はじめに、皆さんに一つ質問です。
iOSやAndroid OSに代表されるモバイル向けのOSは、WindowsなどPC用のOSとは全く違う仕組みで設計されていることを知っていますか?
アプリ開発に携わっている方であれば即答できるかもしれませんが、一般的にはあまり知られていない仕組みなのでご紹介します。
例えば、PC向けのOS等では一度ウイルスに感染してしまうと、OS自身、そして他のアプリケーションまで、PC上の全てのデータに被害が広がってしまうこともありました。
しかし、モバイルOSは基本的に他のアプリやOSに被害は広がらないように設計されているのです。
その秘密は、iOSやAndroid OSが採用しているサンドボックス(sandbox)という構造にあります。
こちらのイメージ図をご覧ください。
図を見て頂くと分かる様に、iOSやAndroid OSでは、アプリケーションはサンドボックスと呼ぶ領域で実行されます。
サンドボックス化することにより、各アプリはOSや他のアプリと完全に分離され、アプリ間でアクセスできなくなります。
これにより、悪意あるプログラムをアプリ内に組み込んでいたとしても、そのアプリ内でしか動作しない、つまり何かあった時に被害領域が少なくて済むという訳です。
※サンドボックス(sandbox)とは、外部から受け取ったプログラムを保護された領域で動作させることによって、システムが不正に操作されることを防ぐセキュリティモデルのこと。
(Wikipediaより)
ところが、サンドボックス化も完全なセキュリティではありません。
安心と同時にスマートデバイスの利便性も確保するため、ある程度自由に出来る部分を残しています。
言い換えれば、セキュリティの「甘い部分」が存在しているのです。
例えば、iOSであれば写真や電話帳といったOSの共有領域のデータは、どのアプリケーションからでもアクセス出来るようになっています。
また、ユーザーの許可を確認することを前提に、ある程度のアプリケーション間の連携を行うこと(※1)
も可能になっています。
(※1)メールの添付ファイルを他のアプリのビューアで開いて保存したり、オンラインストレージにアップするなどの行為
Android OSも同様に、OSへの共有データのアクセス、連携は許容されています。
それどころか、むしろiOSよりも更に自由度が高い(アプリケーション間に連携に対するハードルが低い)分、堅牢なサンドボックス化の仕組みに大きく穴を空けてしまっているとも言えます。
一時期ユーザーの操作ログが取得出来るアプリ(※2)が脚光を浴びたように、ユーザー情報をたやすくアプリケーションに吸い上げてしまうことが出来るのも、Android OSの自由度の高さを象徴する一方、危険度の高さも包含している事を感じ取れるかと思います。
(※2):観察対象者の男性が所有しているスマートフォン(Android端末)の発信履歴などの情報を、女性会員に通知するというアプリケーション「カレログ」などが代表的。
このようにiOSやAndroid OSでは、サンドボックス構造により、PCに比べてセキュアでアプリケーション経由でのウイルス感染率が少ないという事をご理解いただけたかと思います。
しかしながら、一方で様々な抜け道もあり、各種アプリケーションを企業内で利用する場合には、単純にこの仕組みだけではセキュリティレベルが十分とは言い切れないことも事実です。
さて話を本題に戻しましょう。
企業内でスマートデバイスを導入し、またMDM等の端末管理ツールを活用することで、盗難紛失時のセキュリティ担保も出来たと仮定します。
次に考えるべきは、どのようなアプリケーションを入れてデバイスを活用するかということです。
App StoreやGoogle Playの中にもビジネス向けのアプリケーションは多数あります。
しかし、こういったコンシューマー向けのアプリでは、例えば利用者、すなわち従業員の利用状況を把握することができません。また、それぞれの企業のセキュリティポリシーに沿った設定を遠隔から適用するなど、管理者がアプリ利用を制御する統合的な管理機能はありません。
どこまでの規制や機能が必要で、どこまでを利用者の自由にするかというポリシーの範囲と照らし合わせて線引きをする必要はありますが、いずれにせよ企業でのスマートデバイス活用には、以下2点を満たすモバイルアプリが必要であると考えます。
(1)は上記しているアプリケーションのサンドボックス化の仕組みの穴を埋めていることが不可欠なポイントとなります。
例えば外部アプリケーションとの連携を禁止する、アプリケーション終了時に内部キャッシュを削除できる、などといったセキュリティポリシーを持っているかどうかという点です。
(2)は意外と目立たないポイントですが、特に企業内のシステム運用担当者にとっては非常に重要で、製品・サービスによって差が出る部分です。
ビジネス向けに特定のアプリケーションの利用を検討する際には、この2点に注目してサービス、ソリューションを選定していくとよいでしょう。
これまでの内容をふまえ、スマビズ!に掲載されている製品の中で、特にセキュリティレベルが高く設計されているアプリケーションをいくつかご紹介します。
高セキュリティのドキュメント共有ソフト
管理者から複数デバイスに一斉配信をしたり、指定デバイス以外からのアクセスを制御したり、中身を遠隔で消去するなどのできるアプリケーション群です。
●Syncnel for Enterprise : 住友セメントシステム開発株式会社
http://smabiz.jp/solution/detail/solution-61.html
●CLOMO SecuredDocs : 株式会社アイキューブドシステムズ
http://smabiz.jp/solution/detail/solution-15.html
セキュアなグループウェア
グループウェアの使用は、そのまま社内情報へのアクセスを意味します。
今回は「デバイスにデータを残さない」という思想のもとに設計されているグループウェア製品を2つご紹介します。
●CACHATTO : e-Janネットワークス株式会社
http://smabiz.jp/solution/detail/solution-9.html
●moconavi-GW : 株式会社レコモット
http://smabiz.jp/solution/detail/solution-37.html
セキュアな企業向けブラウザ
標準ブラウザではカバー出来ない、Webブラウジングの制御を行うことができます。例えば、ホワイトリストの設定やキャッシュの削除、製品によってはユーザーの閲覧履歴のみ遠隔制御できる製品もあります。
●KAITO : 株式会社ジェーエムエーシステムズ
http://smabiz.jp/solution/detail/solution-114.html
●i-FILTER ブラウザー&クラウド : デジタルアーツ株式会社
http://smabiz.jp/solution/detail/solution-28.html
●CLOMO SecuredBrowser : 株式会社アイキューブドシステムズ
http://smabiz.jp/solution/detail/solution-14.html
本日の講義では詳しくはご紹介出来ませんが、アプリケーションやファイルに対するセキュリティ対策をより効率的に進めるために期待されている新しい技術も少しずつ登場しています。
上記でご紹介したようなセキュアなアプリには「外部アプリケーションとの連携禁止」や
「アプリ終了した際の内部キャッシュデータ消去」などの機能が搭載されています。
新サービス「Symantec App Center」は、あらかじめアプリケーションにこのようなセキュリティポリシーを組み込み、一緒に"ラッピング"してしまう技術を用いて、アプリケーションをセキュアにしています。
また「VMware Horizon Mobile」は、1台のスマートフォン内に通常の物理的なスマートフォン環境とは別の仮想的な環境を作り出し、それぞれの環境をインターネットアクセス用と企業内システムアクセス用に使い分けることができます。
これにより、ユーザーはプライベートの空間やアプリケーションをそのまま気にすることなく、企業アプリケーションやサービスを安全に利用できるようになるという仕組みです。
このように、アプリケーションを企業でセキュアに活用するための技術を、さまざまな企業が開発しているため、今後も新しいテクノロジーが現れるかもしれません。
いずれにせよ、スマートデバイスを企業導入する際には、デバイスだけでなくそのアプリケーション自体のセキュリティについても検討することをお勧めします。
それでは今回の講義はここまで。また次回の講義でお会いしましょう。
この記事に掲載されているデータは2012年12月05日時点のものです。
[掲載日:2012/12/05]