働き方改革に必要な“モバイルセキュリティ”――モバイル時代にふさわしいセキュリティ対策を実現するにはモバイル脅威からデバイスを保護せよ

働く場所がオフィスに限定されなくなり、スマートフォンやタブレットを業務に活用することが当たり前になった今、“モバイルセキュリティ”の確保が企業にとって喫緊の課題となっている。そこで求められるのが、モバイル端末側でのデバイス管理とマルウェア検出/対処を組み合わせること。その最適解となるのが、Microsoft Enterprise Mobility+SecurityとLookout Mobile Endpoint Securityの連携だ。

» 2017年05月19日 10時00分 公開
[PR/@IT]
PR

“セキュア”でなければ「働き方改革」は進まない!

 今、多くの企業が、スマートフォンやタブレットなどのモバイルデバイスを活用し、時間や場所の制約を受けずに業務生産性を向上させようとする「働き方改革」に積極的に取り組もうとしている。

 働き方改革といえば、2016年6月に政府が発表した「ニッポン一億総活躍プラン」の“第一の矢”に掲げられた重要政策の1つである。目指すところは従来の「ワークスタイル変革」とほぼ同じだが、国の政策に位置付けられたことで、会社を挙げて取り組むべき共通の経営課題となった。

 働き方改革を推進する追い風が吹く一方で、モバイルデバイスを活用した働き方改革を妨げる課題も幾つか存在している。さまざまな調査会社が発表しているレポートを見ると、阻害要因のトップグループに必ず挙げられているのが「セキュリティ」だ。モバイルデバイスは社外での利用機会が多いため、社内で安全に運用管理されているクライアントPCやサーバ機器と違って、マルウェアへの感染やセキュリティ侵害に起因する情報流出が懸念されているのである。

ALT ルックアウト・ジャパン エンタープライズ営業本部
テクニカルセールス 守屋賢一氏

 そこで大きく期待されているのが、モバイルデバイス向けのセキュリティソリューションだ。例えば、モバイルデバイスの盗難や紛失時に遠隔操作でデバイスをロックしたり、データを消去したりする「モバイルデバイス管理(MDM)」ツールや、アプリケーションレベルでセキュリティを確保する「モバイルアプリケーション管理(MAM)」ツールが代表的なソリューションになる。最近では、MDM、MAMに加え「モバイルコンテンツ管理(MCM)」の機能を統合した「エンタープライズモバイル管理(EMM)」という新たなカテゴリーも提唱されている。

 「ただ、現在のモバイルセキュリティ対策は、MDMツールを使った紛失対策だけにとどまることが多いようです」

 こう語るのは、モバイルデバイス向けセキュリティに特化したソリューション開発を行う、ルックアウト・ジャパンの守屋賢一氏(エンタープライズ営業本部 テクニカルセールス)。「App Store」や「Google Play」といったベンダー公式のアプリケーションストアにもマルウェアが存在するようになった現在、モバイルデバイス側にもマルウェアの検出と対策用のツールが欠かせない、というのが守屋氏の指摘だ。

 このような背景から、マイクロソフトとルックアウトはモバイルセキュリティの分野における協業を2016年6月7日に発表し、同年10月4日には「Microsoft Enterprise Mobility+Security」(以下、EMS)と「Lookout Mobile Endpoint Security」を連携できるようになった。

ルックアウトとの協業でモバイルセキュリティを強化

 この連携の中心となるEMSは、クラウド/モバイル時代のモビリティ&セキュリティソリューションとしてマイクロソフトが提供しているクラウドサービス。以下の4機能が提供される。

  • IDとアクセスの管理(Microsoft Azure Active Directory Premium)
  • モバイル生産性の管理(Microsoft Intune)
  • 情報の保護(Microsoft Azure Information Protection Premium)
  • IDを中心としたサイバー セキュリティ対策(Microsoft Cloud App Security/Microsoft Advanced Threat Analytics)

 Azure Active Directory(Azure AD)を中核に据えて、その機能でMDMと情報保護をコントロールする(図1)。

図1 図1 Enterprise Mobility+Security(EMS)は、ユーザー管理、デバイス管理、アプリ管理、データ保護の4機能でモバイルワークの安全性を高める《クリックで拡大します》

 「社内ネットワーク中心の防御で対策できたオンプレミスの時代とは違い、社外でのモバイルデバイス活用が当たり前になった今は、クラウド/モバイル時代に相応のITガバナンスが求められています」と語るのは、日本マイクロソフトの高橋大志氏(Cloud Productivity & Mobile営業本部 テクニカル第2営業部 テクノロジーソリューションズプロフェッショナル/CISSP)。

ALT 日本マイクロソフト Cloud Productivity & Mobile営業本部 テクニカル第2営業部 テクノロジーソリューションズプロフェッショナル/CISSP 高橋大志氏

 具体的には、「ユーザー管理」「デバイス管理」「アプリ管理」「データ保護」の4つをセキュリティ管理の基本要素として、事前防御→攻撃の検知→事後対策→事前防御→攻撃の検知……という循環型のセキュリティ保護体制を整備する必要があると指摘する。

 ただ、クラウド/モバイル時代は技術や社会の変化が極めて速いため、ITガバナンスを担保するためのソリューションも変化に合わせて進化させていく必要がある。EMSも当初はID管理、MDM、情報保護の3種類の機能でスタートし、その後、新たな技術が追加されて現在の4機能構成となった。EMSとLookout Mobile Endpoint Securityの連携は、この次の進化の次のステップとなるものだ。

 高橋氏は、「例えば、EMSの機能で“会社支給端末で、なりすましでないことが証明されたユーザー”であることが確認できたとしても、そのモバイルデバイスがマルウェア感染していてはセキュリティを担保することはできません。iOSやAndroid等のモバイル デバイスで、不正なネットワークへの接続を検知する機能や、管理下にないアプリが不正な動作をしていないことを担保する機能が、現状のEMSにはないので、それを専門とするセキュリティベンダーとの協業でカバーしています」と説明する。

 2016年に発表されたマイクロソフトとルックアウトの協業で注目したいのは、EMSとLookoutの「ソフトウェア連携」だけにとどまらず、Lookoutがマイクロソフト社内におけるiOS及びAndroid向けモバイルセキュリティの標準になる点にある。これにより、マイクロソフト社員が利用するモバイル端末は今まで行っていたセキュリティ対策に加えLookout Mobile Endpoint Securityが実装されることになり、グローバルで12万人を超えるマイクロソフト社員に展開される予定だ。

モバイルデバイスの安全性確保はLookoutで

 連携パートナーとなるLookout Mobile Endpoint Securityは、アプリベースの脅威、ネットワークの脅威、モバイルOSにおける脅威などからモバイルデバイスを保護するソリューションである。

  • アプリベースの脅威:トロイの木馬やスパイウェア、ルートキットサイドローディングアプリ
  • ネットワークの脅威:Man-in-the-Middle攻撃やSSL攻撃など、通信中の暗号化データの傍受。ホスト証明書の乗っ取り
  • OSの脅威:iOSの脱獄(JailBreak)やAndroid OSのルート(root)化。悪意ある構成プロファイル

 Lookoutでは、全世界に1億台以上あるセンサーからさまざまなモバイル脅威に関するデータを収集・分析し、「Lookoutセキュリティクラウド」に蓄積し、これら脅威からデバイスを保護している(図2)。「分析においては、マルウェアのシグネチャと振る舞いだけでなく、ソースコードの類似性判定や予測的技術も使っていますので、未知の脅威も確実に検出して対応できます」と守屋氏は胸を張る。

図2 図2 ルックアウトでは、1億台以上のセンサーから「Lookoutセキュリティクラウド」に情報を収集し、この情報を基にマルウェアかどうかを判定している《クリックで拡大します》

 さらに、ネットワークの脅威に対しては、接続先の回線や無線LANアクセスポイントが変わるたびに経路の安全性を再評価してセキュリティを確保。公衆無線LANの利用で危惧されるMan-in-the-Middle攻撃(中間者攻撃)防御時に誤検知が多発するケースが多いが、Lookoutでは誤検知を最小限に抑えつつ、確実に防御することができる。

 自社のモバイルデバイスがどのような脅威にさらされているかを分かりやすく可視化できることも、Lookout Mobile Endpoint Securityを利用する大きなメリットとなる。日常のモニタリングは統合管理コンソールだけで可能。リスクの状況は高/中/低の3段階で表示され(図3)、気になった部分をドリルダウンしていけば脅威の詳細情報が表示される(図4)。

図3 図3 Lookout Mobile Endpoint Securityの管理コンソール画面。端末への配備状況、リスクの状況、進行中の脅威レベルは高/中/低の3段階で示される《クリックで拡大します》
図4 図4 気になった部分をドリルダウンすると、マルウェアについての詳しい説明が画面に表示される《クリックで拡大します》

 Lookoutはこのような「明らかに悪意がある脅威」の他に、マルウェアではないが業務での使用を制限したい“リスキーアプリ”を自動的に検出する機能も実装する予定だ。例えば、正規のクラウドストレージアプリでも、データを国内保存するものは利用許可にしてもいいが、国外に保存するものはコンプライアンス上利用させたくないと考える企業も多いだろう。この機能を利用することで、指定地域外へのデータ送信やデータ送信時に暗号化されていないなど、コンプライアンス違反になるアプリ利用の制限を効率よく検出することが可能。世に出回っている膨大な数のアプリをいちいちチェックしなくて済むので、セキュリティ担当者の業務負荷軽減にも貢献する。

 なお、Lookout Mobile Endpoint Securityでモバイルデバイスのセキュリティを確保するには、全社員のスマートフォン/タブレットにエージェントをインストールする必要がある。エージェントのインスト−ル作業を自動化したり、インストール漏れを防いだりするには、EMSに含まれている「Microsoft Intune」の自動配布機能を活用するとよいだろう。

API連携で条件付きアクセスの制御も可能に

 EMSとLookout Mobile Endpoint Securityの連携で得られる最大のメリットは、セキュリティインシデントへの対応を自動化できることにある。これにより、セキュリティ対策のための運用管理工数が少なくなり、担当者の手作業も最小限に抑えることが可能だ。

 「Lookout Mobile Endpoint Securityがモバイルデバイスでマルウェアを検知すると、そのイベントはAPI経由でEMSにも通知されます」と、守屋氏。すると、EMSは自らの管理コンソールにアラートなどを表示するとともに、Azure Active Directory(Azure AD)経由でMicrosoft Office 365などのアプリケーションに対するアクセスを制限する(図5)。

図5 図5 Lookout Mobile Endpoint Security+EMSによるインシデント自動対応。モバイルデバイスでマルウェアが検知されると、そのイベントがAPI経由でEMSにも送信される《クリックで拡大します》

 このアクセス制限は、Azure ADの「条件付きアクセス」で実現されている。このポリシーは、所属部署や役職などのユーザー属性、Microsoft Intuneに登録されたモバイルデバイスであるか否か、使おうとしているアプリケーション、モバイルデバイスが使われているネットワークなどに基づいてOffice 365などのクラウドサービスやオンプレミス型アプリケーションの使用可否をコントロールするためのもの(図6)。

図6 図6 Azure ADの条件付きアクセス制御ポリシーを利用して、“危険な”モバイルデバイスによるアプリケーション利用を制限する《クリックで拡大します》

 「このポリシーを拡張し、Lookout Mobile Endpoint Securityでセキュアであると確認されているかどうかをアクセス制御条件に加えるかたちになります」と高橋氏は説明する。

 Azure ADの条件付きアクセスは自動的に適用されるため、EMSとLookout Mobile Endpoint Securityの連携によってセキュリティ管理の手間が増えることはない。「セキュリティ管理者がいちいち端末をロックしなくても、アクセス制限は自動的に適用されます」と、守屋氏。夜間や休日にインシデント対応しなくて済むことは、セキュリティ管理者にとっての大きな“働き方改革”となることだろう。

 APIによる密接な連携は確立されたものの、Lookout Mobile Endpoint SecurityがEMSに統合されてしまったわけではない。両社はそれぞれの製品/サービスを従来通りに提供しつつ、連携ソリューションを活用し、働き方改革を推進しようと考えていえる企業を開拓、支援する活動を共同で進めていくとのことだ。今後は、共同セミナーの開催なども予定しているという。

 モバイルデバイスやクラウドを積極的に活用した働き方改革は、イノベーター(革新者)やアーリーアダプター(早期採用者)が飛びつく時期を過ぎて、アーリーマジョリティー(早期多数派)とレイトマジョリティー(後期多数派)への普及が進む段階へと到達した感がある。この段階で重要なのは、単に働く人々の生産性が高まるというだけでなく、セキュリティ侵害や情報流出などの事故が起こらないという安全性を確立すること。EMSとLookout Mobile Endpoint Securityの組み合わせは、今の段階に最もふさわしいモバイルセキュリティソリューションとして注目される。

◆Office 365+モバイルを活用した「働き方改革」セミナーを開催◆

 「働き方改革」の本質は「残業時間をゼロにする」ことではありません。「残業時間をゼロに近づけつつ、より高いアウトプットを出す」ためには、長時間労働を正とするビジネス推進の考えを改め、ツールを活用して効率的に業務を行う環境を作ることが必須です。

 本セミナーでは、マイクロソフトが実践している取り組みを例にあげながら、働き方改革の最新動向とともに、生産性向上のためのツールOffice 365モバイルアプリの使いこなしのヒントや、モバイル端末を安全に利用するためのセキュリティ対策について紹介します。

  • 名  称:「Office 365+モバイル端末で成功させる働き方改革」
  • 開催日時:2017年6月21日(水) 15:00〜17:00(受付開始 14:30)
  • 会  場:TKPガーデンシティPREMIUM神保町(東京都千代田区)
  • 費  用:無料

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年6月18日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。