統合エンドポイント管理:セキュリティリーダーと IT リーダーが最も重視することとは ?
原文のブログはこちらからご覧いただけます。
モバイルデバイスは、組織のセキュリティフレームワークにおける「最弱部」を形成している――BlackBerry の最新レポート「The Definitive Guide to Enterprise Mobile Security(エンタープライズモバイルセキュリティの実践ガイド)」によると、サイバーセキュリティリーダーの 68% がこの結論に至っています。
幸い、事態を楽観視できる材料もあります。より多くのリーダーが、全体的なサイバーセキュリティ戦略にモバイルエンドポイントを組み込むことで、この問題に対処しようとしているのです。価値あるデータがモバイル上に置かれることがますます増えているため、これは極めて重要な一歩です。業界の CIO と CISO はこの実現に向け、サイバーセキュリティ、IT、モバイルの各チームの摩擦を最小限に抑えつつ、セキュリティに特化した統合エンドポイント管理(UEM)に目を向けています。BlackBerry は広範な組織の保護を支援してきた長年の経験から、UEM 製品においてお客様が何を最も重視されているかを学んできました。本記事ではその詳細をご紹介いたします。
UEM のチェックリスト
組織のニーズに最適な UEM 製品を検討するお客様を支援するため、購入時に考慮すべき簡単なチェックリストを作成しました。
1. 「標準」機能としての高度なモバイルセキュリティ
UEM はジェイルブレイク、つまりあらかじめ設定された制限を非正規に解除されたデバイスにフラグを立て、安全でない Wi-Fi を検知できる必要があります。また、AI を活用したモバイル脅威対策(MTD)機能の標準搭載も必須です。人工知能を取り入れたこれらの機能は、マルウェアの感染をブロックし、URL フィッシング攻撃を予防した上で、アプリケーションの完全性チェックを実施できることが必要です。さらに、UEM クライアントがこれらのアクティビティを人間の介入なしにオフラインで実施できる必要もあります。
2. コンテナ化
アプリのコンテナ化を提供するベンダーは数多く存在しますが、懸念される点が 2 つあります。これらの懸念点は組織のセキュリティに関する取り組みを台無しにする可能性があるため、セキュリティリーダーは注意が必要です。1 つ目の懸念は、すべてのコンテナ化ソリューションが、モバイルデバイスのオペレーティングシステム(OS)から独立したサードパーティアプリレベルの暗号化を提供しているわけではないという点です。そうしたソリューションは、OS によるデバイスレベルの暗号化に依拠し、アプリデータを保護しています(図 1 参照)。ここで懸念すべきは、多くの場合、OS による暗号化はデバイスのロック中にだけ適用されるという事実です。そのため、ユーザーのスマートフォンにマルウェアが存在する場合、デバイスの使用中にデータを窃取される恐れがあります。
2 つ目の懸念は、モバイルデバイスの OS に暗号化関連の脆弱性が発見されることで、実際によく起こっています。脆弱性の内容にもよりますが、このとき OS ベンダーがその問題に割り当てる優先度が、他の組織の期待と大きく異なる場合があります。問題の修正に要する日数は、数日の場合もあれば数年かかる場合もあります。その間、当該の OS を搭載したスマートフォンを利用している従業員は、情報や認証情報の窃取やセッションハイジャックといった悪意ある活動の標的になりやすくなります。すなわち、各種デバイスにまたがるより高度かつ一貫したレベルのセキュリティを実現するには、OS からの独立が欠かせないのです。
幸いなことに、高度な UEM 製品はこの問題を解決しており、 OS とは別に独自のデータ暗号化機能を備えています。この独立性により、保存されたすべての業務データに対する常時暗号化が保証されます。OS からの独立性はまた、モバイルデバイスの OS 上で頻繁に発見される脆弱性を突く攻撃から業務上の機密データを保護することにも役立ちます。なお、cvedetails.com の報告によると、2022 年には iOS® 上で 1 日平均 1 件、Android™ 上で 1 日平均 2 件の脆弱性が新たに発見されています。
また、コンテナ化により特定アプリ向けの VPN(仮想プライベートネットワーク)ポリシーの作成が可能になるため、BYOD(使用端末の業務利用)の導入が容易になります。この機能は「Per-App VPN(アプリ単位のVPN)」と呼ばれ、モバイルデバイス管理(MDM)ソリューションを別途用意しなくても、コンテナがアプリごとに VPN を提供できるようになります。組織が MDM を展開できない状況で BYOD を導入する場合、この機能は非常に重要です。アプリごとの VPN がなければ、組織が多くのセキュリティ機能を制御できなくなるためです。コンテナ化を適切に行うことにより、MDM ソリューションがなくてもコンテナ内のアプリ、接続、データを完全に制御できるようになるため、この問題に対処できます。
3. ソフトウェア開発キット
UEM は、ソフトウェア開発キット(SDK)の中でセキュリティに特化した API を提供し、サードパーティのベンダーにその利用を求める必要があります。SDK を用いて開発したアプリは UEM ベンダーによる検証を受け、OS の標準 API の代わりにセキュリティに特化した API(たとえば、SaveAs の代わりに SecureSaveAs)を使用していることを保証する必要があります。
おわりに
モバイルセキュリティにおける最大の過ちの 1 つは、バンドル提供の、つまりほとんどコストをかけずに入手できるモバイルデバイス管理プラットフォームが、必要なモバイルセキュリティを提供してくれると思い込むことです。これについては、BlackBerry CEO の John Chen が自身のブログ「Bundled Mobile Security: Is It Enough?(バンドル提供されるモバイルセキュリティの有効性)」で解説しています。この答えは明確に「不十分」と言え、John Chenはそれを見事に説明しています。
John Chenが言うように、モバイル管理、生産性スイート、場合によってはエンドポイントセキュリティベンダーのすべてが 1 つにまとまっていると、大きな得をしていると思われるかもしれません。しかし仮に出費が一切なかったとしても、組織にとって極めて重要な領域で、本来得られる利益が得られていない可能性があるのです。
これに代わる方法として、BlackBerry® UEM など安全性が高く専門的な UEM プラットフォームを採用し、それを既存の MDM または MAM(モバイルアプリケーション管理)の上位に据えることを推奨します。これにより、既存の資産を強化して付加価値を高めることができ、さらに具体的には、組織を危険にさらす恐れのあるモバイルセキュリティにおけるギャップを解消できます。
.png)
