脆弱なモバイルエンドポイントの保護：管理＆セキュアな運用

モバイルデバイスはエンドポイントの中で最も脆弱です。このデバイスを管理しセキュアに運用するには、MDMソリューションや脅威対策ソリューションだけでは足りません。これらのテクノロジーを拡張して現行のセキュリティ戦略に組み込み、組織全体にわたって強固なセキュリティ体制を確立することが求められます。

このブログでは、モバイルセキュリティが現在直面している課題とその解決策、モバイルデバイス特有の対策を導入すべき理由、包括的なエンドポイントセキュリティの概要、およびモバイルセキュリティポリシーの導入におけるベストプラクティスについて解説します。主なトピックは以下のとおりです。

• 包括的なエンドポイントセキュリティ戦略の概要
• モバイルセキュリティが現在直面している課題とその解決策
• モバイルデバイス特有のセキュリティ対策の重要性
• モバイルセキュリティポリシー導入のベストプラクティス

モバイルセキュリティの現状

モバイルデバイスの登場で、企業は部門の壁を越えて効率的な業務を行えるようになりました。モバイルデバイスは使いやすく、持ち運びやすく、どこでもアプリやリソースにアクセスできるので、エンドユーザ（現場作業者や社員）は常にネットワークに接続しながら仕事に取り組めます。しかし、従業員のネットワーク接続が進むほど、以下のようなセキュリティ上の問題が生じる可能性があります。

• 社内データへの不正アクセス
• エンドユーザのプライバシー情報の漏洩
• プラットフォームごとのセキュリティ体制のバラつき
• コンプライアンスの評価と維持の障害

これらの問題はすべて、より大きなモバイルセキュリティの課題につながります。エンドポイントやユーザ、業務用データ、個人データに高度な脅威が及び、組織全体のセキュリティ体制が損なわれるのです。

企業の現状

従来、組織は複数のビジネスニーズを単一のプラットフォームに合わせて調整していました。この方法では、自社固有のニーズに対処しながら、シンプルに管理を行うことができました。また、業務用プラットフォームが1種類に統一されていたことで、ITやセキュリティに関する課題の一部は軽減されていました。 しかし、勤務場所の分散とモバイルデバイスの普及に伴い、かつては消費者向けとされていたこの定番デバイスは、今やビジネスを支える重要なツールとなり、世界中どこからでも業務を遂行できる環境を実現するうえで、欠かせない存在となっています。

これにより、単一のプラットフォームを管理しさえすればよかった組織の管理のあり方は一変しました。従来のツールではモバイルオペレーティングシステム（OS）や新登場の機能のサポートが限られているか、あるいはまったくサポートされないため、企業のIT部門やセキュリティ部門は苦境に立たされています。この問題はユーザの生産性だけでなく、機密データの完全性を損なう攻撃者や高度な脅威から社用スマートフォンとユーザを守る組織体制など、あらゆる面に影響を及ぼします。

モバイルセキュリティに影響する要因

• OSごとのサポート対象バージョンの細分化
• プラットフォーム間のサポートが不均一であるために生じるアップデート展開の遅れ
• MDMソリューションの機能サポートのバラつき
• デバイステレメトリの定期的な評価・検証機能
• ポリシーに基づくコンプライアンス要件の適用に関する制限
• インフラストラクチャ全体でのセキュリティ対策の導入と適用における不調和

オーナーシップモデルを問わないセキュリティ体制の同等性

多くの組織では、さまざまなモバイルデバイスのオーナーシップモデルが導入されています。たとえば、看護師や店頭スタッフなどの現場従業員には共有デバイス／1人1台のデバイスが提供される一方で、本社勤務の従業員には、COPE（企業がデバイスを支給し私的利用を許可）やBYOD（個人所有デバイスの業務利用）といった運用モデルが採用されています。利用目的や運用モデルの違いに応じて、デバイスの設定もそれぞれの用途に最適化されるのが一般的です。

しかし、オーナーシップモデルや用途がどのようなものであれ、モバイルデバイスがサイバー攻撃のメインターゲットであることに変わりはありません。そのため、現場ユーザの生産性向上とインフラストラクチャ全体のセキュリティ体制確保を両立するセキュリティ手法は開発が困難です。

一般例

病院や小売店のような環境では、現場スタッフの日常業務を効率化するため、共有デバイスを導入しているところが一般的です。こうしたデバイスは1日を通して複数のユーザに使われることが多く、アクセス制御に穴が生じるためセキュリティ侵害のリスクが高くなっています。デバイスに制限を課したとしても、認証やセッション管理が十分でないなど、手順が不適切であると機密データへ不正にアクセスされるおそれがあります。

また、重役やバイスプレジデントなどの上級幹部が使用するデバイスは、組織の機密通信に使われ重要なデータが保存されているため、高度な攻撃の標的になりがちです。現場や工場で使用されるモバイルデバイスも、外部ネットワークと頻繁に接続するため危険な状態にあり、ネットワークセキュリティやデータ漏洩、デバイス紛失が懸念されます。

コンバージェンスとコンプライアンス

コンプライアンスの面では、デバイスの能動的な監視やリスクのリアルタイム評価、健全性の問題の検証はもちろん、リスク軽減ワークフローによる迅速な事後対応よりも重要なものがあります。それは、モバイルセキュリティで起こる重大なミス、「バランス」です。

具体的に言うと、「バランス」とは管理とセキュリティに対する考え方を指します。多くの場合、これはIT部門とセキュリティ部門との主導権争いと誤解されがちです。しかし実際は、MDMソリューションに管理とセキュリティの2役を任せた結果、多層的な防御を確立できなくなる事態を指します。逆に、組織として業務用リソースへのアクセスにユーザの私的デバイスを採用し、以下のようなベストプラクティスを導入しているとしましょう。

• パスワードを長く複雑なものにする
• 公衆Wi-Fiスポットには接続しない
• 通信でセキュリティハイジーンプロセスを遵守する
  （頼んでいない添付ファイルは開かない、リンクはクリックしない、パスワードは共有しない）
• 包括的な脅威対策を導入する
• ボリューム暗号化でデータを暗号化する

この場合も、基準線を定めるポリシーベースのコンプライアンス対策を実施できないのであれば、洞察が不十分になり、高度な脅威に対応可能な効果的で柔軟な管理プロセスを確立できません。

言い換えると、「デバイス管理ソリューションなしで、エンドポイントが安全な状態にありコンプライアンスに準拠しているか検証できるか」ということです。これは裏返すと、「エンドポイントセキュリティソリューションなしで、適切なリスク管理を実施できていると証明できるか」ということでもあります。

これらの疑問をまとめると、適切な状態を実現するうえでバランスの考え方が重要である理由がわかります。「バランス」とは、デバイスの保護が過剰になる事態（ユーザエクスペリエンスが低下して業務に使用できなくなる）も、管理が不足する事態（モバイルセキュリティが不十分または無駄になり、重要な資産と社内リソースが危険にさらされる）も防ぐことなのです。

モバイルデバイスで解き放つビジネスの可能性

Jamf for Mobileには、業務でモバイルデバイスを最大限に活用するための機能がすべて揃っています。 そのため、IT部門はセキュリティ要件やコンプライアンスの対応を確実にしながら、ユーザエクスペリエンスの向上も実現できます。デバイス活用の計画・展開・拡張するために必要な主要機能を備え、次のことを実現できるよう支援します：

• 業務上不可欠なアプリへの安全なアクセスを確立し、従業員が働くあらゆる場所にワークフローを拡大
• モバイル管理/セキュリティ部門に可視化・制御機能を提供し、モバイルデバイス特有の使い勝手を維持しながらデバイスを保護
• 許可制のBYODモデルに加え、各自への専用デバイスの支給やデバイス共有も同等のサポートで実現
• 組織および業界特有の規制に準拠した基準線を確立し適用

まとめ

Jamfは、モバイルデバイスの活用方法を進化させることで、従業員の働き方そのものを変革します。 ユーザーエクスペリエンスを最優先に考え、既存のITシステムとシームレスに統合し、業務プロセスの拡張も可能にするソリューションによって、モバイルワークのあり方を根本から変えていきます。

また、以下のようなモバイルセキュリティの最新事情も詳しくまとめています。

• モバイルデバイスの活用を促進する要因と、これらを社内の導入計画に組み込む方法
• 高まる懸念、 リスクベクトル、脅威の最新状況
• プラットフォーム間のギャップを埋める包括的なアプローチ
• 規制の厳しさを問わずあらゆる業界でコンプライアンス要件を遵守する方法
• 管理とセキュリティの統合戦略を策定するポイント

あらゆるデバイスにトレードオフの必要なく妥協のない保護を適用できる未来を描いた、「もっとも脆弱なエンドポイント『モバイルデバイス』の管理とセキュアな運用」をぜひご覧ください。このビジョンは、組織や関係者にとっての究極の目標 ―「効率的に管理され、企業レベルのセキュリティが確保されたエンドポイントによってビジネス運営を支援すること」そのものを体現しています。