• BLOG
  • Stop data leakage through personal accounts

個人アカウントによる情報漏えいを阻止せよ!

2019年4月23日
Stop data leakage through personal accounts

モバイルアイアンで実現するクラウドテナント制限

最近、クラウドを導入する企業が増えています。クラウドの導入と合わせて、モバイルの利り活用を検討している場合が実に多いです。そしてそういったそれらの企業の従業員(モバイルアイアンから見るとエンドユーザーになります)の多くはモバイル端末(スマートフォン)からクラウドサービスにアクセスすることになります。

クラウドサービスはが安価か且つ便利ですので、エンドユーザーが個人的にも契約し、利用している場合もあります。例えば、業務用のGoogleのG Suiteを利用している従業員がは個人自分のGmailアカウントでGoogle Driveにログインし、利用している場合もが多いです。これからG Suiteを例に挙げて説明しますが、他のクラウドサービス、アプリにも同じことが起きる可能性があります。

モバイル端末を利用する場合、業務用アカウントと個人用アカウントの両方を持つことでどのような影響がありますでしょう?業務用の目的でインストールされているG Suiteアプリに個人のアカウントでログインできるようになると、そのアカウントから情報漏えいがを起こる可能性があります。

例えば、同じGoogle Driveアプリに業務用、個人用の2つのアカウントでログインしされていると、業務用のpdfファイルを個人用Google Driveに保存しされてしまうことがありえます。

 

fig-1

 

このような状況を防ぐためには、業務用のG Suiteアプリではに個人用アカウントでのログインをブロックすることが効果的です。
下記の方法で実現できます。

  1. 業務用G SuiteアプリをUEM基盤で管理対象アプリ(Managed App)として配信し、そのアプリからのトラフィックをゲートウェイであるMobileIron Sentryに集約します。
  2. SentryのATC(Advanced Traffic Control)機能を利用し、通信先を確認し、Googleに向かういくトラフィックであれば背後にあるProxyに転送します。
  3. Proxyで該当するトラフィックのにHTTPリクエストにX-GoogApps-Allowed-Domainsヘッダを追加します。
  4. G Suiteのサーバ側では上のステップ3で挿入したHTTPヘッダに従って指定外のG Suiteドメインあるいはgmail.comアカウントのログインをブロックしてくれます。

簡単なデモを作りましたので、動作イメージについては下記のビデオをご参考にしてください。

  1. 企業用のGoogle Driveアプリには既に企業用のアカウント(user1@midemo.jp)でログインしています。
  2. 該当するユーザーが該当するGoogle Driveアプリに個人のアカウント(mobile.ichiro.mi@gmail.com)を追加しようとします。
  3. MobileIronモバイルアイアンの制御で、ドメインmidemo.jpからのログインリクエストは通しますが、他のドメイン、例えばgmail.comからのリクエストはブロックします。

 

 

ここではGoogleのG Suiteで例を挙げて説明しましたが、同じ手法でMicrosoftのOffice 365へのアクセスも効果的に制御出来ます。

また、今回はProxyでHTTPリクエストにヘッダを挿入する方法で制限することを実現しましたが、Sentryの背後にCASBを置くことでより強力で多様な制御を実現出来ます。
CASBとの連携について、また別の機会で紹介したいと思います。

Richard Li

Richard Li , Senior Channel Sales Manager

著者について

2013年〜2017年モバイルアイアンジャパンの立ち上げに参加し、エンジニア、営業、そしてエバンジェリストとして活躍。 2017年以降の2年間、エンドポイントセキュリティ業界でエンジニアとして働いた後、2019年からモバイルアイアンジャパンのチャネルビジネスを担当。

同様のブログ