スマートフォンやタブレットなどのモバイルデバイスの有効活用は、スピードが求められる現在のビジネスにおいて、もはや必須と言える。その一方で、モバイルデバイスの利用には、端末機器の紛失や脆弱性のあるアプリケーション使用などによる情報漏えいの危険が常につきまとう。これからの企業は、どのようにしてモバイルデバイスを安全に活用するかが大きな課題の一つとなるだろう。その課題解決のために必要となるものがMDM(モバイルデバイス管理)である。
今回は、安全なモバイルデバイスの活用に必要となるMDMの導入について解説する。

Web広告の世界では何よりもスピードが求められる。そのためM社では、営業スタッフを中心にスマートフォンやタブレットなどのモバイル端末を貸与していた。これらの活用によりM社の業務効率は格段に向上したが、その裏には大きなセキュリティリスクが潜んでいた。
発端は、一人の営業スタッフによる「端末を紛失した」との報告だった。M社では、端末契約時に代理店から勧められた、キャリアが提供するMDMサービスを利用していた。そのため、報告と同時に、紛失した端末に対して使用制限(ロック)をかけることができた。また端末自体はすぐに見つかったので、情報漏えいなどの大きな問題にはならなかったが、その端末を調べたところ、一つの問題点が発覚した。

「その端末には、情報システム部が把握していなかったアプリケーションがインストールされていました」(M社 情報システム部 T氏)
それは有名なメッセンジャーのアプリだった。業務に活用でき、またレビューの評価も高かったため、使用者は安全だと思い利用していた。

しかし、そのアプリケーションにはセキュリティ上の脆弱性が見つかっており、バージョンアップによる対策が必要だった。だが、端末の使用者はバージョンアップをせず、脆弱性が残った危険な状態で使用し続けていたことが判明したのだ。
モバイル端末向けのアプリケーションは開発の敷居が低い。そのおかげで、個人や中小企業が参入しやすく、マーケットが活性化する要因となっている。
しかしその反面、セキュリティに配慮されていないアプリケーションも数多く公開されており、一般公開されているAndroidアプリケーションの9割以上に脆弱性が見つかったとの調査報告もある(*1)。

同様の状態の端末は他にもあるかもしれない。情報漏えいなどのトラブルを未然に防ぐためにも、早急な対処が必要だった。

T氏は、手始めとして各端末にインストールされているアプリケーションを調べようとした。だが、M社が導入しているMDMサービスには、端末の使用制限機能はあっても、使用状況をチェックする機能はなかった。

当時、M社が社員に貸与していたモバイル端末は100台以上にのぼる。この全てについて、インストールされているアプリケーションをチェックし、対策として使用セキュリティポリシーを設定するとなると、膨大な時間と手間がかかる。そして何より、作業中は端末が使えないため、会社の業務そのものに大きな支障をきたしてしまう。

企業の責任としてのセキュリティ対策と、それによって生じる業務への影響。この2つの課題をいかにして解決するか、T氏は日々頭を悩ませたと言う。

課題・問題のポイント
■　貸与している端末の利用ポリシーが定められていないため管理が個人任せ
■　端末の使用状況が分からない
■　脆弱性のあるアプリケーションが利用されている可能性がある

*1：ソニーデジタルネットワークアプリケーションケーションズ株式会社「Androidアプリケーション脆弱性調査レポート 2015年12月版」より

解決後の効果・結果
■　情報システム部が定めたポリシーを設定し、端末を一元管理
■　端末のセキュリティレベルが分かり、脆弱性のある端末を簡単に把握
■　リスクのあるアプリケーションの利用を制御し、セキュリティリスクを削減

解決策を探し求めていたT氏は、とある展示会に出展していたクオリティソフトのブースに立ち寄った。
そこでクオリティソフトが提供している、クラウド型のマルチデバイスのセキュリティ管理サービスの存在を知り、30日間の無料トライアルに早速申し込んだそうだ。
「クオリティソフトの存在は情報収集の段階で知っていたので、興味は持っていました。そして実際に試してみて、これこそまさに我々が必要としているものだと思いました」

そう語るT氏が、特に注目したのは「自動脆弱性診断」だった。
自動脆弱性診断とはISM CloudOneの特徴的な機能の1つである ウイルス対策ソフトのバージョン・稼働状況や、インストールされているアプリ、Root化の情報などから、セキュリティレベルを自動で診断するというものだ。
脆弱性のある端末はリストアップされるため、使用状況の確認や分析にかかる手間を大きく省略できる。
そして、診断でNGと判定された端末に対し、以下のような是正アクションを即座に行う事ができるので、セキュリティインシデントを未然に防ぐ事ができる。

【是正措置１】アプリケーション配布 ～遠隔からでも対処が可能な「配布」機能～
管理側で指定した、最新版のアプリケーションを配布する事により、脆弱性のある古いバージョンのアプリケーションによるマルウェア感染や、それによる情報漏えいを未然に防ぐ事ができる。

【是正措置２】アプリケーションの起動制御 ～決められたアプリケーション以外を使わせない運用が可能な機能～
業務とは無関係なアプリケーションの利用を制限。Android端末ではアプリケーションの起動を、iPhoneやiPadではソフトウェアの入手元となるApp StoreやiTunesの利用を制御することができ、リスクのあるアプリケーション利用を制限することができる。
「これらのセキュリティ診断結果による是正アクションにより、アプリケーションに脆弱性が見つかった場合の対策も容易になり、勝手にアプリケーションがインストールされることもなくなると考えました。」（T氏）

企業が求めるセキュリティーのルールを「基本ポリシー」として予め登録することができる。ここではPC診断の内容やスマートフォンやタブレットなどのスマートデバイス診断の設定が可能だ。また部署や個人に「個別ポリシー」を登録しておくこともできるため業務内容に合わせたポリシーを作成することができる。
そして、このポリシーを元に違反した端末がアラートとしてリスト化される。
「個別ポリシーなどを端末に反映する場合でも、ネットワークを介して一括設定できるので、手間もかからず業務に支障が出ないことも魅力でした」(T氏)

当時、M社ではモバイル端末契約時に導入したMDMソリューションを使用していた。そのため、「いくら必要な機能とはいえ、単にソリューションを入れ替えるだけでは、申請は通らなかったかもしれません」とT氏は語る。
だが、このソリューションは単にモバイル管理だけでなく、PCも含めた企業全体のエンドポイントを管理することができるものだった。
「今後、企業が成長するには効率の良いIT資産の活用が不可欠です。その場合、モバイルとPC、それぞれを別々に管理するよりも、両方を一元管理する方が、圧倒的に効率がいいはずです」
そのT氏の考えが社内で受け入れられた結果、申請後間もなくしてクオリティソフトのソリューションの導入が認められたとのことである。
導入した結果、端末にどんなアプリケーションがインストールされているかなどの利用状況を簡単に調べることができるようになった。そして危険な状況にある端末には、情報システム部がリモートで使用制限を掛け、情報漏えいのリスクを軽減できるようになった。
「セキュリティリスクは、モバイルに限らず全てのIT資産で発生します。何かが起こってからでは遅い。クオリティソフトのソリューションによってエンドポイントへの対策を打てた。これは私達にとって大きな意義があると思っています」(T氏)