Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© Hitachi Solutions, Ltd. 2012. All rights reserved.
株式会社 日立ソリューションズプラットフォームソリューション本部セキュリティソリューション部技師 猪股 健一
2012/6/27
スマートデバイスの企業導入に潜むリスクと対策のポイント
【日立ソリューションズセッション2】
© Hitachi Solutions, Ltd. 2012. All rights reserved.
1 スマートデバイスのビジネス利用状況
1
スマートデバイスの企業導入は拡大傾向
スマートデバイスを導入している企業は全体の20%に満たない状況だが、70%以上の企業が興味を持っており、今後導入が進んでいくと予想される。一方、セキュリティへの不安が導入しない理由の上位を占めている。
【導入状況】 【導入阻害要因】
スマートデバイスの企業導入にはセキュリティ対策が急務
紛失の危険性が高い
出展:キーマンズネット「業務用スマートフォンの導入状況(2012年)」
セキュリティに不安がある
© Hitachi Solutions, Ltd. 2012. All rights reserved.
2 スマートデバイスに関するセキュリティの現状
2
スマートデバイスを標的としたマルウェアが急増
スマートデバイスの普及とともにデバイスにおけるリスクは益々高くなってくる
スマートデバイスの脆弱性情報の報告脆弱性対策情報データベース「JVN iPedia」には、スマートデバイスに関連する脆弱性情報が蓄積、公開されている。
Android:102件、iOS:64件、BlackBerry:27件(2012年6月1日時点)
「McAfee脅威レポート:2012年第1四半期」より
2012年に入り数千単位に急増。(2011年中頃は数百単位)
© Hitachi Solutions, Ltd. 2012. All rights reserved.
3 スマートデバイス利用時の代表的なリスク
3
FWDMZ
社内ネットワーク
社内システム
社内セキュリティ対策の迂回
㊙㊙㊙
店舗での商品説明
クラウドサービス経由での不正な持ち出し
社外での社内システム利用
㊙
端末の紛失・盗難
業務外アプリの利用
公共アクセスポイントへの接続
端末の紛失・盗難
社内での利用
ウイルス拡散
管理外端末からの不正アクセス
不適切な廃棄
㊙
通信経路上での盗聴
© Hitachi Solutions, Ltd. 2012. All rights reserved.
4 企業導入におけるリスクと対策
4
対策リスク
利用ルールの明確化リテラシー教育によるモラル向上
認可されていないスマートデバイスからの不正アクセス
スマートデバイスの企業導入におけるリスクと対策
盗難・紛失による情報漏えい
不正な情報持ち出しによる情報漏えい
私的利用による生産性の低下
OSやアプリケーションの脆弱性を悪用されたウイルス感染や情報漏えい
不適切なWebアクセスによるウイルス感染
デバイス管理(MDM) デバイス情報の管理 セキュリティポリシーの強制 デバイス機能のロックダウン アプリケーションの管理 通信設定(Wi-Fi、VPN)の管理
認証強化 デバイス認証(証明書+VPN)
暗号化
ウイルス対策
不適切な廃棄による情報漏えい
クラウドサービスの不適切な利用による情報漏えい
持ち出し制御
© Hitachi Solutions, Ltd. 2012. All rights reserved.
5 対策のポイント
5
デバイス管理【MDM】
認証強化デバイス認証+VPN
デバイスセキュリティ
スマートデバイスを安心・安全に業務で利活用するためには...
企業や組織が認可したスマートデバイスを厳格に管理・特定すること
認可したデバイスだけをセキュアに社内リソースへ接続させること
持ち出されることが前提のデバイス自体のセキュリティを確保すること
3つの対策ポイント
© Hitachi Solutions, Ltd. 2012. All rights reserved.
6 スマートデバイスのライフサイクル管理
6
デバイス管理(MDM)
計画
導入廃棄
運用
【導入】利用開始手続き(利用申請・承認、誓約書)利用者教育(リテラシー向上)デバイスの初期設定(キッティング/セルフサービス)デバイスの配布
【計画】社内ルール(利用規約)の整備利用者マニュアルの整備サポート体制の確立(ヘルプデスクや緊急時連絡先)
【運用】デバイス情報の収集・監視デバイス機能の制御職制変更、人事異動への対応(適用ポリシーの見直し、変更)事故対応(遠隔ロック&ワイプ)
【廃棄】業務利用データの消去デバイス設定の消去業務アプリケーションの削除
MDMを活用してスマートデバイスのライフサイクルを管理
© Hitachi Solutions, Ltd. 2012. All rights reserved.
MDM 【Mobile Device Management】
7 デバイス管理(MDM)の概要
7
企業や組織がスマートデバイスを業務で利活用するうえで、必須の管理ツール
【一般的なMDM機能】 デバイスの統合管理
• デバイス情報の一元管理と状態監視
• ポリシー、アプリケーション、
接続設定の一元管理
プロビジョニング• デバイスへのポリシー適用
• アプリケーション、通信設定の配布
セキュリティ対策• 遠隔ロック&ワイプ(データ消去)
• セキュリティポリシーの強制
• デバイス機能のロックダウン
VPN
社内環境
社内/社外
MDM
メール
機密ファイルサーバ
㊙
証明書サーバ
DBサーバ
ディレクトリサーバ
Wi-Fi
© Hitachi Solutions, Ltd. 2012. All rights reserved.
8 MDM製品の実装ポイント
8
MDM製品によるデバイス管理
【対策のポイント】
セキュリティポリシーの設定パスコードの強制は必須!⇒ パスコードの履歴とパスコードポリシーの強制
⇒ パスコード失敗時のアクション設定(ワイプなど)
デバイス機能の制御業務上、必要のない機能はロックダウン!⇒ カメラなど、業務で使用しない機能は利用不可
社内アクセス用の通信設定の管理MDM管理下の認可されたデバイスだけに
社内アクセス用の通信設定を配布!
アプリケーションの管理推奨アプリや禁止アプリを設定!⇒ カメラなど、業務で使用しない機能は利用不可
カメラ禁止
・ポリシー配信・アプリ、通信設定の配布
禁止アプリ
㊙
社内システム
VPN機器
VPN接続設定
MDM管理サーバ
パスコードポリシーの強制
© Hitachi Solutions, Ltd. 2012. All rights reserved.
9 MDM製品の選定ポイント①
9
製品タイプでの選定
MDM製品は、その提供形態によってサービス(SaaS)型とオンプレミス型に大別される。⇒ 運用要件やセキュリティ要件、コスト面などから総合的に判断する。
提供形態 特長
サービス型(SaaS型)
短期間でサービス開始可能MDM管理サーバなど新たな設備投資が不要運用コストが月額費用のみ運用代行サービスなども利用可能不要になったら、解約可能
オンプレミス型 自社内にMDMシステムを構築するため、柔軟な運用が可能Active DirectoryやLDAPとの連携などにも対応可能端末や利用者に関する機微情報を自社内で管理できる
© Hitachi Solutions, Ltd. 2012. All rights reserved.
10 MDM製品の選定ポイント②
10
製品機能での選定
★選定ポイント デバイスをグループ管理(利用者の所属や職制でグルーピング)できる。 ADやLDAPとディレクトリ連携できる。 キッティングツール(またはサービス)が提供されている。
■課題1大規模な導入に対応できるか?また、導入後の運用負荷を軽減したい。
★選定ポイント デバイスへのポリシー適用、アプリケーションや通信設定の配布が自動化されている。 ポリシー違反を検出したら、当該デバイスから自動的にアプリケーションや通信設定を
はく奪できる。
■課題2セルフ・プロビジョニングによって運用負荷を軽減したい。
© Hitachi Solutions, Ltd. 2012. All rights reserved.
11 MDM製品の選定ポイント③
11
★選定ポイント 禁止アプリへの対応は製品によって異なる。禁止アプリがインストールされたデバイスに
警告通知してアンインストールを促すが、起動はできてしまうのが一般的な製品仕様。禁止アプリを起動させない、といった強制力を発揮する製品もある。
■課題3禁止アプリケーションを起動できないようにしたい。
★選定ポイント マルチOS(iOS、Android、Windows Phoneなどの混在)環境に対応できる。
■課題4私物デバイスの活用(BYOD)を容認した場合、様々なOS・機種への対応が必要。
★選定ポイント 外部システムと連携するためのWeb API が提供されている。
■課題5MDM製品が管理するデバイス情報や位置情報を外部システムと連携したい。
© Hitachi Solutions, Ltd. 2012. All rights reserved.
12 認証強化(デバイスの個体識別)
12
セキュアな社内アクセスを実現するためには・・・
企業や組織によって認可されたスマートデバイスを厳格に特定することが重要⇒ デバイスを特定できたら、セキュアに社内アクセスする手段を提供する
認可されたスマートデバイスだけを社内アクセスさせたい 認可されていないデバイスは社内ネットワークに接続させない課題
【対策ポイント】 デバイス証明書による個体識別端末固有識別情報をもとに認証書を発行
(端末固有識別情報:IMEI、UDIDなど)⇒ 端末固有識別情報が異なるデバイスには
証明書はインストールできない。
会社から貸与されたスマートデバイス用に発行されたデバイス証明書を個人所有のスマートデバイスにインストール・・・
↓ ↓ ↓端末固有識別番号が異なるので、インストールできない 会社貸与の
デバイス
個人所有のデバイス
㊙
社内システム
認証局
領 収 証
印紙
金額
様
証明書発行
証明書あり 証明書なし
VPN機器申請
© Hitachi Solutions, Ltd. 2012. All rights reserved.
13 セキュアな社内アクセス①
13
認可されたスマートデバイスにセキュアなアクセス手段を提供
利用者のなりすましによる社内への不正アクセスを防ぎたい 社内システムへのアクセス設定を一元管理・配布したい課題
【対策のポイント】
二要素認証による利用者識別デバイス認証+αの二要素認証によって、
利用者のなりすましを防止!⇒ α:ユーザID/パスワード、OTPなど
MDM連携による通信設定の管理認可されたデバイスへMDMから社内アクセスの
通信設定(VPN、Wi-Fi)を配布!⇒ ポリシー違反や盗難・紛失したデバイスに対しては、
MDMの機能によって通信設定をはく奪する。
MDMサーバ
なりすまし
領 収 証
印紙
金額
様
認証サーバ
㊙
社内システム
ID/PW認証
VPN機器
領 収 証
印紙
金額
様
VPN設定の配布
盗難・紛失
認可されたデバイスを入手しても、ID/PWがわからなければ、アクセスできない!
© Hitachi Solutions, Ltd. 2012. All rights reserved.
14 セキュアな社内アクセス②
14
無線LANからのセキュアな社内アクセスを実現するには・・・
無線LAN経由での社内への不正アクセスを防ぎたい 社内システムへのアクセス設定を一元管理・配布したい課題
【対策のポイント】
暗号化・ユーザ認証によるセキュリティ強化盗聴・なりすまし等の不正アクセスを防止!
不正アクセスポイントを検知無線電波の監視により、不正通信の検知・遮断、
不正アクセスポイントの特定が可能!
ユーザごとのアクセス制御を提供ユーザごとに詳細に適切な権限の設定が可能!
MDM連携による接続設定の登録・削除Wi-Fiの接続設定の登録・削除が可能!⇒ 紛失・盗難時に接続設定を遠隔削除することが可能。
経営情報
認証サーバ
一般ユーザ管理者ユーザ
領 収 証
印紙
金額
様領 収 証
印紙
金額
様
一般業務情報
無線LAN機器
MDMサーバ
Wi-Fi設定の配布
© Hitachi Solutions, Ltd. 2012. All rights reserved.
15 セキュアな社内アクセス③
15
どこからでも、社内のデスクトップPCを利用できたら・・・
スマートデバイスを使用して、社内のデスクトップPCを操作したい スマートデバイスには業務データを残したくない課題
【対策のポイント】
リモートデスクトップを利用した遠隔操作デスクトップPCの画面情報のみ転送!⇒ 実データは転送も保存もされないので安心。
機能制御によるセキュリティ強化ファイル転送、ハードコピーや印刷を制御!
二要素認証によるセキュリティ強化デバイス認証+ユーザID/パスワード認証で
接続時のセキュリティも確保!
Wake-on-LAN機能使いたいときだけ遠隔操作で電源ON !⇒ 節電対策やBCPへの対応としても有効。
© Hitachi Solutions, Ltd. 2012. All rights reserved.
16 ウイルス対策
16
【対策のポイント】
企業向けウイルス対策ソフトの導入ウイルス対策を利用者に一任するのはNG!⇒ コンシューマ向け製品では、対策状況を把握できない。
⇒ BYODでは、利用者による対策を誓約書で合意する。
管理コンソールで集中管理PCとの共通コンソールであればさらに効率的!⇒ 最新のパターンファイルが適用されていないデバイスも
容易に確認することができる。
リアルタイム検出と通知即座に利用者へ通知し、被害の最小化を図る!
利用者によるアンインストール禁止アンインストールパスワードを設定できる製品を選定!
スマートデバイスのウイルス感染を防止したい ウイルス対策状況を効率的に管理したい ウイルスに感染したデバイスを検知したい
課題
管理サーバ
ウイルス感染
急増するマルウェアからスマートデバイスを保護するには・・・
利用者に警告通知!ウイルス削除を促す。
パターンファイル
© Hitachi Solutions, Ltd. 2012. All rights reserved.
17 暗号化・持ち出し制御
17
【対策のポイント】
内蔵データ、外部メディア(SDカード)を暗号化スマートデバイスは「大容量のUSBストレージ」!
暗号化をサポートするOSを選択暗号化機能の有効化をMDMでポリシー強制!
専用ソフトによる暗号化利用者は意識することなく、自動的に暗号化/復号!⇒ ログインによって暗号化されたデータにアクセスできる。
専用ソフトによる持ち出し制御専用ソフトがインストールされたスマートデバイスにのみ
データ持ち出しを許可!
万一の盗難・紛失時でも第三者にデータを参照させない スマートデバイスによる情報の持ち出しを管理したい課題
情報漏えい対策の基本は、持ち出させないこと!持ち出す場合は、許可を得て安全対策を確実に実施すること!
内蔵データやSDカードを暗号化
暗号化されていないデバイスへの持ち出し禁止
第三者万一の盗難・紛失時でも、暗号化により第三者はデータ参照が不可
© Hitachi Solutions, Ltd. 2012. All rights reserved.
18 ガイドラインの有効活用
18
日本スマートフォンセキュリティフォーラム(JSSEC)
『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』
【第一版】 http://www.jssec.org/dl/guidelines2011_v1.0.pdf
日本ネットワークセキュリティ協会(JNSA)
『スマートフォン活用セキュリティガイドライン』
【β版】 http://www.jnsa.org/result/2010/smap_guideline_Beta.pdf
企業や組織においてスマートデバイスを導入する責任者・管理者向けに安心・安全にスマートデバイスを
業務で利活用するための対策ポイントがガイドラインとして整理されています。
© Hitachi Solutions, Ltd. 2012. All rights reserved.
19 関連プロダクト
19
カテゴリ 商品・サービス 概要
MDM/デバイス認証/ウイルス対策
スマートフォンセキュリティ統制サービス
MDM、デバイス認証、ウイルス対策など、スマートデバイスに必要なセキュリティ対策を設備投資が不要なクラウド型サービスとして提供。必要なときに必要な規模で、短期間でセキュリティ対策を実現します。
MDM MobileIron デバイス情報、セキュリティポリシー、WiFiやVPNの接続設定、アプリケーションを統合的に管理。盗難・紛失時には、遠隔ロック&ワイプで情報漏えいを防止。オンプレミスでのMDMシステム構築に対応しており、ID・認証基盤との連携も可能。
リモートアクセス Juniper NetworksSecure Access シリーズ
スマートデバイスから社内リソースへ簡単にリモート接続可能。SSL-VPN接続で通信を暗号化。外部認証サーバとの連携に加え、ワンタイムパスワードやクライアント証明書とも連携可能。
リモートアクセス Array Desktop Direct スマートデバイスからオフィス内のパソコンを簡単にリモート操作可能。Android、iPad/iPhoneなど、様々な端末で利用可能。
無線LAN Aruba シリーズ 有線ポートを備えていないスマートデバイスには無線環境が必須。Arubaシリーズは、IPSec-VPNにより通信を暗号化して、セキュアな無線LAN環境を提供。
ウイルス対策/MDM Trend Micro Mobile Security パターンファイルの適用状況や各端末のエージェント設定を集中管理する企業向けウイルス対策ソフト。加えて、盗難・紛失時のデータ保護やセキュリティポリシーを適用する「デバイス管理」を包括的に実現。
暗号化 秘文AE SmartDevice Encryption 暗号と認証強化でスマートデバイスの盗難・紛失時の情報漏えいに対策。スマートデバイスのフラッシュメモリ、外部メモリを自動的に暗号化。ユーザは、暗号化/復号を意識する必要はありません。
© Hitachi Solutions, Ltd. 2012. All rights reserved.
株式会社 日立ソリューションズ
スマートデバイスの企業導入に潜むリスクと対策のポイント
2012/6/27
END