モバイルデータセキュリティに取り組む(Part II)
こんにちは、ゼノフィnakamuraです。
このシリーズのPart I (邦訳はこちら) では、”データ漏洩のコストの上昇” と “モバイル化の需要増加” の組み合わせがIT企業にとって大きな課題となっていることを述べました。前回の記事でMDM/MAMは基本的な保護を提供しているが、重要な部分では不足していることを指摘しました。特にMDMとMAMのソリューションの場合は、企業がアプリケーションをリビルドまたは再コーディングを行わなければ、アプリケーションレベルの十分なセキュリティを提供することは不可能となっています。企業はMDM/MAMを利用するとともに強力な暗号化とデジタル署名で重要なデータを保護するべきです。
重要なデータが入っている端末の紛失や盗難があった場合には、強力な暗号化とデジタル署名を利用すると、さらに保護層を増やすことができます。MDM/MAMソリューションは紛失や盗難が起こった場合には、リモートで端末のデータを削除する機能を提供します。しかし、この機能はデバイスレベルで実行されるため、エンドユーザーの個人情報も含めて、端末の全データを削除してしまいます。 この問題点により、ユーザーが企業のBYODプログラムを採用することを懸念するため、導入の大きな障壁となっています。
“ 理想的なソリューションは、暗号化データのセキュリティを管理して、個人のデータと業務データの区別を保ちつつ、リモートで削除する範囲を企業の所有データのみに限らせ、個人情報は手付かずにしておくことです。”
理想的なソリューションは、暗号化データのセキュリティを管理して、個人のデータと業務データの区別を保ちつつ、リモートで削除する範囲を企業の所有データのみに限らせ、個人情報は手付かずにしておくことです。これにより、多くのユーザーが自分の端末を仕事先のIT管理者に手渡す抵抗感を解決できるでしょう。
上記とは別に、モバイルデータのセキュリティに対し、ネットワークを媒介とする脅威とモバイルマルウェアの急増による脅威が高まっています。この脅威に対して、MDMソリューションは力不足です。MDMソリューションはデバイスレベルで動作するため、端末にモバイルマルウェアが忍び込んだ場合には、端末の所有データにアクセスして、それを盗み出すことができます。さらに、端末がIPSec VPNでデータセンターのリソースに接続されている場合には、そのマルウェアはデータセンターのリソースに感染したりアクセスしたりする可能性もあります。この時、そのデータが高精度の暗号で保護されていれば(いわゆる各データの固まりが専用の長い暗号キーで暗号化されていれば)データを盗むマルウェアがタイムリーで有用な情報を引き出すことが難しくなります。
同様に、あるユーザーが保護されてないWi-Fi Hotspotを利用してインターネットに接続したとき、全ての所有データは回線上で暗号化されるべきです。そうでなければ、機密データへ無許可にアクセスする中間者攻撃にあう恐れがあります。アプリケーションレベルのVPNはこの危険性から転送中のデータの保護する助けになります。デバイス全体のVPNポリシーと違って、MDMソリューションはアプリケーションレベルのVPNを管理できますので、端末の他のアプリケーションがイントラネットのリソースへアクセスすることを防ぐことができます。
デバイス管理は最低限のセキュリティコンプライアンスを提供することができます。しかし、企業は、提供した端末や個人の端末に関わらず、アプリケーションとデータ自体の深いセキュリティに集中するべきです。この姿勢は特にパートナー、契約者、コンサルタントなどのいわゆる正社員ではない協力者が、機密データへアクセスすることが必要な場合に特に重要になります。
この場合には、MDM/MAMソリューションは特に効果がありません。IT管理者が外部の作業員を特別なMDM/MAMポリシーとアプリケーションに従わせることは現実的に不可能だからです。アプリケーション層で暗号化された送信と暗号化されたストレージを組み合わせることで、組織はそれらのデータを管理し、潜在的なセキュリティの脅威から可能な限り保護されます。ソリューションは、企業のITポリシーの対象とならないパートナーや契約者のような許可された事業協力者にもこのようなメリットを提供するべきです。
Senchaソリューションのモバイルデータセキュリティの課題への取り組みについて、詳しく知りたい方はこちらをクリックして下さい。