リモートワークの普及とともに業務利用が進むモバイル機器。紛失・盗難のリスクやマルウェアの感染など、考慮するべき課題に対し、モバイル機器を一括管理することで解決を目指すのがMDM(Mobile Device Management)だ。この記事では、リモートワークにおけるセキュリティの観点から、MDMの必要性や導入時に検討すべき事項について解説していく。
リモートワークにおけるシャドーITの危険性
コロナ禍によって政府や自治体からリモートワーク導入の要請が広がり、多くの企業でリモートワークの普及が進んでいる。以前からリモートワークを推進していた企業の場合、この時流の変化にうまく対応できたことだろう。また、IT投資を行える余力がある企業は、コロナ禍を機として一気にリモートワークを推進する体制を構築したところも少なくないはずだ。
一方、IT活用に掛ける予算や人材が限られる中小・零細企業などでは、リモートワークに対応する施策も限定されてしまうのが現実だ。セキュリティが脆弱なIT環境であっても、リモートワークを進めざるを得ないケースもある。例えば、以前から業務用のノートパソコンを支給していない場合、個人所有のパソコンを業務で利用するBYOD(Bring Your Own Device)という形態でリモートワークを実施することとなる。
すでにBYODに関するポリシーが策定されていれば、それらを周知・徹底し、最低限のセキュリティを確保できるだろう。しかし、ポリシーが用意されておらず、緊急的にリモートワークへと移行した企業では、BYODでの運用は注意を払わなければならない部分が少なくない。
BYODのポリシーを策定せずにリモートワークを始めてしまうと、個人所有のパソコンはセキュリティ上の大きなリスクとなり得る。具体的には、OSやソフトウェアが最新の状態ではない、セキュリティ対策ソフトが導入されていない、あるいは社内ネットワークへの通信が暗号化されていない、といった問題が考えられる。その結果、悪意のある攻撃者によって、社内システムへ不正にアクセスされたり、情報漏えいに発展したりする恐れがあるのだ。
さらに、会社が提供するIT環境が十分に整備されていないと、利用勝手の悪さから「シャドーIT」が発生する可能性が高まる。シャドーITとは、会社から利用を認められていない、あるいは、情報システム部門が利用実態を把握できないデバイスやサービスを、従業員が勝手に使用してしまう状況を指す。シャドーITに起因した問題として、以下のものが考えられる。
1)デバイスの紛失・盗難
リモートワークの際には、私用のノートパソコンやスマートフォン(以下、スマホ)などのモバイルデバイスを持ち運ぶため、紛失・盗難のリスクが高まる。それらのモバイルデバイスも、企業が把握していなければ、被害を認識したり、対応策を講じたりすることが難しくなる。また、USBメモリーなどで社内データを持ち運ぶことによって、紛失・盗難による情報漏えいのリスクも生じる。
2)私用メール、チャット、クラウドストレージへの不正アクセス
一般ユーザー向けクラウドサービスは、アカウントを作成すれば容易に利用を開始できるため、シャドーITが発生しやすい。例えば、チーム内でファイルを共有したい場合、企業側がその仕組みを用意していなければ、従業員が勝手にクラウドサービスを介して、社内情報をやり取りしてしまう、といった状況が考えられる。
私用のアカウントで業務に関わる情報を取り扱うため、権限が適切に設定されないことで、機密情報が外部から閲覧・入手できてしまうリスクを伴う。また、パスワードなどのアカウント情報を適切に管理していないと、アカウントを乗っ取られる危険性もある。
3)マルウェア感染
脆弱性のある最新ではないソフトウェアを使用することで、マルウェア感染のリスクが生じる。感染したパソコンが社内に持ち込まれ、ネットワークに接続された場合、全社へマルウェアが拡散される可能性もある。リモートワークであっても、従業員が使用しているデバイスと、そこで用いているソフトウェアが最新の状態に維持できているかどうかを把握しておく必要がある。
モバイルデバイスの管理に使われるMDM
リモートワークにおけるIT環境のリスクを軽減するセキュリティ対策が求められるようになった。スマホを含めたモバイルデバイスを管理するソリューションとしては、MDM(Mobile Device Management)が提供されている。一般的に、MDMには以下の機能が含まれる。
1)デバイスの管理
モバイルデバイスが適切な状態で利用されるよう、デバイスの管理を行う。具体的には、情報システム部門が許可したアプリのみ利用可能にする、あるいは使わせたくないアプリを禁止する、といった設定が可能だ。また、アプリストアに登録されていないアプリを導入可能にする「脱獄」したデバイスはセキュリティリスクが高いため、MDMによって脱獄されたデバイスを検出する。
MDMではセキュリティポリシーの適用情報を収集し、一元管理する機能が提供されている。パスワードや画面ロック、またはカメラやネットワークといった設定が管理対象だ。デバイスの数が増えたり、組織やポリシーに変更があったりしても、柔軟に対応できるよう管理者を支援する。
2)紛失対策
デバイスを紛失した際に、管理者側ですぐに対応策を講じる機能が提供されている。遠隔操作でデバイス内の情報を消去するリモートワイプや、遠隔からデバイスにログインできないようにするリモートロックといった方法により、情報漏えいを防ぐ。通信が行えず遠隔処理できない状況においては、パスワード入力に指定回数失敗した際に、ローカルでロックをかける機能も用意されている。また、位置情報を取得することで、デバイスの発見に役立てる機能もある。
MDMには管理対象となるデバイスのストレージを暗号化させる機能が含まれるものもある。ストレージが暗号化されることで、紛失・盗難された場合でも、データの窃取を保護する効果が期待される。
統合的な管理を目指すEMMの一環で広まるMAMやMCM
近年、MDMはEMM(エンタープライズモビリティ管理:Enterprise Mobility Management)の一環として導入されるケースがある。EMMとは、社内のモバイルデバイスを統合的に管理するソリューションとして知られる。EMMにはMDMに加えて、MAMやMCMといったソリューションが含まれる。
1)MAM(モバイルアプリケーション管理:Mobile Application Management)
MAMはモバイルデバイスにインストールされたアプリを管理する。私的利用と業務利用が混在するBYODにおいて、アプリ管理の手間や情報漏えいのリスクを軽減することを狙いとする。
MAMでは、モバイルデバイス内に業務に関する仮想的な専用領域を設けて、私的利用の領域と分割し、私的なモバイルデバイスを使えるようにする。業務専用領域で、業務に必要なアプリを管理、あるいは社内データの通信を暗号化できるのがメリットとなる。私的利用の自由度を残しつつ、業務利用領域の管理を徹底させることができる。
2)MCM(モバイルコンテンツ管理:Mobile Content Management)
MCMではデバイス内で扱われるファイルを管理対象とする。主に業務でクラウドサービスやメールを利用する場合を想定し、モバイル環境で安全に社内情報を扱えるよう支援する仕組みとなる。具体的には、特定のファイルに対する編集・閲覧といった業務に必要なコンテンツへのアクセスを管理する。MCMでは登録済みデバイスからのデータ閲覧を可能とするが、保存は不可、といった詳細な設定も可能だ。
MDM導入時に検討すべきこと
MDMは組織で扱うデバイスの一元管理を可能にするものであり、一定規模の数が管理対象になるケースで高い効果を発揮する。また、管理するデバイスが少ない中小企業であっても、情報システム部門の要員が限られている状況では、全従業員が所有するデバイスを網羅的に管理することはリソース的に厳しい場合がある。このような状況の場合、MDMの導入で管理作業を効率化することによって、結果としてセキュリティ強化も期待できる。
近年は、自社でMDMを構築するオンプレミス型だけではなく、クラウドサービスとして提供されるMDMも普及が進んでいる。初期費用や運用負荷が抑えられるというメリットからも、IT運用の予算や人材が限られる企業においてはクラウド型の利用が望ましいだろう。
MDMの導入に際して最初に行うべきは、適用範囲を明確にすることだ。業務用スマホのみに適用するのか、BYODを前提とするのか、iOS/Androidの双方に対応するか、何台を対象とするかといった点について細部まで検討していく。
そして、MDMを含めたセキュリティポリシーを策定し、従業員へ周知・徹底させることが求められる。MDMの導入・運用には、対象となるすべての従業員からの協力が不可欠なため、丁寧かつ継続的なコミュニケーションを行っていくようにしたい。
ゼロトラストの考え方に基づいたエンドポイント管理
MDMはOSレベルでデバイスを管理するため、BYODにおいては従業員が私的に利用するアプリやデータも管理対象に含まれてしまう。プライバシーの観点から、プライベートを会社に監視されるような懸念を抱く従業員もいるかもしれない。
しかし、先述のMAMやMCMを活用することで、業務利用と私的利用を隔てて、コンテンツやアプリを管理できるようになる。デバイス管理への協力を仰ぐ意味でも、プライバシーに配慮する点を従業員に周知し、セキュリティとデバイス管理について理解を深める機会を用意するべきだろう。
昨今、セキュリティ対策の高度化を目指す企業から注目を集めている「ゼロトラスト」の観点からもMDMは有効とされる。ゼロトラストとは、通信には常にリスクを伴うため、外部から社内システムへ接続される際には、どのデバイスも信用しないという前提に立ったセキュリティの概念だ。この考え方に基づき、あらゆる通信に対して、適切なセキュリティ対策を講じていく。
ゼロトラストの概念が広まるのに併せて、EDR(Endpoint Detection and Response)などのソリューションが導入されてきた。EDRはパソコンやモバイルデバイスの挙動を監視し、未知のマルウェアなどの疑わしい動きを即時に検出し、端末の隔離を行い、インシデントの発生を初期段階で防ぎます。
モバイルデバイスを適切に管理するために、EDRと同様にMDMも着実に浸透してきた。業務におけるモバイルデバイスの利用の広がりからも、エンドポイントの管理やセキュリティ対策の重要性がますます高まってきている。
DX(デジタルトランスフォーメーション)などの動きも加速し、IT環境が複雑化していく中でセキュリティリスクを軽減するには、総合的な対策を施して社内システム全体を保護する必要がある。業務用途のデバイスの配付、シャドーIT対策、VPNを介した通信の暗号化など、それぞれの課題を解決するソリューションの活用を検討してほしい。