正しいモバイル認証:モバイルアプリに対応するセキュアシングルサインオン

企業へのクラウドアプリ普及が進んでいます。CCS Insight’s Employee Mobile Technology Surveyの従業員の86%が仕事にモバイルアプリを利用し、その大半はクラウドアプリです。ネイティブモバイルアプリ(モバイルブラウザではなく)は、従業員がBox、G Suite、Office 365、Salesforceなどの企業向けモバイルクラウドサービスにアクセスする最も一般的な方法です。従業員が仕事にモバイルアプリを利用するのは、そのデザインとユーザー体験が優れているからです。生産性向上専用に設計されたモバイルアプリでは、数回のスワイプとクリックで仕事が片付きます。Concurの経費管理アプリを考えてみましょう。Concurは、非常に簡単で領収書の写真を撮り、数回クリックすれば、経費報告書の提出は完了。領収書をスキャンしてアップロードする手間はありません。従業員の生産性も上がり、気分も爽快です。

アプリとクラウド間のセキュリティギャップ

モバイルとクラウドサービスを利用する企業は、ネイティブモバイルアプリにも、PC経由でアクセスするWebアプリにも同じセキュリティとシングルサインオン(SSO)機能を期待します。しかし、モバイルアプリのサンドボックスアーキテクチャによって、従来のSSOは有効に作用しません。たとえば、同じ企業が作成したものでない限り、認証トークンを複数のモバイルアプリで共有することは困難です。

このため、Box、Concur、Outlook、Salesforceアプリを利用している企業の従業員は、各アプリにログインする都度、同じ認証情報を入力する必要があります。さらに悪いことに、モバイルデバイスが小型化し、ITが複雑なパスワードを要求するにつれ、従業員はパスワードの入力が面倒になり、アプリケーションを避ける可能性があります。そして生産性が低下します。

これはユーザーだけでなく、IT部門にとっても腹立だしいことです。多数のヘルプデスク要請、時間の無駄、必要な情報にアクセスできないために生じる生産性の低下を考えてください。従業員はIT部門を介さず、自分でアプリやサービスを見つけるようになり……シャドーITの登場です。

技術のコンシューマライゼーションによって台頭したシャドーITは、IT部門から主導権を奪い、エンドユーザーに与えました。この変化は、いつでもどこでも生産性を高める一方、新しいセキュリティ格差を生み出しました。MobileIronでは、これをアプリとクラウド間のセキュリティギャップと呼びます。シャドーITにより、従業員が企業データをセキュアでないデバイス上にダウンロードしたとき、またはIT部門の保護外にあるクラウドアプリに保存したときに、アプリとクラウド間のセキュリティ空白が生じます。

企業がアプリとクラウド間のセキュリティ空白を埋めるには、デバイスの信頼性、アプリの信頼性、ユーザーの信頼性の3つが必要です。MobileIronが4月にリリースしたMobileIron Accessでは、信頼できるデバイスと信頼できるアプリを信頼できるユーザーが使用したときのみ企業情報へのアクセスが可能となります。

ネイティブモバイルアプリに対応するセキュアSSOの導入

MobileIron Accessは、以下によってモバイルアプリとクラウド間のセキュリティ問題を解決します。

  1. MobileIron EMMによるデバイス信頼性の確立:クラウドデータが未登録、非セキュア、コンプライアンス違反のデバイスに保存されるのを防ぐには、デバイスの信頼性が不可欠です。
  2. MobileIron Tunnelによるアプリ信頼性の確立:管理外のネイティブモバイルアプリやサードパーティのクラウドサービスを介してクラウドデータが流出するのを防ぐには、アプリの信頼性が不可欠です。

    これは非常に微妙な状況であり、具体的に2つのリスクの検討が必要です。

    1. セキュアでないアプリ:Microsoft WordなどのIT部門承認済みアプリで、企業向けアプリストアではなく個人用アプリストアからダウンロードされたものを言います。公共のアプリストアからダウンロードされているため、IT部門はアプリやその中のデータを制御できません。
    2. 寄生アプリ:ユーザーがサードパーティーのクラウドサービスをSalesforceなどの企業向けクラウドサービスに紐付けてしまった場合に生じます。Salesforceには、アプリケーションやサービスのエコシステムを持っており、それらはSalesforce APIを使用して、カスタムアプリや優れたユーザー体験を提供できます。1人のユーザーの誤った判断により、すべてのSalesforceデータが悪意ある手に落ちるかもしれません。
  3. IDプロバイダー(IdP)との統合:自社のユーザーだけが許可された情報にアクセス
  4. MobileIronのPer-App VPNソリューションであるMobileIron Tunnel。デバイスとアプリケーションの信頼性は、MobileIronのエンタープライズモビリティ管理(EMM)ソリューションとMobileIron Tunnelによって提供されます。従業員の信頼性は、企業のIDプロバイダー(IdP)との統合から得られます。

MobileIron Accessは、MobileIronプラットフォームとIdPからの情報を合わせ、モバイルアプリとクラウド間のセキュリティ問題に対する包括的なソリューションを実現します。Accessは、ネイティブモバイルアプリに対応するセキュアSSOにより、組織のセキュリティと同時にユーザーの生産性を向上させ、ユーザー体験を大幅に高めます。

ネイティブモバイルアプリに対応するセキュアSSOの導入

MobileIronはユーザーの信頼性を高める拡張機能を発表しました。これによりMobileIron Accessは、業界で初めてネイティブモバイルアプリに対応するセキュアシングルサインオン(SSO)を提供します。従業員は企業のログイン情報を何度も入力することなく自分の好きな企業モバイルアプリを利用でき、開発者がアプリをラップしたり、SSOをサポートするためにコードを変更したりする必要もありません。

ユーザーの信頼性:技術用語ではIDと呼ばれ、あらゆるセキュリティソリューションの基本的な構成要素です。企業がセキュアまたは非セキュアなアプリやデバイス間を移動するデータを保護する際、ネイティブモバイルアプリに対応するセキュアSSOは、IDとデバイス/アプリポスチャーを組み合わせ、コンテキストに応じたセキュリティ上の決定を強化します。

ネイティブモバイルアプリに対応するセキュアSSOは、企業におけるユーザーの認証体験を簡素化してきたMobileIronの何年もの実績により実現しました。

仕組みを解説

では、ネイティブモバイルアプリに対応するセキュアSSOを備えたMobileIron Accessはどのように機能するのでしょうか?

ステップ1:MobileIronは、デバイス登録時に、ID証明書とMobileIron Tunnel(Per-App VPN)用の特定の構成を配布します。これがデバイスとアプリの信頼性を確立する重要な要素です。

ステップ2:アプリを起動すると、登録時にプロビジョニングされたID証明書がMobileIron Accessに提示されます。

ステップ3:この時点で、認証要求をIdPに任せ、ユーザーに認証情報の入力を促す代わりに、MobileIron AccessはセキュアID証明書を使用して特定のクラウドサービス向けのSSOトークンを生成します。

ステップ4:ユーザーは、既知のデバイス上のセキュアアプリを通して、クラウドの情報にセキュアにアクセスできます。

対策:ユーザーがコンプライアンス違反のデバイスやセキュアでないアプリでクラウドサービスにアクセスしようとすると、カスタマイズされた画面(ユーザーに次のアクションを促す画面)が表示され、手順に従ってデバイスとアプリのセキュリティを適切に確保できます。ヘルプデスクの介入は必要ありません!

このセキュアSSO体験は、MobileIron Accessが保護するどのネイティブモバイルアプリケーションにも適用可能です。IT部門は必要なセキュリティを確保し、従業員は快適な体験を得られるので、どちらにも有益です。