘れ、盗難による情報漏洩の究極の対策は、個人情報や機密情報の社外への持ち出しを禁止することですが、モバイル・デバイスの場合は社外への持ち出しを禁止すれば使用する意味が無い場合が殆どと思われますので、パソコンの場合と同様に、持ち出す情報、資産はできるだけ限定すること、前節で述べたような盗難・紛失対策をとることが必要でしょう。
また、モバイル・デバイスならではの誤操作の可能性も考えておく必要があります。例えばAndroidデバイスの場合、標準の電話帳である連絡先やカレンダーをGmailのアカウントと同期させることができます。スマートフォンで取引先の担当者の電話番号や、商談の日時と内容をスマートフォンに登録していた場合、うっかりGmailのアカウントと同期しているかもしれません。現在は修正されたようですが、Freedom To Tinkerの記事によると、かつては、カレンダーの情報は暗号化されずにGoogleに送信されていた[18]ため、なりすましアクセスポイント[19]を使っていたような場合にはデータを取得される可能性がありました。さらにBastian Könings, Jens Nickels, and Florian Schaubによると、この時点では、デバイスの所有者へのなりすましが行えた可能性があった[20]ということです。現在では、Googleのアプリケーションについては修正されたようですが、サーバーと同期するアプリケーションには、同様のセキュリティー上の問題を持つものがまだあるかもしれません。
また、Androidに限らず、クラウドとデータを同期するようなアプリケーションに機密データを入力していた場合、クラウドの公開設定を間違っていたり、クラウドで使用するアカウントを乗っ取られたりすると、情報が流出してしまうことになりますので、業務用に配布するデバイスであれば、企業で指定した以外のアプリケーション、特にクラウドと同期するアプリケーションは禁止とし、管理ツールで監視、検出するようにすべきでしょう。

もう1つ気をつける必要があるのはスクリーンショットです。iOSでは電源ボタンとホームボタン、4.0以降のAndroidでは、電源ボタンと音量-ボタンを同時に押すことで任意の画面をキャプチャーでき、例えば営業社員用の、訪問する顧客の家族構成、年収といった個人情報を表示するアプリケーションを利用している際であってもスクリーンショットが取れてしまいます。取得したスクリーンショットは、写真としてどのアプリケーションでも参照できるフォルダーに保存されるため、カメラで取った写真と同様にメールに添付するなどの利用ができてしまいます。
マルウェアや不適切に情報を送信するアプリケーションがなければ、ユーザーが操作しなければ画像が送信されることはありませんが、Twitterに投稿しようとして1つ隣の機密アプリケーションの画像を選択してしまう、といった可能性が存在します。
iOSや、一部のAndroidデバイスではベンダー拡張機能によって、管理ツールがスクリーンショットを禁止することができますので、拡張機能でスクリーンショットを禁止することができるデバイスで、個人情報や重要な機密情報を扱うアプリケーションを使用することがあるとわかっている場合には、スクリーンショットを禁止するように構成すべきでしょう。
資産としての管理
モバイル・デバイスについても企業で購入した場合はコンピューターと同様には会社の資産になりますので、一般の資産と同様に管理が必要になります。
モバイル・デバイスでは、パソコンのようにメモリーの増設、ハードディスクの増設/交換といったハードウェア的な変更ができるものはまずありませんので、資産の管理としては、機器のインベントリー、使用状況とソフトウェアの状況の管理が中心になるでしょう。

モバイル・デバイスは社外での利用も多く、外部から接続して調査することは難しいので、管理ツールは論理的にはエージェント型となりますので、管理を行うには業務で使用するモバイル・デバイスすべてにエージェントをインストールすることが必要です。パソコンの場合と違って、モバイル・デバイスでは、管理ツールのエージェントを外部からインストールすることはできないため、企業で購入したものであれば、配布前にエージェントを導入しておく、あるいはVPNで接続する場合は接続したデバイス一覧と管理情報が報告されているデバイスをつきあわせてエージェントをインストールしていないデバイスが接続していないかチェックするといった対応を考えておくことが必要でしょう。
iOSの場合は、iOSに管理機能が内蔵されており、管理ツールの役割は、iOSの管理機能を有効化したり設定したりすることになりますが、各デバイスで、管理ツールに登録して管理機能を有効化するエンロールといわれる操作を行う必要があります。
ソフトウェア配布
アプリケーションの脆弱性の対策の節で述べましたが、標準のAndroidの場合、パソコンの場合のようにデバイスの利用者が知らないうちに自動でアプリケーションをインストール、更新、アンインストールするということはできませんが、アプリケーションをインストールあるいは更新することが必要な場合には管理ツールを利用することで、利用者がツールからのプロンプトに応答する必要はありますが、アプリケーションを探してダウンロードする、ダウンロードしたファイルを選択してインストールを開始するといった手間を省略してアプリケーションのインストールや更新を簡単化することは可能です。また、一部のAndroidデバイスでは、デバイス・ベンダーによる拡張機能として、管理ツールがデバイス利用者の操作無しにアプリケーションをインストール、更新、あるいは除去するための機能が備わっており、特定のデバイスに対して拡張機能を利用してソフトウェアの配信を行う管理ツールもあります。
iOSでは、AppStoreにあるアプリケーションをインストールする場合、iOS Developer Enterprise Programで開発した自社開発アプリケーションを配布する場合のいずれであっても、利用者の操作無しにアプリケーションをインストールすることはできませんが、Androidの場合と同様に、管理ツールを使用することでアプリケーションの特定、Volume Purchase Programの引き換えコードの利用といった操作を代行するといった意味での簡単化は可能です。
ソフトウェア管理
モバイル・デバイスの場合、(しつこいですがroot化あるいはJailbreakをしていないという前提では)アプリケーションのインストール方法が決まっており、正規の方法でインストールしたアプリケーションの一覧を取る機能も提供されていますので、インストールされたアプリケーションの検出はパソコンの場合に比べると容易です。

iOSの場合はそもそもAppStoreからしかアプリケーションをインストールできず、インストール時、あるいはVolume Purchase Programの購入時に料金を支払ってインストールしますので、ライセンスを受けていないアプリケーションがインストールされているということは無いと考えられます。
Androidの場合もGoogle Playからインストールすれば同等ですが、標準状態では、インストールしたアプリケーションをデバイスから抜き出し、他のデバイスにインストールできてしまう可能性があります。マルウェアの対策の節で述べた「提供元不明のアプリ」のインストールを禁止すれば、他のデバイスから抜き出したアプリケーションをインストールすることはできなくなります。これも標準のAndroidでは管理ツールでこの設定を強制することはできませんが、一部のAndroidデバイスでは、デバイス・ベンダーによる拡張機能として強制する機能が提供されています。
マルウェア対策という意味からも、拡張機能をサポートするデバイスを使用している場合は、その拡張機能を活用できる管理ツールを使用して設定を強制することが望まれます。

マルウェアの場合は一度でも稼働してしまうとすぐに情報漏洩を招く可能性が高いですが、P2P等のマルウェアではないものの、情報漏洩を引き起こす可能性のあるアプリケーションがインストールされていないかを管理ツールでチェックすることは可能です。モバイル・デバイスの場合は、ライセンス的な管理よりは、セキュリティーの観点から、ソフトウェアの管理を行うことになるでしょう。

前にも述べましたが、電話機能を持たない4.2以降のAndroidでは、ユーザーの切り替えができるようになり、アプリケーションはユーザー毎にインストールすることができるようになりました。管理ツールもアプリケーションなので、管理ツールがインストールされているユーザーのアプリケーションしか検出できません。複数のユーザーを使用しているデバイスでは、すべてのユーザーにエージェントをインストールした上で情報をサーバーに送り、サーバーでデバイス毎に集計するといった処理をすればデバイスにインストールされたすべてのアプリケーションを検出することができるようになりますが、アプリケーションはユーザー毎に独立して動くため、複数のユーザーに管理ツールをインストールすると、管理ツールが多くのメモリーを消費してしまうことにもなります。
デバイスがroot化されておらず、オペレーティング・システムに脆弱性が無ければ、あるユーザーのアプリケーションが別のユーザーの情報を参照することはできませんので、業務データを扱うユーザーに管理ツールがインストールされていれば、ユーザー切り替えの無いデバイスと同様に管理できると考えられます。一部のAndroidデバイスでは、デバイス・ベンダーによる拡張機能としてユーザーの切り替えを無効にする機能が提供されています。
デバイスの所有者による考慮
モバイル・デバイスの場合、企業で購入して社員に貸与することもあると思いますが、社員が所有しているデバイスを業務に使用できるようにするという可能性もあると思います。

企業が購入して業務用として貸与するデバイスで、機密性のあるデータを扱う場合は、紛失/盗難対策として、管理ツールで画面ロック解除でのパスワード使用の強制、パスワードのルール、一定回数以上パスワードを間違えた場合のワイプといった設定を行うべきでしょう。
マルウェア対策の観点では、企業が業務用としてモバイル・デバイスを購入して社員に貸与する場合にはデバイスはあくまで業務のためのものであり、社員がゲームをしたり、アダルト動画を鑑賞するといったような用途に使用できる必要はないはずです。
Androidの場合は、Google Playにあるアプリケーションであっても危険なものがあり得ること、インストール時に許可リストをチェックするのが一般ユーザーには難しいことから、マルウェアによる被害を防ぐには、業務に必要なソフトウェア以外はインストールしないようにすることが望まれます。
通常のAndroidデバイスでは、アプリケーションのインストールを禁止する手段が無いため、運用規則を作って社員がこの規則を守るように教育するしか手段がありません。管理ツールで禁止アプリケーションがインストールされたことを検知し、禁止されたアプリケーションをインストールしたらデバイスを消去するといった運用は可能ですが、マルウェアをインストールさせるURLをメールで送信するといった手口によって利用者がうっかりマルウェアをインストールしてしまい機密情報が漏洩した後でやっと検知できるという可能性は残ります。業務用としては、アプリケーションのインストールを制限できる拡張機能を持ったデバイス(例を[21][ 22]に示します)とそれをサポートする管理ツール(例を[23]に示します)を使用することが望ましいでしょう。
iOSでは、管理ツールを使用すれば、(Jailbreakされている、利用者がiOS Developer Programに参加してAdHocインストールを試みるといった場合を除いて)AppStoreの利用を禁止することでソフトウェアのインストールを禁止できますので、管理ツールでアプリケーションのインストールを制限する設定を行うことが望ましいでしょう。

一方、個人所有のデバイスを業務で使用するBYOD(Bring Your Own Device)と言われる利用形態の場合は、利便性とセキュリティーで相反する要件が出てきます。個人所有のデバイスであっても、管理ツールを使って画面ロックの解除にパスワードを強制することはできますが、画面ロックの解除に複雑なパスワードが必要になると、メールを読む、地図を見る、カメラを使う、次に聞く曲を選ぶといった操作の度に複雑なパスワードを入力することは非常に煩わしくなります。さらにカメラを使う、撮った写真を友人に見せるといった目的で人の多い場所で頻繁にロック解除を行っていると、ロック解除のパスワードをのぞき見られてしまう可能性が高くなります。
アプリケーションについても、自分で買ったデバイスに対してアプリケーションをインストールできないように設定されることは受け入れられないでしょうし、利用者の注意だけに依存することも危険です。

このBYODのケースの相反する要求に相当程度に応えることができるのが、コンテナー・ソリューション(例を[24]に示します)です。コンテナー・ソリューションは、コンテナー(あるいはワークスペース)として機能するアプリケーションが、暗号化されたコンテナー内にデータを保持し、コンテナー内にあるアプリケーションだけがこのデータにアクセスできるようにすることで、デバイスの他の部分から分離された状態で複数の機能を使うことができるようにしています。デバイスを通常に使用している際には、コンテナー内のデータにはアクセスできませんが、アプリケーションをインストールしたり、カメラを使ったり、通常通りに使用できます。コンテナー内のデータにアクセスする際には、デバイスの画面ロックの解除とは別に設定するコンテナーアクセス用のパスワードで認証した上で、コンテナー内のアプリケーションを使ってコンテナー内のデータにアクセスします。コンテナー・ソリューションでは、コンテナー外のアプリケーションからコンテナー内のデータにアクセスできないだけではなく、例えばコンテナー外からのデータのコピーは許すが、コンテナー内のデータの外部へのコピーは許さないといった制御を併せて行うことで、モバイル・デバイスの課題の多くを解決します。
ただし、機密データをデバイスに格納した後にroot化、あるいはJailbreakされてしまった場合は、悪意のあるアプリケーションがコンテナーにアクセスして暗号化を破ろうと試みることはできてしまいますし、機密データを表示した状態でスクリーンショットを取られてしまう可能性もありますので、コンテナーの設定を兼ねて、管理ツールと併用することが望まれます。
まとめ
今回は、エンドポイントの管理の中で、モバイル・デバイスの管理という観点から、主にセキュリティーについて述べました。
前回同様、すべての読者の方に、こんなことは常識だ、すべて対応している、こんな記事は不要だ、と言って頂ける状態になっていることが望ましいのですが、もし対応が不十分だ、と感じる点がありましたら、読者の所属する企業のセキュリティーポリシーと照らし合わせた上で、必要な措置をとるきっかけとして頂けると幸いです。
 
参考文献およびリンク:(リンクは全て外部リンク)
URLは2013年11月現在のものです。
IBM以外の資料やWebサイトについては、参考のために掲載しているもので、IBMや筆者が内容の正確性を保証するものではありません。

[1] 独立行政法人 情報処理推進機構(IPA: Information-technology Promotion Agency, Japan, 以下IPAと表記します):I ♥ スマホ生活のページの「映像:大丈夫? あなたのスマートフォン」
[2] IPA:I ♥ スマホ生活
[3] IPA:スマートフォンを安全に使うための6箇条
[4] 一田和樹:サイバーセキュリティ読本, ISBN-13: 978-4562049301
[5] いくつか例へのリンクを挙げます:
NIST:Vulnerability Summary for CVE-2013-3950
NIST:Vulnerability Summary for CVE-2013-5139
Japan Vulnerability Notes:Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性
[6] Bluebox Security:Black Hat Presentation on Android “Master Key”
Commentary on the Android “Master Key” Vulnerability “Family”
[7] JVN:JVNDB-2013-003457
[8] JVN:JVNDB-2012-003965
[9] 悪用を誘発することになると危険ですので、過去の例を挙げておきます。
Vanja Svajcer:Pressure to improve Android security is building up
[10]NIST:Common Configuration Enumeration (CCE)
[11] IPA:Android OSを標的としたウイルスに関する注意喚起
[12] IPA:Android OSを標的とした不審なアプリに関する注意喚起
[13] ITmedia:不正な充電器でiOS端末がマルウェアに感染 Black Hatで実証
[14] IPA:2013年3月の呼びかけ「 公式マーケット上の不正なアプリに注意! 」
[15] Trend Micro Inc.:正規マーケット「Google Play」上で公開されていた「偽Flash Player」の正体は?
[16] Chaos Computer Club e.V.:How to fake fingerprints?
[17] Scan NetSecurity:急増するスマートフォンの落し物リスクとこれからの落し物について
[18] Things overheard on the WiFi from my Android smartphone
[19] 日経BP社:Wiフィッシング
[20] Bastian Könings, Jens Nickels, and Florian Schaub:Catching AuthTokens in the Wild
The Insecurity of Google's ClientLogin Protocol

[21] SAMSUNG:SAFE
[22] 株式会社 東芝:タブレット向けに不正アプリケーションの導入防止と情報保護機能を開発,
[23] Fiberlink Communications Corp.: MaaS360 Mobile Device Management
[24] Enterproid, Inc:Divide

ご注意
IBM、IBM ロゴ、ibm.comは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml 外部リンク をご覧ください。 Linuxは、Linus Torvaldsの米国およびその他の国における登録商標です。 Windowsは Microsoft Corporationの米国およびその他の国における商標です。他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。


 
 
 
サイトマップ関連リンクプライバシーポリシーblankupご利用にあたってblankup
ページのトップへ