モバイル技術はビジネスの運営方法を変革しています。従業員がスマートフォン、タブレット、ノートパソコンを業務に使用する機会が増えるにつれ、組織は新たなセキュリティリスクに直面しています。エンタープライズモビリティセキュリティは、モバイルデバイス経由でアクセスされる企業データとシステムの保護に焦点を当てています。このアプローチでは、従業員がどこからでも業務を行えるようにしつつ、企業データの保護を確保するための様々なツール、ポリシー、実践手法を活用します。
本ブログでは、エンタープライズモビリティセキュリティについて、現代のビジネス環境における重要性、主な利点、および中核的な構成要素について解説します。また、組織が直面する一般的な課題と従うべきベストプラクティスについても探求します。さらに、モバイルセキュリティ侵害に関する実際のシナリオを詳細に検証し、SentinelOneソリューションがモバイルセキュリティにおいて移動中のビジネス運用を可能にする方法について議論します。
エンタープライズモビリティセキュリティとは?
エンタープライズモビリティセキュリティとは、モバイルデバイスを介した企業情報へのアクセスを保護するアプローチです。従業員が従来のオフィス環境外でスマートフォン、タブレット、ノートパソコンを使用する際のビジネスデータを保護します。このセキュリティ戦略は、従業員が個人所有デバイスや複数拠点に移動する社用デバイスで業務を行う際のリスクを管理します。
従来のセキュリティ手法は、より安定した状態のネットワーク(つまり、コンピュータが1つの場所に留まる状態)向けに設計されていました。ファイアウォールやアクセス制御などのソリューションは、ユーザーが企業所有デバイスから既知の場所からアクセスすることを前提に設計されていました。モビリティセキュリティは異なる方法で機能します。様々なデバイスタイプ、オペレーティングシステム、ネットワーク接続を横断してデータを保護する必要があります。ユーザーが接続する場所に関係なくデータを保護し、デバイスが他者によって使用されたり紛失したりする可能性を前提としています。
エンタープライズモビリティセキュリティが不可欠な理由とは?
パンデミックにより企業の働き方が変化を余儀なくされた後、モバイルセキュリティの必要性はかつてないほど高まっています。多くの企業にとって、在宅勤務、カフェでの作業、移動中の業務など、リモートワークが新たな標準となりました。
従業員は現在、オフィスコンピュータ上で動作するプログラムではなく、ウェブブラウザやモバイルアプリを通じてシステムにアクセスしています。これにより従業員の柔軟性は高まる一方、新たなセキュリティ脆弱性の可能性も生じている。クラウドサービスごとに個別のセキュリティ設定とアクセス制御が必要であり、IT部門の承認なしにサービスが利用されるケースも発生しうる。
現代の企業ははるかに広範な攻撃対象領域を抱えている。セキュリティチームは単一のオフィスネットワークを保護する代わりに、あらゆる場所へ接続する数百から数千のエンドポイントを監視せざるを得ない。あらゆるデバイスが攻撃の侵入経路となり得るのです。
エンタープライズモビリティセキュリティの利点
エンタープライズモビリティセキュリティは、単に攻撃を防ぐだけでなく、組織にとって多くの利点をもたらします。これらの利点は、あらゆるデバイスやリモートワーク環境における機密情報を保護しながら、ビジネスの効率的な運営を保証します。
リモートおよびモバイルワークフォースの安全な活用
エンタープライズモビリティセキュリティは、セキュリティを損なうことなくモバイルワークフォースを支援します。これにより従業員は企業リソースにリモート接続でき、本人確認と転送中のセキュリティにより、身元が検証され、送信データが保護されます。このセキュリティフレームワークにより、従来のオフィス外で必要となる業務が可能となり、許容できないリスクを導入することはありません。
データ侵害およびコンプライアンス違反のリスク低減
モバイルセキュリティ戦略を可能な限り包括的にすることで、高額なデータ侵害が発生する可能性を大幅に低減します。企業は、モバイルデバイス上での機密情報の使用を制限することで、外部からの攻撃や偶発的なデータ漏洩を回避します。また、セキュリティシステムが詳細な監査証跡(誰が、いつ、どのように、どの情報にアクセスしたかを明らかにする)を生成するため、GDPRやHIPAAなどの規制や業界要件の遵守にも役立ち、コンプライアンス報告がはるかに容易になります。
モバイル端末に対する可視性と制御の強化
エンタープライズモビリティセキュリティは、ITチームが企業資産に接続されている全デバイスをピクセル単位で可視化する支援を行います。OSバージョン、インストール済みアプリケーション、セキュリティ設定などのデバイス状態を把握することは、セキュリティプラットフォームの機能です。この包括的な可視性により、チームは問題を迅速に特定し、深刻化する前に対処できます。組織は、画面ロックの義務化、暗号化の使用、セキュリティ更新の適用など、全デバイス向けのポリシーを作成できます。
アプリケーション使用とデータ伝送のセキュリティ確保
モバイルセキュリティツールは、企業データへのアクセスを許可されるアプリと、システム間でのデータ流通方法を管理します。基本的に、これらのツールは、機密データを扱う前に、アプリがセキュリティ対策についてテストされていることを確認します。デバイスと企業システム間で転送されるデータは、従業員が公共ネットワークを使用している場合でも、情報の傍受を防ぐために暗号化することができます。セキュリティシステムは、許可されていないアプリやその他の保存場所へのデータの流れを遮断し、情報漏えいを発生源で阻止することもできます。
モバイルエンドポイントのインシデント対応と脅威検出の強化
セキュリティ問題が発生した場合、モバイルセキュリティシステムは、発生した状況を迅速に検出し対処することを容易にします。高度なツールはデバイスの動作を追跡し、攻撃の兆候となる異常な行動を検知します。不正なログイン情報の連続入力や未承認サーバーへのデータ転送など、潜在的に有害な行為が試みられた場合、セキュリティチームにアラートが送信されます。デバイスが侵害された場合、セキュリティプラットフォームはネットワークから隔離できます。
エンタープライズモビリティセキュリティの主要構成要素
効果的なモビリティセキュリティを実現するには、複数の主要技術が連携して機能する必要があります。これらのコアコンポーネントは、組織がモバイルアクセスのセキュリティと従業員の利便性のバランスを取る手段を提供するように設計されています。
モバイルデバイス管理(MDM)
MDMはモバイルデバイスの集中管理を実現します。モバイルデバイス管理(MDM)システムにより、IT部門はスマートフォンやタブレットに対して、セキュリティ設定のリモート設定、必須アプリケーションのダウンロード、企業ポリシーの適用が可能になります。DLP(データ漏洩防止)は、同一デバイス上の業務用データと個人用データの分離を追加し、BYOD(個人所有デバイスの業務利用)のセキュリティを強化します。デバイスが紛失または盗難に遭った場合、MDMによりリモートでのロックや企業データの消去が可能です。MDMはまた、プロビジョニングや設定から廃棄に至るデバイスのライフサイクル全体を管理し、ライフサイクルの各段階でデバイスを保護します。
モバイル脅威防御(MTD)
モバイル脅威防御ツールは、悪意のあるアプリ、ネットワーク攻撃、デバイスの脆弱性から積極的に保護します。これらのセキュリティシステムは、侵害されたデバイスを特定するためのスキャンや、攻撃を示唆する横方向の移動などの不審な行動を検知します。マルウェアが被害をもたらす前に検知・遮断します。アンチウイルスのクラウドがマルウェアを認識していなくても、MTDはその動作から識別します。また、OSの古さやセキュリティ機能の無効化など、デバイスの脆弱性もスキャンします。
IDおよびアクセス管理(IAM)
アイデンティティとアクセス管理は、どのユーザーがどの企業リソースにアクセスでき、そのアクセス権限で何ができるかを制限します。IAMシステムは、パスワード、生体認証、セキュリティトークンなどの様々な手段を用いてユーザーを認証し、不正アクセスから保護します。最小権限の原則に従い、ユーザーには特定の役割の範囲内でのみアクセス権を付与します。また、IAMはシングルサインオン(SSO)機能を実現し、セキュリティ強化とユーザー体験の向上、パスワード疲労の軽減をもたらします。
セキュアVPNとコンテナ化
仮想プライベートネットワーク(VPN)とアプリケーションのコンテナ化は、モバイルワークのための安全な経路を構築します。これらは、モバイルデバイスと企業ネットワーク間で転送されるデータを暗号化することで保護し、セキュリティ対策が施されていない公共Wi-Fi上での傍受からも守ります。コンテナ化は、業務用アプリとデータを個人用から分離し、デバイス上に安全で暗号化された領域を作成します。これらの安全なコンテナは、業務用アプリと個人用アプリが同じデバイス上に共存することを可能にしつつ、両アプリ間のデータ漏洩を完全に防止します。
暗号化とデータ漏洩防止(DLP)
暗号化とDLP技術は、物理デバイス上で使用中のデータとシステム間を移動中の双方を保護します。適切な認証なしではデータが完全に判読不能となるため、エンジニアがデバイスを紛失または盗難に遭った場合でもデータ保護が最大化されます。DLPソリューションは、特定モバイルデバイス上で機密データがどのように使用・共有・保存されるかを監視します。企業データを個人用アプリにコピー&ペーストする、機密情報のスクリーンショットを撮る、会社が許可していない経路で保護データを送信するといった行為をユーザーが実行できないように阻止できます。
エンタープライズモビリティセキュリティの課題
モバイル攻撃に対する現実的な防御戦略を策定する際、セキュリティチームが直面する重要な課題がいくつか存在する。
デバイスの多様性とOSの断片化
セキュリティ上の課題は、モバイルデバイスとOSバージョンの多様性から生じます。従来のIT環境ではほぼ標準化された機器が使用されていましたが、モバイルセキュリティは多様なデバイスタイプ、メーカー、OSバージョンに対応する必要があります。Androidハードウェアは数十のメーカーが製造しており、各社が独自のソフトウェアバージョンを開発しています。iOSデバイスにも世代ごとに異なるセキュリティ機能が存在します。このような多様性により、モバイル端末全体に統一的なセキュリティ対策を実施することは不可能です。
ユーザーの行動と認識不足
従業員はしばしばパスワードを流用したり、更新を先延ばしにしたり、セキュリティプロトコルを遵守せずに安全でないネットワークにアクセスしたりします。モバイル端末はオフィスデスクトップマシンよりも本質的に個人的な性質が強いため、マルウェアを含む可能性のあるゲームや個人用アプリのインストールなど、よりリスクの高い行動につながります。モバイル脅威は、従来のコンピュータセキュリティなどと比べてセキュリティ意識の注目度が低い傾向にあります。疑わしいメールのハイパーリンクを絶対にクリックしないような個人でも、テキストメッセージやソーシャルネットワーキングアプリ内の類似したハイパーリンクはクリックする可能性が高いのです。
シャドーITと非承認アプリ
従業員は企業データの枠組み外で自由に動き回り、業務遂行のために非承認アプリやサービスにアクセスすることが多く、セキュリティの死角を生み出しています。この「シャドー」ITは、企業が提供するツールがニーズを満たせない、あるいは消費者向け代替品と比べて制限が多く煩雑だとユーザーが感じた場合に発生する。アプリが開発される事例は、セキュリティ管理を迂回するためシャドーITと見なされ、後々データ漏洩やコンプライアンス違反につながる可能性がある。モバイルアプリストアのおかげで、新しいアプリを見つけてインストールするのは非常に簡単であり、この現象がしばしばこの種の行動を誘発します。
セキュリティとユーザーの生産性のバランス
モバイルセキュリティにおいて、おそらく最大の問題は、生産性を妨げないセキュリティです。強固なセキュリティ対策による過度な摩擦はユーザーを苛立たせます。煩雑なパスワードポリシー、頻繁な認証要求、あるいは明らかに不可能なアクセス制限は、従業員をセキュリティを低下させる回避策へと駆り立てる可能性があります。セキュリティが作業を過度に遅延させたりモバイルアクセスを煩雑にしたりすると、導入が進まず、セキュリティ対策が回避されることになります。導入する各セキュリティ対策は、組織におけるユーザー体験への影響と慎重に比較検討されなければなりません。
エンタープライズモビリティセキュリティのベストプラクティス
ベストプラクティスの一部を適用することで、組織は一般的なリスクに対するモバイルセキュリティ態勢を容易に強化できます。
明確なBYODポリシーの確立
効果的なポリシーでは、企業リソースにアクセスするデバイスと、それらのデバイスが遵守すべきセキュリティ要件を明記する必要があります。ポリシーは、個人所有デバイスでアクセス可能な企業データと、そのデータが従業員をどのように保護するかを示します。効果的な BYOD ポリシーは、リモートワイプがいつ行われるか、監視が行われるかどうかなど、会社が従業員のデバイスに対してどのような権利を持っているかを従業員に知らせるものです。
モバイルアクセスにゼロトラストの原則を導入する
ゼロトラストセキュリティモデルは、ユーザーやデバイスに対して自動的に与えられる信頼を排除します。このモデルでは、リモートアクセス時やリソースアクセス前の接続履歴がある場合でも、全員の認証が実施されます。ゼロトラストは、脅威がネットワーク境界の内外に存在し得るという姿勢を維持します。したがって、モバイルセキュリティにおいては、各アクセス試行時にデバイスの健全性とユーザーの身元を保証することを意味します。適応型またはコンテキスト認識型アクセス制御は、アクセス許可前に位置情報、時間、デバイスのセキュリティレベル、ユーザーの行動パターンなど複数の条件をチェックします。
デバイス暗号化と強固な認証の徹底
暗号化と強固な認証は、デバイスレベルのセキュリティの基盤となる要素です。デバイス全体の暗号化は、必要な認証なしでは情報を読み取れないようにすることで、紛失または盗難に遭ったデバイス上のデータを保護します。企業は、個人所有のデバイスを含め、機密データにアクセス可能なすべてのデバイスに暗号化を実施すべきです。強固な認証には、単純なパスワード以上のもの(生体認証、セキュリティキー、認証アプリなど)が含まれます。多要素認証は、アクセス許可前に2つ以上の検証方法を要求することでセキュリティを強化します。
モバイルユーザー向けの定期的なセキュリティ意識向上トレーニング
セキュリティ研修プログラムには、モバイル端末におけるフィッシング攻撃に関する情報、端末に安全なアプリのみをインストールするための対策、公共Wi-Fiを安全に利用するヒントを含める必要があります。また、物理的アクセス(肩越し覗き見(ショルダーサーフィン)や端末盗難など)による脅威についても取り上げるべきです。定期的な模擬フィッシングテストは、従業員がモバイル端末上の不審なメッセージを識別する能力を高めるのに有効です。セキュリティ意識は、年に一度の長時間セッションよりも、短時間で頻繁に実施するトレーニングモジュールを通じて維持するのが最適です。
モバイル端末全体での継続的監視と脅威ハンティング
プロアクティブな監視により、チームはセキュリティ問題が取り返しのつかない損害を引き起こす前に特定し対処します。セキュリティチームは、デバイスの状態、ネットワーク上のユーザー行動、確立された接続の検証を継続的に監視し、潜在的な侵害を特定できるソリューションを導入すべきです。異常なアクセスパターン、複数回のログイン失敗、侵害されたサーバーへの接続試行など、不審な活動に対する自動アラートを提供する必要があります。脆弱性スキャンを定期的に実施し、パッチ適用漏れやセキュリティ上の弱点があるデバイスを特定します。
エンタープライズモビリティセキュリティ侵害の事例
実際のセキュリティインシデントを学ぶことで、組織は自社のシステムにおける落とし穴や脆弱性を回避できます。以下の事例研究は、モバイルセキュリティの失敗がビジネスに与える影響を示しています。
侵害されたモバイル認証情報によるUberのデータ侵害
2016年、Uberは5700万人もの顧客とドライバーが関わる大規模なデータ侵害被害に遭いました。ハッカーは従業員から入手した認証情報を使ってUberのGithubアカウントにアクセスし、AWSアクセスキーを発見。これによりUberのバックエンドクラウドストレージに接続可能となった。名前、メールアドレス、電話番号、運転免許証番号が流出した。この問題は、多要素認証で保護されていなかったログイン認証情報に起因していた。
Uberは侵害を迅速に公表する代わりに、攻撃者に10万ドルを支払いデータを削除させ、事件を黙秘させることで問題をさらに拡大させた。この事例は、開発リソースへのモバイルアクセスにおける二要素認証の重要性と、1つのアカウント侵害で発見される可能性が高い場所に機密アクセスキーを保管する危険性を浮き彫りにしている。
エクイファックスにおけるモバイルデバイス管理の脆弱性
エクイファックスは2017年に発生した史上最大級のデータ侵害事件の一つであり、同社は1億4700万人以上に個人データの漏洩を通知せざるを得なかった。攻撃の第一段階はWebアプリケーションの脆弱性でしたが、調査により攻撃者がネットワーク内に潜伏しデータを抽出できた背景には、Equifaxのモバイル端末におけるセキュリティ対策の不備が一部影響していたことが判明しました。同社のMDMシステムには多くの未修正の脆弱性が存在し、ハッカーは最初の侵入経路発見後も数か月間潜伏し続けました。ネットワークに侵入すると、モバイルデバイスに過剰な権限とアクセス権が与えられていたため、システム間を自由に移動することが可能でした。
SentinelOneがエンタープライズモビリティセキュリティで提供できる支援
SentinelOneは、先進的なセキュリティプラットフォームを通じてモバイルエンドポイントの広範なアクティブ保護を実現します。これは自動化された対応とAIを活用した脅威検知を組み合わせ、モバイルデバイスを標的とする既知および未知の脅威に対する保護を提供します。シングルエージェントソリューションにより、SentinelOneは様々なモバイル環境での導入と管理を簡素化すると同時に、すべてのエンドポイントにわたるセキュリティイベントに対するエンドツーエンドの可視性を提供します。
行動ベースのAI技術がプラットフォームの基盤となり、シグネチャ手法がなくてもモバイルデバイス上の不審な活動を特定します。これにより、通常のセキュリティツールでは検知できない攻撃をSentinelOneは検知・防止します。システムは影響を受けたデバイスを隔離して横方向の移動を防ぐだけでなく、セキュリティチームに脅威に関するコンテキストを提供し、調査と修復を可能にします。
結論
企業の働き方がオンサイトからリモートへ移行し、モバイル技術が急成長する中、エンタープライズモビリティセキュリティは極めて重要になっています。多様なデバイス環境におけるデータ保護には、デバイス管理、脅威対策、高信頼性認証、ユーザー意識向上を包括する多面的な戦略が必要です。これらのセキュリティ対策により、組織は生産的なモバイルワークを促進し、データ漏洩やコンプライアンス違反のリスクを軽減できます。
これらの課題は容易ではありませんが、計画と適切なセキュリティツールにより、企業向けの安全なモバイル環境を構築することが可能です。本ソリューションは、モバイルセキュリティ態勢の強化を必要とする組織にとって、高い効果を発揮するリソースです。SentinelOneは、スマートな脅威検知と自動化された対応機能により、あらゆるエンドポイントにおける最重要資産を保護します。
エンタープライズモビリティセキュリティに関するよくある質問
エンタープライズ・モビリティ・セキュリティとは、モバイルデバイス上の企業データを保護するための様々なツールや手法を指します。通常のオフィス外で使用されるスマートフォン、タブレット、ノートパソコン上の企業データを保護します。
最も重大な脅威は、モバイルフィッシング、データ窃取アプリ、セキュリティ対策が施されていない公共Wi-Fiネットワーク、そして機密データが保存されたまま紛失または盗難に遭ったデバイスです。
GDPR、HIPAA、PCI-DSS、CCPAなどの厳格な規制や、業界固有の規制が存在します。これらは、組織がモバイル経由でアクセスされる機密データを保護する方法を規定しています。
GDPRでは、EU市民の個人データはモバイルデバイス上で厳重に保護されなければならず、適切な同意を得た場合にのみ取得または変更が可能であり、ユーザーの要求があればいつでも削除され、そのデータが再導入される可能性は絶対にありません。
セキュリティ、管理の簡便性、導入対象デバイスの種類への対応、既存ツールとの統合性、組織規模への拡張性を基準にベンダーを選択してください。
ゼロトラストでは、ユーザーやデバイスは自動的に信頼されず、アクセス要求ごとに継続的な検証が必要です。接続が確立されるたびに、身元とデバイスの健全性を検証することでセキュリティを強化します。
モバイルセキュリティは、データ居住地、侵害通知、コンプライアンス証明に必要な監査証跡といった適用法令に加え、機密データ取り扱いに関する業界固有の要件にも準拠する必要があります。
