Comments
Description
Transcript
スマートデバイスの企業導入に潜む リスクと対策のポイント
【日立ソリューションズセッション2】 スマートデバイスの企業導入に潜む リスクと対策のポイント 2012/6/27 株式会社 日立ソリューションズ プラットフォームソリューション本部 セキュリティソリューション部 技師 猪股 健一 © Hitachi Solutions, Ltd. 2012. All rights reserved. 1 スマートデバイスのビジネス利用状況 スマートデバイスの企業導入は拡大傾向 スマートデバイスを導入している企業は全体の20%に満たない状況だが、 70%以上の企業が興味を持っており、今後導入が進んでいくと予想される。 一方、セキュリティへの不安が導入しない理由の上位を占めている。 【導入状況】 【導入阻害要因】 セキュリティに不安がある 紛失の危険性が高い 出展:キーマンズネット「業務用スマートフォンの導入状況(2012年)」 スマートデバイスの企業導入にはセキュリティ対策が急務 © Hitachi Solutions, Ltd. 2012. All rights reserved. 1 2 スマートデバイスに関するセキュリティの現状 スマートデバイスを標的としたマルウェアが急増 2012年に入り数千単位に急増。(2011年中頃は数百単位) 「McAfee脅威レポート:2012年第1四半期」より スマートデバイスの脆弱性情報の報告 脆弱性対策情報データベース「JVN iPedia」には、 スマートデバイスに関連する脆弱性情報が蓄積、公開されている。 Android:102件、iOS:64件、BlackBerry:27件(2012年6月1日時点) スマートデバイスの普及とともに デバイスにおけるリスクは益々高くなってくる © Hitachi Solutions, Ltd. 2012. All rights reserved. 2 3 スマートデバイス利用時の代表的なリスク 社外での社内システム利用 業務外アプリの利用 公共アクセスポイントへの接続 店舗での商品説明 クラウドサービス経由での 不正な持ち出し 端末の紛失・盗難 通信経路上での盗聴 端末の紛失・盗難 FW 社内セキュリティ対策の迂回 不適切な廃棄 管理外端末からの不正アクセス 社内ネットワーク ウイルス拡散 ㊙ ㊙ DMZ 社内での利用 ㊙ ㊙ ㊙ 社内システム © Hitachi Solutions, Ltd. 2012. All rights reserved. 3 4 企業導入におけるリスクと対策 スマートデバイスの企業導入におけるリスクと対策 リスク 対策 認可されていないスマートデバイスからの 不正アクセス 利用ルールの明確化 リテラシー教育によるモラル向上 盗難・紛失による情報漏えい デバイス管理(MDM) 不正な情報持ち出しによる情報漏えい OSやアプリケーションの脆弱性を悪用された ウイルス感染や情報漏えい クラウドサービスの不適切な利用による情報 漏えい 不適切なWebアクセスによるウイルス感染 デバイス情報の管理 セキュリティポリシーの強制 デバイス機能のロックダウン アプリケーションの管理 通信設定(Wi-Fi、VPN)の管理 認証強化 デバイス認証(証明書+VPN) ウイルス対策 私的利用による生産性の低下 暗号化 不適切な廃棄による情報漏えい 持ち出し制御 © Hitachi Solutions, Ltd. 2012. All rights reserved. 4 5 対策のポイント スマートデバイスを安心・安全に業務で利活用するためには... 企業や組織が認可したスマートデバイスを厳格に管理・特定すること 認可したデバイスだけをセキュアに社内リソースへ接続させること 持ち出されることが前提のデバイス自体のセキュリティを確保すること 3つの対策ポイント デバイス管理 【MDM】 認証強化 デバイス認証+VPN デバイス セキュリティ © Hitachi Solutions, Ltd. 2012. All rights reserved. 5 6 スマートデバイスのライフサイクル管理 【廃棄】 業務利用データの消去 デバイス設定の消去 業務アプリケーションの削除 廃棄 【運用】 デバイス情報の収集・監視 デバイス機能の制御 職制変更、人事異動への対応 (適用ポリシーの見直し、変更) 事故対応 (遠隔ロック&ワイプ) 計画 デバイス管理 (MDM) 運用 【計画】 社内ルール(利用規約)の整備 利用者マニュアルの整備 サポート体制の確立 (ヘルプデスクや緊急時連絡先) 導入 【導入】 利用開始手続き (利用申請・承認、誓約書) 利用者教育(リテラシー向上) デバイスの初期設定 (キッティング/セルフサービス) デバイスの配布 MDMを活用してスマートデバイスのライフサイクルを管理 © Hitachi Solutions, Ltd. 2012. All rights reserved. 6 7 デバイス管理(MDM)の概要 MDM 【Mobile Device Management】 企業や組織がスマートデバイスを業務で利活用するうえで、必須の管理ツール 【一般的なMDM機能】 デバイスの統合管理 • デバイス情報の一元管理と状態監視 • ポリシー、アプリケーション、 接続設定の一元管理 社内環境 証明書 サーバ 機密ファイル サーバ ディレクトリ サーバ DB サーバ ㊙ メール プロビジョニング • デバイスへのポリシー適用 • アプリケーション、通信設定の配布 VPN セキュリティ対策 MDM Wi-Fi • 遠隔ロック&ワイプ(データ消去) • セキュリティポリシーの強制 • デバイス機能のロックダウン 社内/社外 © Hitachi Solutions, Ltd. 2012. All rights reserved. 7 8 MDM製品の実装ポイント MDM製品によるデバイス管理 【対策のポイント】 セキュリティポリシーの設定 MDM管理サーバ パスコードポリシーの強制 パスコードの強制は必須! ⇒ パスコードの履歴とパスコードポリシーの強制 ⇒ パスコード失敗時のアクション設定(ワイプなど) デバイス機能の制御 業務上、必要のない機能はロックダウン! ・ポリシー配信 ・アプリ、通信設定の配布 ⇒ カメラなど、業務で使用しない機能は利用不可 社内アクセス用の通信設定の管理 MDM管理下の認可されたデバイスだけに 社内アクセス用の通信設定を配布! VPN接続設定 カメラ禁止 アプリケーションの管理 VPN機器 推奨アプリや禁止アプリを設定! ⇒ カメラなど、業務で使用しない機能は利用不可 ㊙ 禁止アプリ 社内システム © Hitachi Solutions, Ltd. 2012. All rights reserved. 8 9 MDM製品の選定ポイント① 製品タイプでの選定 MDM製品は、その提供形態によってサービス(SaaS)型とオンプレミス型に大別される。 ⇒ 運用要件やセキュリティ要件、コスト面などから総合的に判断する。 提供形態 特長 サービス型 (SaaS型) 短期間でサービス開始可能 MDM管理サーバなど新たな設備投資が不要 運用コストが月額費用のみ 運用代行サービスなども利用可能 不要になったら、解約可能 オンプレミス型 自社内にMDMシステムを構築するため、柔軟な運用が可能 Active DirectoryやLDAPとの連携などにも対応可能 端末や利用者に関する機微情報を自社内で管理できる © Hitachi Solutions, Ltd. 2012. All rights reserved. 9 10 MDM製品の選定ポイント② 製品機能での選定 ■課題1 大規模な導入に対応できるか?また、導入後の運用負荷を軽減したい。 ★選定ポイント デバイスをグループ管理(利用者の所属や職制でグルーピング)できる。 ADやLDAPとディレクトリ連携できる。 キッティングツール(またはサービス)が提供されている。 ■課題2 セルフ・プロビジョニングによって運用負荷を軽減したい。 ★選定ポイント デバイスへのポリシー適用、アプリケーションや通信設定の配布が自動化されている。 ポリシー違反を検出したら、当該デバイスから自動的にアプリケーションや通信設定を はく奪できる。 © Hitachi Solutions, Ltd. 2012. All rights reserved. 10 11 MDM製品の選定ポイント③ ■課題3 禁止アプリケーションを起動できないようにしたい。 ★選定ポイント 禁止アプリへの対応は製品によって異なる。禁止アプリがインストールされたデバイスに 警告通知してアンインストールを促すが、起動はできてしまうのが一般的な製品仕様。 禁止アプリを起動させない、といった強制力を発揮する製品もある。 ■課題4 私物デバイスの活用(BYOD)を容認した場合、様々なOS・機種への対応が必要。 ★選定ポイント マルチOS(iOS、Android、Windows Phoneなどの混在)環境に対応できる。 ■課題5 MDM製品が管理するデバイス情報や位置情報を外部システムと連携したい。 ★選定ポイント 外部システムと連携するためのWeb API が提供されている。 © Hitachi Solutions, Ltd. 2012. All rights reserved. 11 12 認証強化(デバイスの個体識別) セキュアな社内アクセスを実現するためには・・・ 企業や組織によって認可されたスマートデバイスを厳格に特定することが重要 ⇒ デバイスを特定できたら、セキュアに社内アクセスする手段を提供する 課題 認可されたスマートデバイスだけを社内アクセスさせたい 認可されていないデバイスは社内ネットワークに接続させない 【対策ポイント】 認証局 デバイス証明書による個体識別 ㊙ 端末固有識別情報をもとに認証書を発行 (端末固有識別情報:IMEI、UDIDなど) ⇒ 端末固有識別情報が異なるデバイスには 証明書はインストールできない。 VPN機器 申請 社内システム 証明書発行 会社から貸与されたスマートデバイス用に 発行されたデバイス証明書を個人所有の スマートデバイスにインストール・・・ ↓↓↓ 端末固有識別番号が異なるので、 インストールできない 領収証 様 金額 印 紙 会社貸与の デバイス 証明書あり 証明書なし 個人所有の デバイス © Hitachi Solutions, Ltd. 2012. All rights reserved. 12 13 セキュアな社内アクセス① 認可されたスマートデバイスにセキュアなアクセス手段を提供 課題 利用者のなりすましによる社内への不正アクセスを防ぎたい 社内システムへのアクセス設定を一元管理・配布したい 【対策のポイント】 二要素認証による利用者識別 認証 サーバ MDM サーバ デバイス認証+αの二要素認証によって、 利用者のなりすましを防止! ID/PW認証 ㊙ ⇒ α:ユーザID/パスワード、OTPなど MDM連携による通信設定の管理 VPN設定 の配布 認可されたデバイスへMDMから社内アクセスの 通信設定(VPN、Wi-Fi)を配布! VPN機器 社内システム 認可されたデバイス を入手しても、ID/PW がわからなければ、ア クセスできない! ⇒ ポリシー違反や盗難・紛失したデバイスに対しては、 MDMの機能によって通信設定をはく奪する。 領収証 領収証 様 金額 様 金額 印 紙 印 紙 盗難・紛失 なりすまし © Hitachi Solutions, Ltd. 2012. All rights reserved. 13 14 セキュアな社内アクセス② 無線LANからのセキュアな社内アクセスを実現するには・・・ 課題 無線LAN経由での社内への不正アクセスを防ぎたい 社内システムへのアクセス設定を一元管理・配布したい 【対策のポイント】 暗号化・ユーザ認証によるセキュリティ強化 経営情報 一般業務 情報 盗聴・なりすまし等の不正アクセスを防止! 無線LAN 機器 不正アクセスポイントを検知 無線電波の監視により、不正通信の検知・遮断、 不正アクセスポイントの特定が可能! ユーザごとのアクセス制御を提供 MDM サーバ 認証 サーバ ユーザごとに詳細に適切な権限の設定が可能! Wi-Fi設定の 配布 MDM連携による接続設定の登録・削除 Wi-Fiの接続設定の登録・削除が可能! 領収証 様 領収証 金額 ⇒ 紛失・盗難時に接続設定を遠隔削除することが可能。 管理者ユーザ 様 金額 印 紙 印 紙 一般ユーザ © Hitachi Solutions, Ltd. 2012. All rights reserved. 14 15 セキュアな社内アクセス③ どこからでも、社内のデスクトップPCを利用できたら・・・ 課題 スマートデバイスを使用して、社内のデスクトップPCを操作したい スマートデバイスには業務データを残したくない 【対策のポイント】 リモートデスクトップを利用した遠隔操作 デスクトップPCの画面情報のみ転送! ⇒ 実データは転送も保存もされないので安心。 機能制御によるセキュリティ強化 ファイル転送、ハードコピーや印刷を制御! 二要素認証によるセキュリティ強化 デバイス認証+ユーザID/パスワード認証で 接続時のセキュリティも確保! Wake-on-LAN機能 使いたいときだけ遠隔操作で電源ON ! ⇒ 節電対策やBCPへの対応としても有効。 © Hitachi Solutions, Ltd. 2012. All rights reserved. 15 16 ウイルス対策 急増するマルウェアからスマートデバイスを保護するには・・・ 課題 スマートデバイスのウイルス感染を防止したい ウイルス対策状況を効率的に管理したい ウイルスに感染したデバイスを検知したい 【対策のポイント】 企業向けウイルス対策ソフトの導入 管理サーバ ウイルス対策を利用者に一任するのはNG! ⇒ コンシューマ向け製品では、対策状況を把握できない。 ⇒ BYODでは、利用者による対策を誓約書で合意する。 管理コンソールで集中管理 PCとの共通コンソールであればさらに効率的! ⇒ 最新のパターンファイルが適用されていないデバイスも 容易に確認することができる。 パターンファイル 利用者に警告通知! ウイルス削除を促す。 リアルタイム検出と通知 即座に利用者へ通知し、被害の最小化を図る! 利用者によるアンインストール禁止 ウイルス感染 アンインストールパスワードを設定できる製品を選定! © Hitachi Solutions, Ltd. 2012. All rights reserved. 16 17 暗号化・持ち出し制御 情報漏えい対策の基本は、持ち出させないこと! 持ち出す場合は、許可を得て安全対策を確実に実施すること! 課題 万一の盗難・紛失時でも第三者にデータを参照させない スマートデバイスによる情報の持ち出しを管理したい 暗号化されていない デバイスへの持ち出し禁止 【対策のポイント】 内蔵データ、外部メディア(SDカード)を暗号化 スマートデバイスは「大容量のUSBストレージ」! 内蔵データや SDカードを暗号化 暗号化をサポートするOSを選択 暗号化機能の有効化をMDMでポリシー強制! 専用ソフトによる暗号化 利用者は意識することなく、自動的に暗号化/復号! ⇒ ログインによって暗号化されたデータにアクセスできる。 専用ソフトによる持ち出し制御 専用ソフトがインストールされたスマートデバイスにのみ データ持ち出しを許可! 万一の盗難・紛失時 でも、暗号化により 第三者はデータ参照 が不可 第三者 © Hitachi Solutions, Ltd. 2012. All rights reserved. 17 18 ガイドラインの有効活用 日本スマートフォンセキュリティフォーラム(JSSEC) 『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』 【第一版】 http://www.jssec.org/dl/guidelines2011_v1.0.pdf 日本ネットワークセキュリティ協会(JNSA) 『スマートフォン活用セキュリティガイドライン』 【β版】 http://www.jnsa.org/result/2010/smap_guideline_Beta.pdf 企業や組織においてスマートデバイスを導入する 責任者・管理者向けに安心・安全にスマートデバイスを 業務で利活用するための対策ポイントが ガイドラインとして整理されています。 © Hitachi Solutions, Ltd. 2012. All rights reserved. 18 19 関連プロダクト カテゴリ 商品・サービス 概要 MDM/デバイス認証/ ウイルス対策 スマートフォンセキュリティ統制 サービス MDM、デバイス認証、ウイルス対策など、スマートデバイスに必 要なセキュリティ対策を設備投資が不要なクラウド型サービスとし て提供。必要なときに必要な規模で、短期間でセキュリティ対策 を実現します。 MDM MobileIron デバイス情報、セキュリティポリシー、WiFiやVPNの接続設定、ア プリケーションを統合的に管理。盗難・紛失時には、遠隔ロック &ワイプで情報漏えいを防止。オンプレミスでのMDMシステム構 築に対応しており、ID・認証基盤との連携も可能。 リモートアクセス Juniper Networks Secure Access シリーズ スマートデバイスから社内リソースへ簡単にリモート接続可能。 SSL-VPN接続で通信を暗号化。外部認証サーバとの連携に加 え、ワンタイムパスワードやクライアント証明書とも連携可能。 リモートアクセス Array Desktop Direct スマートデバイスからオフィス内のパソコンを簡単にリモート操作 可能。Android、iPad/iPhoneなど、様々な端末で利用可能。 無線LAN Aruba シリーズ 有線ポートを備えていないスマートデバイスには無線環境が必須。 Arubaシリーズは、IPSec-VPNにより通信を暗号化して、セキュ アな無線LAN環境を提供。 ウイルス対策/MDM Trend Micro Mobile Security パターンファイルの適用状況や各端末のエージェント設定を集中 管理する企業向けウイルス対策ソフト。加えて、盗難・紛失時の データ保護やセキュリティポリシーを適用する「デバイス管理」を包 括的に実現。 暗号化 秘文AE SmartDevice Encryption 暗号と認証強化でスマートデバイスの盗難・紛失時の情報漏え いに対策。スマートデバイスのフラッシュメモリ、外部メモリを自 動的に暗号化。ユーザは、暗号化/復号を意識する必要はあり ません。 © Hitachi Solutions, Ltd. 2012. All rights reserved. 19 END スマートデバイスの企業導入に潜む リスクと対策のポイント 2012/6/27 株式会社 日立ソリューションズ © Hitachi Solutions, Ltd. 2012. All rights reserved.