Appleデバイス登録とユーザー認証のベストプラクティス

AppleのDEP(Device Enrollment Program)は、企業ユーザーが手間いらずでデバイスを利用できるようにするクラウドベースのサービスです。DEPとMobileIronなどの統合エンドポイント管理(UEM)ソリューションの併用により、IT部門は、何千台ものiOS、macOS、tvOSデバイスを素早く設定し、全社に展開することができます。

ビジネスアプリやデータにアクセス可能なデバイスなら何であれ、ベストプラクティスに従ってさまざまな脅威から守ることをお勧めします。DEPとUEMを通じてデバイスを設定するのは良い方法ですが、さまざまな方法で攻撃者が組織に侵入するのを防ぐため、他の対策も実行しておきましょう。

最新の脆弱性:さあどうする?

最近のレポートによれば、攻撃者はDEPプロトコルを回避し、不正なデバイスを企業のUEM1サーバーに登録することができます。レポートによると、それができてしまうのは、DEPが「登録に先立ち、事実上、システムのシリアル番号だけを使用してデバイスを認証しているから」です。このため、有効なDEP登録済みのシリアル番号さえあれば、攻撃者がデバイスをUEMサーバーに登録できるとしています。

注目すべきは、認証なしでユーザーにデバイス登録を許可した場合のみ、レポートに指摘された「脆弱性」が悪用されることです。しかし、認証なしでDEPに登録されたデバイスは、デフォルトで自動的に「匿名」に指定されます。匿名のデバイスは、デフォルトでは企業のポリシーや設定を受信しません。これは一般にテスト目的で、たとえばIT部門がDEPのワークフローを具体的なUEMサーバーで本番前にテストする場合などに利用します。実運用されている企業システムにおいて、DEPとUEMによるユーザー認証の組み合わせは非常にセキュアなフレームワークとなり、レポートに挙げられている攻撃を受けることはありません。

DEPのセキュリティを強化する3つの方法

ユーザー認証を義務づけることに加え、UEMとDEPのインフラでセキュリティを強化する方法を3つご紹介します。

1. 企業DEPアカウントのデフォルトのUEMサーバーを持つ。

DEPポータルにデバイスが登録されると、デバイスには自動的にデフォルトのUEMサーバーが指定されます。こうすれば管理者は、社内の全デバイスを1つのUEMコンソールで可視化できます。

2. UEMコンソールのDEP設定でパスワードまたはPINに認証を設定する。

これでDEP設定時にデフォルトでユーザー認証がオンになります。パスワードを使用しない企業の場合、MobileIronではユーザーの個人識別番号(PIN)で認証できます。PINには利点が2つあります。ランダムな数字のために推測しにくいことと、有効期限を短くすることができ、パスワードと違ってIT部門が管理しやすいことです。

3. UEM登録を必須にする。

これでDEPに登録されたすべてのデバイスに、UEMのポリシーと構成にしたがったセキュリティと管理を提供できます。UEM登録が必須でない場合、デバイスは登録をスキップし、普通の個人用デバイスと同様に設定されてしまいます。MobileIronは、そのようなデバイスが企業向けアプリやデータ、Office 365、Salesforce、G Suiteなどのクラウドサービスにアクセスできないようにします。

注:Appleは、Apple Business Manager(ABM)の提供を開始しました。Appleがホストするクラウドポータルで、企業がDEP、ボリューム購入プログラム(VPP)、Apple ID、コンテンツを一括管理できます。管理権限の委譲により、きめ細かいアクセス制御も可能です。こういった機能はすべて、使いやすい新しいポータルで利用でき、ポータルもUEMのユーザー認証でセキュリティを確保できます。ABMの詳細はこちらをご覧ください。

MobileIron + Apple = 安眠できる夜

企業セキュリティに携わる者なら誰でも、攻撃者が脅威防御のわずかな弱点を見つけるために日夜活動していることを知っています。多層型セキュリティの重要性が増しているのはこのためです。MobileIronとAppleは、モバイルとクラウドのインフラを安全に保つために革新的を続けています。Appleはこのほど、T2チップによる新しいセキュリティ機能を導入しました。また、デバイスセキュリティを強化するためにシステム整合性保護(SIP)機能も追加しました。このSIPをユーザーが無効化しようとすると、MobileIronがただちに管理者に通知します。これもすべて、お客様に安心して眠っていただくためです!

 


1 モバイルデバイス管理(MDM)は、現在、統合エンドポイント管理(UEM)に進化しました。