リモートワークの普及で増大するモバイルセキュリティの脅威　モバイルデバイスへの「ゼロトラストセキュリティ」の実装が急務

市場で確固たる地位を築いたAppleデバイスのMDMソリューション　IT活用の変化を捉え、セキュリティ領域へも製品拡大

　20年以上に亘り、Mac、iPad、iPhoneといったApple製品のエンドポイント管理であるモバイルデバイス管理（MDM）ソリューションを提供し、市場で確固たる地位を築いたJamf。「Jamf Pro」をはじめとするそのソリューションは、Appleデバイスの管理に必要なすべての機能を備えるとともに、管理の自動化やゼロタッチ導入による容易な展開を実現。効率的なAppleデバイスの導入・運用管理を可能にすることで、企業・組織の生産性向上を支援し続けてきた。そのようなメリットが高く評価され、現在では全世界で6万9,000以上の企業・組織、そして2,900万台以上のAppleデバイスへの導入実績を誇る。

　そうしたJamfでは、セキュリティソリューションの拡充にも注力している。背景にあるのは、昨今のクラウド活用の急増、および、コロナ禍によるリモートワークの普及だ。働き方改革を牽引するものとして注目を集めていたリモートワークは、コロナ禍により一気に加速、モバイルデバイスの業務利用も急増している。そこで浮上している課題が、モバイルデバイスに対するセキュリティの強化だ。

　近年、ランサムウェアに代表されるセキュリティ脅威のリスクは増加の一途を辿っており、その影響はPCだけでなく、モバイルデバイスにも及んでいる。だが、先に述べたテレワーク拡大に伴って、従来の「オフィス内にあるデバイスを守ること」を主眼とした「境界型防御」によるセキュリティ対策では防ぎきれなくなっているのだ。

　この課題に対して、Jamfは企業がどのOSでも、いつでも安心して使えるデバイスを実現するため、MDMとの相互連携を可能にするセキュリティソリューションのポートフォリオを拡充している。

ますます高度化するモバイルデバイスを標的とした攻撃　一般化したリモートワーク下で、ゼロトラストセキュリティの実装が急務

　モバイルデバイスへの攻撃手法には、大きく次の４つが挙げられる。①アドウェア、ランサムウェア、スパイウェア、トロイの木馬といった「マルウェア」が仕込まれたWebサイトやアプリを介した攻撃、②さまざまなデバイスをアクセスポイントとして経由し、社内ネットワークに不正侵入したり、データを盗んだりする「ネットワーク」経由での攻撃、③脆弱なOSを狙った「エクスプロイト攻撃」、そして、④詐欺サイトへアクセスさせ、認証情報やリモートアクセスなどの機密情報を盗み出す「フィッシング」だ。

　これらの脅威は、従来のオフィス内のデバイスやデータを対象とした境界防御型のセキュリティ対策では防ぎきれないケースが多い。例えば、社外でマルウェア等に感染したデバイスが社内ネットワークに接続した場合、簡単に侵入されてしまう恐れがある。

　また、リモートワークの拡大に伴い、従来型のセキュリティ対策の代表である「VPN」の利用も拡大している。だが、警察庁によれば、今年上半期のランサムウェア被害における感染経路の半数以上が、社外から接続するVPN機器からの潜入だったことが明らかとなっている。加えて、VPNの利用増に伴い、ネットワーク負荷が上昇、社内システムへのアクセスがしににくくなり、結果、社員の生産性が低下を招いているという声も多々寄せられている。

　モバイルデバイスのセキュリティについては、企業が社員に貸与した際の私的利用についても考慮しなければならい。業務に関連しないアプリケーションのダウンロードやWebサイトへのアクセスは、ログイン情報の漏洩やマルウェアの侵入に繋がる恐れがあるからだ。

図1　フィッシング攻撃　成功率の推移

　事実、Jamfの調査によれば、サイバー犯罪の4割は「組織が認めていないサービスやアプリの使用が起因して漏洩などが発生している」ことが明らかとなっている。無論、セキュリティリスクが増加するだけでなく、通信費の増大を招くことも大きな問題だ。

　これらの脅威や課題に対処するためには、従来の境界型防御ではなく、「すべてのデバイスは疑わしい」ものとして捉え、デバイスごとにその正当性を確認、認証する「ゼロトラストセキュリティ」への移行が必須となる。その実現には、外部からの脅威への対策、通信経路の最適化、正当なユーザーであるかどうかのアイデンティティの確認、デバイスのセキュリティ状態の評価、定義された条件に基づく企業へのアクセスの制御、といった対策が必要となる。

デバイスに対するゼロトラストセキュリティの実装を支援　Jamfのセキュリティソリューション・ポートフォリオ

　これまで説明してきた課題に対して、JamfではMDMとの密な連携を可能とするセキュリティソリューションを提供。ユーザーに負担を強いたり、生産性を損なったりすることなく、ゼロトラストセキュリティモデルへの移行を支援している。Jamfが提供するセキュリティソリューションのラインナップとその特長、もたらされるメリットについて解説していこう。

ゼロディ攻撃への対策とデバイスの継続的なヘルスチェックを実現「Jamf Threat Defense」

　Jamf Threat Defenseは、iOSやiPadOS、Android、macOS、Windowsといったデバイスに対する脅威、および疑わしいWebサイトへの誘導など、ネットワーク上のあらゆる脅威を検知、遮断し、社内からの情報漏洩を阻止するものだ。さらにデバイスに対する継続的なリスク評価を行うとともに、MDM/ UEM（統合エンドポイント管理）製品と連携することで、より高度なセキュリティ対策を実現する。

　Jamf Threat Defenseの優位性の１つが、モバイルデバイスの利用にフォーカスして開発された機械学習エンジン、「MI:RIAM（ミリアム）」の搭載だ。MI:RIAMは世界中にある4億2500万のセンサーを通じてネットワーク上の脅威をリアルタイムに検出する、脅威データベースとなっている。その実力は、既に未知のフィッシングサイトを12万件以上特定していることからも明らかとなっている。

　このほか、サードパーティのアプリストアのリスクアセスメントを行い、不審なアプリをダウンロードするのを防いだり、Wi-Fiアクセスポイントに不審な証明書などが仕込まれていないかなどを確認し、ユーザーの通信を保護したりすることもできる。

　さらに運用面についても、視認性に優れ操作の容易なグラフィカルな管理コンソールを通じて、脅威の状況を一元的に可視化できるほか、デバイスに対する脅威や脆弱性についてきめ細かなポリシーを作成、危険度のレベルに応じたアラートを送出させることも可能だ。

　また、柔軟な運用が可能であることも、大きなメリットだ。例えば、セキュリティポリシー作成と適用に関しては「スマートポリシー」を提供。あらかじめ用意された推奨ポリシーを適用することですぐに運用が開始できるほか、個別の要件に対しても「カスタムスレッドインテリジェンス」を提供。ポリシーの追加や例外事項を管理画面から簡単に設定できる。これにより、フィッシングサイトへのアクセスやマルウェアの検知等、インシデントごとに脅威レベルを設定するとともに、そのレベルに応じて遮断や管理者への通知といった必要な対処を施すことが可能だ。

画面1　機械学習エンジン、「MI:RIAM（ミリアム）」

画面2　不審なアプリ、Wi-Fiからの保護を実現

モバイルアプリ個別の通信保護とアクセス制御を実現「Jamf Private Access」

　Jamf Private Accessは従来型のVPNやファイアウォールといった境界型防御が抱えていた課題を解決する、「ゼロトラストネットワークアクセス」を実現するクラウド型のソリューションだ。クラウドサービス等に対して、社内や社外からも高速かつ安全なアクセスを可能とする。

　その特長の１つが、次世代VPN技術の「Wireguard」の実装だ。Wireguardは、許可された特定のドメインへの接続時には、Jamf Private Accessの専用クラウドゲートウェイを介して、そのドメインに対してのみ通信可能なトンネルを構築する。1つのトンネルには1つのアプリのトラフィックしか通信させないので、他のアプリやネットワークに影響を与えない。つまり、従来のようなVPNを経由した社内ネットワークへの不正侵入を抑制することが可能だ。

　また、どのアプリをJamf Private Access経由で通信させるか、それともインターネットに直接接続させるかといった細かな設定もシンプルな管理コンソール上で容易に設定が可能な点も魅力のひとつだ。クラウドアプリであれば、複数のサービスに対する設定がデフォルトで準備されており、社内ネットワークやプライベートクラウドにあるアプリの場合でも、国内にホストされているJamf Security Cloudとそれぞれのネットワークを接続させることで同様に設定が可能となる。

　Jamf Private Accessサービスはクラウドサービスとして提供されるため、ユーザーの増加、パフォーマンスの強化にも柔軟に対応できる。従来のVPN装置のようなユーザー増やアクセス増に伴うハードウェアの増強が不要なるほか、管理者の負担も減らせるため、セキュリティを強化しながらもコストや運用負荷を大幅に抑制可能だ。

　このほか、「Jamf Threat Defense」と連携することで、デバイスのリスク評価を行い、一定のレベルを超えたものは接続させないなど、より柔軟なセキュリティ運用も実現できる。

画面3　アプリごとにトンネルを構築

画面4　「Jamf Threat Defense」と連携してデバイスの脅威を判定

データ通信量の可視化と制御により、デバイスの適正な利用を担保「Jamf Data Policy」

　Jamf Data Policyは、コンテンツフィルタリング機能と進化したデータポリシーによって、企業により高度なアクセス制限を提供するソリューションだ。最大の導入メリットは、アクセスするコンテンツやサイトの種別に応じたフィルタリングを可能とするだけでなく、それらのアクセスに際してWi-Fi、セルラー、ローミングといった通信手段も選べるなど、柔軟なアクセス設定が行えることだ。

　また、接続先でのデータ消費量も管理コンソールを通じてデバイスごとにリアルタイムでモニタ、可視化できる。これにより、「ユーザーが業務に必要のないサービスに接続してないか」「それらのデータ通信が、全体の通信容量を逼迫させている原因になっていないか」といった細かな分析が行えるようになり、結果、企業は通信量の超過を防ぎ、通信コストの適正化や削減が実現されるようになる。

　また、モバイル通信の法人契約では、一定のデータ容量を複数のユーザーでシェアすることが一般的だが、特定のユーザーが大容量通信を行った場合、データ容量の上限に一気に到達、通信制限が適用され他ユーザーの業務に支障をもたらしたり、追加料金が発生したりするといった事態を招きかねない。対して、Jamf Data Policyは、使用するデータ容量が事前に設定した閾値を越えた場合、通信を制御することができる。さらに、そうした場合も業務アプリケーションの利用など、特定の通信のみ許可するといった柔軟な運用も可能としている。

画面5　サイトやアプリごとに通信種別が設定可能

画面6　管理コンソールによる詳細分析も可能

　以上、Jamfのモバイルセキュリティソリューションについて解説してきたが、MDM製品との連携により、リモートからの「ゼロタッチ導入」が行えるのも大きな特長だ。これにより、ユーザーに余計な作業を強いることなく、モバイルデバイスに対して強固なセキュリティを提供することが可能になる。これらの機能群が評価され、医療機関や電子機器メーカーをはじめ、多岐に亘る業界での導入が拡大している。

企業の成長にはモバイルデバイスのセキュリティを強化が不可欠

　近年セキュリティ脅威は増加、攻撃も日々高度化している。そうした状況を見据え、Jamfはソリューションの提供だけでなく、専門のセキュリティチームである「Jamf Threat Labs」を編成。幅広い分野において豊富な経験をもつサイバーセキュリティ専門家や研究者、データサイエンティストを招聘し、悪意ある攻撃者から保護するための活動も続けている。実際に、このチームが発見した複数の脆弱性は米国の第三者機関によって運営されている脆弱性情報データベース「CVE」でリスト化され、そのためのセキュリティパッチもAppleから提供されるといった実績を有する。

　今後、コロナ禍においても企業がビジネスを成長させていくうえでは、セキュアなモバイルデバイスの活用は不可欠なものとなる。Jamfは先進的なMDMとセキュリティソリューションの提供により、これからも企業の安全安心なモバイル活用を支援していく。