モバイルデバイスのポリシー適用

従来のポリシー適用フレームワークは、ゼロトラスト環境では不十分です。このブログでは、その理由に加え、今の時代環境に合ったポリシー適用箇所(policy enforcement point:PEP)であるモバイルデバイスがより重要性を増していることについて説明します。

背景

従来、PEPと言えば、企業ネットワーク上のリソースへのアクセスを制御するワイヤレスアクセスポイント、VPNコンセントレータ、またはファイアウォールでした。PEPは、認証情報、役割、位置情報などのユーザー属性を収集し、ポリシー定義点(policy decision point:PDP)に転送します。PDPは通常はIDアクセス管理(IAM)による認証サービスでした。従来のネットワークでは、RADIUSまたはTACACS+サーバーがPDPとなり、Active Directoryが認証ユーザーソース、およびそれに対応する権限や許可情報を提供していました。

しかし、今の時代のユーザーはクラウドサービスに接続したモバイルデバイスで仕事をしていることも多く、この境界のないゼロトラストネットワークを従来のPEPモデルでは十分に守ることができなくなってきています。ユーザーのiPhoneがインターネットを閲覧中にマルウェアに感染することもあれば、ユーザーがAndroidデバイスをルート化し、セキュリティ侵害を受けていることに気づかない場合もあります。ファイアウォールはもはや門番の機能を担うことができません。企業リソースに接続する前にモバイルデバイスの健全性をチェックする仕組みがなければ、こういった脅威によってデータの盗難が発生したり、他のデバイスにも影響が出てしまいます。このような環境でデータのセキュリティを確保するには、各モバイルデバイスをPEPにすることです。その方法を以下にご紹介します。

ステップ1:デバイスの保護

まず、デバイス自体を適切に設定し、MobileIronのような統合エンドポイント管理(UEM)ソリューションに登録してセキュリティを確保する必要があります。そうすれば管理者が、Android、iOS、macOS、Windows 10といったデバイスのライフサイクルを一貫して管理とセキュリティに対応することができます。

次のような要素が必要です。

  • 強力な暗号システムを使用したデバイス上および通信中のデータの保護
  • デジタル証明書を利用したコンテキストベースの認証と許可
  • ジェイルブレイク、コード難読化、疑わしいアプリ、ルート化の検出によるデバイスの健全性評価
  • 許可済みのアプリの展開することでマルウェアを回避
  • 脅威が検出された場合にアプリとデータを守るコンプライアンスアクション

ステップ2:デバイス健全性の継続的な確保

次に、デバイス、ネットワーク、アプリケーション(D・N・A)脅威のスキャンにより、デバイスの健全性を維持継続する必要があります。当初のデバイス登録中に脅威が検出された場合は、脅威に対処できるまで、業務アプリ、コンフィグレーション、ポリシーのプロビジョニングを自動的に停止します。デバイスの運用開始後は、新しい脅威が環境に侵入していないか、継続的なスキャンで確認します。スキャンには機械学習機能を持つ人工知能エンジンを組み込んでおり、ゼロデイ攻撃を検出するアルゴリズムを改善し続けます。これがMobileIron Threat Defenseソリューションの役割です。

ステップ3:ポリシー適用アクションの定義

そして、侵害が検出されたときに自動的にデバイスに実行されるポリシー適用アクションを定義します。営業担当者がセキュアでないWi-Fiネットワークを使って企業データに接続しているとき、PEPであるモバイルデバイスにポリシーを強制する方法は2つあります。

例1:MobileIronがデータを保護する強制アクションとして自動的にVPN接続する -  ユーザーは脅威について通知を受け、セキュアネットワークに接続するよう求められます。所定の時間が過ぎてもユーザーがセキュアでないWi-Fiとの接続を切断しない場合、デバイスのブロックやデバイス上のビジネスコンテンツの削除など、次のアクションが自動的に実行されます。脅威を修復すると、ビジネスデータは復元されます。この例を動画で見てみましょう。

 

例2:ユーザーの入力した認証情報が誤っている場合にデバイスのネットワーク接続を遮断する - MobileIronは、iOSデバイスではローカルコンプライアンスアクションを自動的に起動し、すべてのネットワークトラフィックをVPNシンクホールに転送することができます。脅威を修復すると、VPNシンクホールが無効化され、インターネット接続が復元されます。この例を動画で見てみましょう。 

 

まとめ

ゼロトラスト環境では、セキュリティ責任者は従来のネットワークPEPに依存できません。ポリシー適用はモバイルデバイスで実施する必要があります。MobileIronは、デバイスの健全性を確保し、自動的にポリシー適用アクションを実行することで、高度な脅威からデータを保護します。MobileIronを使用すれば、モバイルデバイスを今の時代のゼロトラストネットワークに対応するPEPにすることができます。