fbpx

【端末管理・MDMやMAM】ゼロトラスト展開ガイド

現代の企業では、データにアクセスするエンドポイントが驚くほど多様化しています。その結果エンドポイントは、ゼロトラスト・セキュリティ実現におけるの最弱のリンクになりやすくなります。

業務で利用する端末が個人所有のBYODデバイスであっても、企業所有の完全に管理されたデバイスであっても、ネットワークにアクセスしているエンドポイントを可視化し、健全でコンプライアンスに準拠したデバイスのみが企業リソースにアクセスできるようにしたいものです。同様に、エンドポイント上で実行されるモバイル・アプリケーションやデスクトップ・アプリケーションの健全性と信頼性についても懸念しています。これらのアプリも健全でコンプライアンスに準拠しており、悪意や偶発的な手段によって企業データが消費者向けアプリやサービスに漏洩することがないようにしたいと考えています。

デバイスの健全性とコンプライアンスを可視化

企業リソースにアクセスするエンドポイントを可視化することは、ゼロトラスト・デバイス戦略の第一歩です。一般的に、企業はPCを脆弱性や攻撃から積極的に保護していますが、モバイルデバイスは監視されておらず、保護されていないことが多いです。リスク・エクスポージャーを制限するためには、すべてのエンドポイントを監視して、信頼できるアイデンティティを持ち、セキュリティ・ポリシーが適用されていることを確認し、マルウェアやデータの流出などのリスク・レベルが測定され、是正され、許容範囲内であると判断されていることを確認する必要があります。例えば、個人のデバイスがジェイルブレイクされている場合、エンタープライズアプリケーションが既知の脆弱性にさらされていないことを確認するためにアクセスをブロックすることができます。

脆弱性があり危険なデバイスからのアクセスを制限する

MDMの登録を通じてエンドポイントの健全性とコンプライアンスの状態を把握したら、条件付きアクセスを使用して、より詳細な、リスクベースのアクセスポリシーを強制することができます。たとえば、脆弱性のあるデバイス(マルウェアを搭載したデバイスなど)を修復するまでアクセスを許可しないようにしたり、管理されていないデバイスからのログインが企業リソースへの限定的なアクセスしか受けられないようにしたりすることができます。

  1. クラウドアプリへのアクセスを許可するには、MDMが管理するデバイス、ドメインに接続されたデバイス、および/または準拠したデバイスからのアクセスのみを許可することをお勧めします。これらは、アクセスが許可される前に、すべてのデバイスが満たさなければならない基本的なセキュリティ要件です。
  2. 次に、MDMでデバイスベースの条件付きアクセスポリシーを設定して、デバイスの健全性とコンプライアンスに基づいて制限をかけます。これにより、より詳細なアクセス判断を強制し、組織のリスク許容度に基づいて条件付きアクセスポリシーを微調整することが可能になります。たとえば、特定のデバイス プラットフォームを特定のアプリへのアクセスから除外したい場合などが考えられます。
  3. 最後に、エンドポイントとアプリが悪意のある脅威から保護されていることを確認したいと思います。これにより、データの保護が強化され、ユーザーがデバイスの健全性やコンプライアンスの問題によりアクセスを拒否されるリスクが軽減されます。ATPやその他のMTDベンダーからのデータを、デバイスのコンプライアンスポリシーやデバイスの条件付きアクセスルールの情報源として統合することができます。

モバイルデバイスやアプリのセキュリティポリシーの実施

モバイルデバイスのセキュリティポリシーを強制するための2つのオプションがあります。MDMとMAMです。どちらの場合も、データへのアクセスが許可されると、ユーザーがそのデータで何をするかを制御したいと考えます。たとえば、ユーザーが企業のアイデンティティでドキュメントにアクセスした場合、そのドキュメントが保護されていないコンシューマーのストレージに保存されたり、コンシューマーの通信アプリやチャットアプリで共有されたりするのを防ぎたいと考えています。MAMポリシーを導入することで、Office 365やAdobe Acrobat Readerなどの信頼できるアプリ内でのみデータを転送またはコピーし、OneDriveやSharePointなどの信頼できる場所にのみ保存することができます。

MDMは、エンドポイントのデバイス構成の側面を一元的に管理、制御することを保証します。MDMを介したデバイス管理により、エンドポイントのプロビジョニング、設定、自動更新、デバイスのワイプなどのリモートアクションが可能になります。デバイス管理では、エンドポイントを組織アカウントで登録する必要があり、ディスクの暗号化、カメラの使用状況、ネットワーク接続、証明書の展開などをより詳細に管理することができます。

  1. まず、MDMを使用して、Microsoftが推奨するセキュリティ設定をWindows 10デバイスに適用して、企業データを保護しましょう。
  2. MDMを使用してデバイスにパッチが適用され、最新の状態になっていることを確認します。
  3. 最後に、デバイスが暗号化されていることを確認して、安静時のデータを保護することをお勧めします。MDMは、macOSとWindows 10の両方でデバイスの内蔵ディスク暗号化を管理することができます。

一方、MAMは、エンドポイント上で動作するモバイルアプリやデスクトップアプリの管理に関するものです。ユーザーのプライバシーが優先される場合や、デバイスが企業が所有していない場合には、アプリ管理により、非登録デバイスにアプリレベルでのセキュリティ制御(MDMアプリ保護ポリシーなど)を適用することが可能になります。組織は、セキュリティ管理に準拠し、承認されたデバイス上で実行されているアプリのみが、メールやファイルへのアクセスやウェブの閲覧に使用できるようにすることができます。

MDMでは、管理されたデバイスと管理されていないデバイスの両方でMAMが可能です。たとえば、ユーザーの個人用携帯電話(MDMが登録されていない)には、MDMのアプリ保護ポリシーを受けたアプリがあり、アクセスされた後に企業データを封じ込めて保護することができます。このような同じアプリ保護ポリシーは、企業が所有し、登録されているタブレット上のアプリにも適用できます。この場合、アプリレベルの保護は、デバイスレベルの保護を補完します。デバイスもMDM で管理および登録されている場合、デバイスレベルの PIN が設定されている場合は、MAM ポリシー設定の一部として、アプリレベルの PIN を別途必要としないように選択できます。

  1. アプリケーションレベルで企業データを保護するには、企業アプリにMAMポリシーを設定します。MAMポリシーには、アプリ内から組織データへのアクセスを制御するためのいくつかの方法があります。
    • 組織のデータを保存するための別名保存の制限や、組織のアプリの外での切り取り、コピー、貼り付けなどのアクションを制限するようなデータの再配置ポリシーを設定します。
    • アクセスにシンプルなPINを要求したり、管理アプリをジェイルブレイクしているデバイスやroot化されたデバイスで実行できないようにブロックするなど、アクセスポリシーの設定を行います。
    • MAMの条件付き起動アクションを使用して、非準拠デバイスの企業データを自動的に選択的にワイプするように設定します。
    • 必要に応じて、承認されたサードパーティ製アプリとの間のMAMデータ転送ポリシーの例外を作成します。
  2. 次に、アプリベースの条件付きアクセスポリシーを設定して、承認された企業アプリのみが企業データにアクセスできるようにしたいと思います。
    最後に、アプリ設定ポリシーを使用することで、MDMはアプリの設定の複雑さや問題を解消し、エンドユーザーが簡単に利用できるようにし、セキュリティポリシーの一貫性を高めることができます。設定設定の割り当てに関するガイダンスをご覧ください。

終わりに

上記の内容が、ゼロトラストセキュリティをデバイスから実現し、成功裏に導入できるようになることを願っています。この他の記事も是非見てみてください。

SNSでもご購読できます。

コメントを残す

*