「＋証明書」でひと味違う「ベリサインMDM」の強み

日本ベリサイン株式会社 IAS製品本部の小早川知昭氏

　企業でのスマートフォンやタブレット端末の利用が、急速に増えている。スマートフォンやタブレット端末は、PCのように社内ネットワークで重要な情報にアクセスしたり、機密情報を保存したりできる一方で、従来の携帯電話のように気軽に使われるため、管理上の問題をはらんでもいる。また、個人所有の端末の業務利用（BYOD：Bring Your Own Device）も議論になっている。

　そうした背景から、企業でMDM（Mobile Device Management）が導入されてきている。MDMは、企業で使うモバイル機器を一括管理し、セキュリティポリシーの適用や社内リソースへのアクセス管理、紛失時のリモートワイプ、位置情報検出などで危険を防ぐシステムだ。

　日本ベリサイン株式会社も、MDMソリューションを提供しているベンダーの1つだ。同社の「ベリサインMDM」は、主力業務である電子証明書ソリューションをMDMと組み合わせているところなどに特徴がある。

　企業でスマートフォンやタブレット端末を使うときの課題と、そこでのMDMの必要性、ベリサインMDMの特徴について、日本ベリサイン株式会社 IAS製品本部の小早川知昭氏と磯田弘司氏に話を聞いた。

■「自分からインストールしなければマルウェアには感染しない。だからこそMDM」

　磯田氏によると、AndroidでもiPhoneでもしばしば脆弱性が発見され、修正されている。「しかし、ユーザーが自分から不正なアプリをインストールしなければ、マルウェアに感染することはない構造になってます」と磯田氏は説明する。PCとは違い、ネットワーク越しに勝手にソフトウェアをインストールして感染させることはできないということだ。「だからこそ、企業で使うスマートフォンの安全を管理するためには、アプリのインストールやセキュリティ対策などをコントロールするMDMが必須だと考えています」。

　最近では、企業が営業マンに持たせる携帯が、フィーチャーフォンからスマートフォンに移り変わってきている。スマートフォンのほうがメールやスケジューラーの機能が高いためで、さらにカタログがわりにタブレット端末を持ち歩いて説明するケースもある。また、経営会議などの資料を、セキュリティ上の問題などからタブレット端末に配信し、終わったら消去するシステムも導入が増えているという。

　「従来は総務部が携帯を管理していたものの、スマートフォンに切り換わって総務部が対応しきれず、IT部門に管理が移った結果MDMを導入するという事例が多数あります」（磯田氏）。さらに最近では、企業がスマートフォンをまとめて導入するときに、MDMを入れるケースも一般的だという。

　小早川氏は「スマートフォンのセキュリティを守るために企業がすべきことが3つあります」と語る。1つ目は上述のとおり、アプリのインストールを管理すること。2つ目は、ポリシーにもとづいて各端末にセキュリティを強制すること。3つ目は、社内のデータにアクセスするために各デバイスを認証することだという。「ベリサインMDMは、これをすべて最初から備えています」。

　MDMの役割の1つに、端末を紛失したときの情報漏洩対策がある。そこでベリサインMDMをはじめ各ソリシューションでは、リモートワイプやリモートロックの機能を備えている。ただし、リモートワイプやリモートロックを実行するには、端末が通信できる必要がある。

　「通信ができない状態でもしっかりセキュリティを守るよう、端末自体のセキュリティ対策のほうが基本です」と小早川氏は力説する。そのためには、端末を開いてストレージを取り出しても読み取られないようなデータの暗号化や、10回程度の試みでは突破されない十分複雑なパスワードが強制されていること、何度もパスワードを間違えたら強制的にローカルでワイプする機能が求められるという。「MDMを使うことで、それらのポリシーを強制できます」（小早川氏）。

■「会社のデータにアクセスするのであればデバイス認証が必須」

　ベリサインMDMの特徴を尋ねると、iOSもAndroidもシームレスに管理できることと、デバイスごとに電子証明書を発行し認証することの2点が小早川氏から返ってきた。

　証明書は同社の強い分野だ。ベリサインMDMでは、管理するデバイスすべてに証明書を発行することで、端末を識別する。証明書はエンドユーザーがほぼ操作しなくても自動でインストールされる。IPsec VPNやSSL VPNでのアクセスのコントロールにも使うことを想定しており、CiscoのAnyConnectなどにも対応している。

　「証明書とMDMが一体になってシームレスに扱えるのは、いまのところベリサインMDMだけです」と小早川氏は言う。ほかのMDMソリューションでは、MDMと、証明書を発行し端末に送り込むサービスを組み合わせる形になる。「1つになっていることで、エンドユーザーも意識せずに使えますし、管理者もまとめて送り込めて、楽になります」。

　さらに小早川氏は「会社のデータにアクセスするのであればデバイス認証が必須だと、われわれは考えています」と主張する。IDとパスワードでの認証では、人は認証できても、端末は認証できないため、端末のセキュリティレベルを強制できない。「ほかの手段もあると思いますが、証明書によるデバイス認証がいちばん簡単で、いろいろなアプリで使えて、コストも安い」。

　ただし、実際のところ、企業がMDMを導入するときには、まずはスマートフォンを管理することが優先となる。「使って半年ぐらいたつと、アクセスコントロールの重要性に気付いて、証明書のシステムを検討する企業が多い。そこを最初から検討していただけるように、広めていきたい」（小早川氏）。

ベリサインMDMの特徴	ベリサインMDMのカバー領域は一般的なMDMより広い。特に証明書機能を標準搭載しているのはベリサインMDMのユニークな強みだ

証明書を発行することで端末の識別と認証をまとめて解決できる	証明書機能がシームレスに使えるので運用のハードルもない

■利便性と安全性を両立するためのMDM

各OSの対応機能

　ベリサインMDMは、クラウド型でサービスが提供され、ユーザー企業には設備は必要ない。端末側も、iOSでは特別なソフトなしで、AndroidではMDMからアクセスするためのエージェントソフトをインストールして利用する。

　ベリサインMDMの管理画面の操作については、同社の製品説明ページでも動画つきで紹介されている。「直感的に操作できる点や、端末の情報から柔軟に検索できる機能にも自信があります」と小早川氏。実際に、特定のアプリが入っている端末や、「090」で始まる番号の端末、特定のメーカーの端末などといった条件で検索するところをデモしてもらった。端末の検索機能は、問題が起きたときにまず必要になる機能だけに、MDMの選定にあたってはポイントの1つとしたい箇所だ。

ベリサインMDMの管理画面	端末情報を表示

端末にインストールされたアプリ一覧	端末へのリモート機能

　一方で、ベリサインMDMの課題については、Jailbreak/root化した端末の検知や、iOSでの端末位置情報対応などが挙げられた。なお、Jailbreak検知については、インタビュー後の2月20日に、証明書サービスでの対応が発表された。

　MDMの選定について、「すべての要件に万能に対応するMDMはなく、各社それぞれ特徴を持って競っています」と小早川氏は説明する。例えば、クラウド型かオンプレミス型かという違いがある。管理情報を一切社外に出したくない、という判断であれば、オンプレミス型を選ぶことになるが、その場合は管理のために人やコスト、SIerなどのサポートが必要になる。

　また、機能の豊富さとサポート機種は相反する部分がある。MDMの機能を増やしていくと、特定の機種に特化した製品となっていく。一方、サポートする端末のカバレッジを求めると、特定機種向けのMDMに比べて機能が限られる。なお、ベリサインMDMはカバレッジ優先のタイプだ。

　MDMの役割として、最近ではスマートフォンなどについて、BYOD（個人所有の端末の業務利用）が議論に上ることも多い。小早川氏も日本ネットワークセキュリティ協会（JNSA）でスマートフォン利用のセキュリティのガイドライン策定に参加している。「BYODは、企業内で配布する端末と同じように管理するのであれば問題ない、という方向でまとめています」（小早川氏）。

　例えば、カレンダーの同期だけ許す、というレベルであればBYODでいい。一方、重要情報へのアクセスを許すのであれば、起動できるアプリケーションの制限など、厳しいコントロールが必要になるため、実質的に企業が配ったほうが合理的だ。「個人所有の端末に例外を設けるのではなく、必要なセキュリティレベルに適合しているのであれば、会社所有でも個人所有でもよい、という考え方です」（小早川氏）。

　こうしてスマートフォンやタブレット端末の利便性と安全性の両立に企業が頭を悩ませることが多くなるにしたがい、そのバランスを測るためにも、企業におけるMDMの重要性が増していきそうだ。