最近のITセキュリティに関して、高度で複雑化された攻撃が増えてきて、これをどう守るかという問題がある。インフラに関してはPCとサーバに加えてスマートフォンやスマートデバイスが登場し、これらを複雑に組合わせてインフラが構築されている。情報量も非常に増大している。一度漏えい事件につながると対策費用は莫大になる。具体的には、まず産業インフラのStuxnetへのアタックだ。これは複数の脆弱性を複数の感染経路から同時に攻撃されたことが特徴だ。このことはかなり衝撃的だった。不正アクセスに関しては、ソニー、ホンダ、任天堂など、多数被害を受けている。日本でも2011年夏にネットバンキングを狙った不正アクセスが話題になった。セキュリティを守るオランダのSSL認証局でも不正なSSL証明書が発行されたという事件もあった。このようなアタックに対して、米国国防総省は陸海空と並ぶ新たな作業領域に「サイバー空間」を位置づけるほどだ。　ほかにも、ターゲットを絞ったスピア型攻撃の例を説明しよう。最近話題になったのは日本の防衛産業に対する攻撃だ。

　では、スマートフォンはどうだろうか？ Androidでは、通話中の音声の録音や端末をロックしたり、GPSの位置情報を取得できる不正アプリケーションが登場している。また、トロイの木馬もあり、通話を盗聴するものが報告されている。これはユーザーが登録するタイプのマルウェアだ。ほかにも、従来あるアプリケーションを改造して、スマートフォンのルート権限を強奪されるものもある。これは著名人の名前を使って伝搬していった。

　では、これの脅威に対してどのように対抗していけば良いのだろうか？　まず、携帯するものなので盗難や紛失に対して、データを強制消去やデータのバックアップの仕組みが必要なる。つぎに、不正なアプリケーションを排除しMDM(Mobile Device Management)で管理していくことが重要だ。メールの添付ファイルに関しては社内メールはしっかりフィルタリングを行いウィルスを添付させないようにする。インターネットのアクセスはホワイトリストによりアクセス制限やプロキシサーバによるフィルタリングを行う。さらに、脆弱性を利用したものは、脆弱性情報をつねにチェックしておくことが重要だ。具体的にiPhoneとAndroidとでは対策が変わる。iOSの場合はセキュrティパッチのリリースが多いので確実にアップデートを行う。Androidは機種やバージョンが多いので管理系のツールで対策を行う。

　スマートフォンやタブレットは、PCと同じような性能で情報に素早くアクセスできる。さらに無線でアクセスできるので、いつでもアクセスできる。また携帯性に優れており、どこでも持ち歩いて利用できるという特徴を持っている。そのため、従来使用していたセキュリティおよびセキュリティポリシーでは対応することができない。

　スマートフォンとクラウドサービスを安心して企業利用するためのソリューションとして、まずモバイル端末に関してはMDMを利用して正しい端末であることを認識することが重要だ。そのためには、デバイス証明書やワンタイムパスワードを使って正しい端末を認識・管理する。その端末から社内へのアクセスはVPNやイントラネットを使う。一方、クラウドサービスを利用する際には、認証用にシングルサインオンのポータルを用意し、本人確認をした後にアクセスできるようにするというものだ。


　つぎに、スマートフォン端末管理の課題とMDM対策について紹介しよう。まず使用するアプリケーションを管理するという課題だ。個別のアプリケーションを使用禁止にしたり、新規アプリケーションの追加を制限する。さらにAndroidの場合は、アイコンが残るのでそれを起動しないようにする。端末情報を漏えいさせないための対策として、パスワードを強制するほか、ローカルワイプ(一定数以上間違えたら起動しない)を導入する。ほかにも、Webブラウザを集中管理できるものに変更することなどがあげられる。端末が複数機種・複数OSのものを利用する際の対策として、マルチプラットフォーム対応のMDM を利用することがある。逆に会社支給の端末だけを利用させる場合には、機器を特定するため電子証明書を入れることで強固なセキュリティが可能だ。MDMでは証明書のインストールをサポートできるものもある。

　MDMでできることを整理すると、企業の利用ポリシーを強制、盗難・紛失時の制御、リモートアクセスの設定がある。これにより管理側の手間を軽減するだけでなく、端末利用者の利便性も向上させることができる。

　安心できるMDMの主な特徴として、さまざまな機種・OSにフルスペックで対応し、端末を正しく認識してVPNやネットワークに正しく接続し、電子証明書の配布・管理ができることが重要なのだ。

　食品関係の製造業者では、営業ツールとしてiPADを導入している。MDMを使って証明書から端末を正しく判断し、ポリシーに当てはめてからVPNに接続させて社内ネットワークにアクセスさせる。最終的にはグルーブ会社も含めて導入を予定しており、端末数は数千台になる。

　全国に数千店舗を展開する小売業者向けのシステムでは、店舗出利用する発注端末にiPADを利用しており、電子証明書を使ったセキュアなログオンに加え、Google Appsのログオンにもシングルサインオンサービスを利用している。

　不動産関係の会社では、Android端末とWiFi端末を併用している。そこではスマートフォンをWiFiルータとして利用し、両方をMDMで管理している。

　スマートフォンを安心して利用するためには多要素認証が非強になる。これは知っていること、持っていることだ。電子証明書は端末を持っていることを証明する。ワンタイムパスワードは30秒ごとにパスワードが表示されるトークンを持っていること、いつもアクセスする時間やアクセスする端末などのユーザーの行動パターンなどから認証するリスクベース認証がある。これらを組み合わせて利用することで、セキュリティが担保できる。

　ほかにも、MDMがない場合でも利用できる、クラウドモデルのデバイス向け電子証明書の「マネージドPKI for Device」や、ワンタイムパスワードをクラウドモデルで提供する「VIPオーセンティケーションサービス」なども提供している。この利用例として、小売業の加盟店向けの受注サイトで認証を強化させるためにVIPオーセンティケーションサービスを利用している。

　スマートフォンとクラウドは10年に一度の大きな変革だと言われている。これらを有効に勝つ利便性が高く、しかもセキュアに利用するためには、ここで紹介したソリューションやサービスを頭に入れて、検討していくことが重要であると考えている。



■関連情報
第2回クラウド コンピューティングEXPO秋
http://aki.cloud-japan.jp/