Workspace ONEのセキュリティ侵害を受けたデバイスの概要
Summary: この文書では、Workspace ONEの侵害されたデバイスの概要について説明します。
Symptoms
対象製品:
- Workspace ONE
モバイル デバイスは、継続的な通信と、外出先でのエンタープライズ コンテンツへのアクセスを可能にします。モバイル デバイスは重要なビジネス情報フローを保持していますが、マルウェアや破損したコンテンツが、使用しているネットワークに侵入する可能性があります。このような潜在的なセキュリティ脅威を考えると、あらゆる課題に対応できるようにモバイル デバイス管理(MDM)戦略を準備する必要があります。このようなセキュリティの課題の1つとして、お客様のモバイル フリートにセキュリティ侵害を受けたデバイスが存在することがあります。
Cause
-
Resolution
概要
セキュリティ侵害を受けたデバイスには、製造元のプリセットからユーザーが変更した「脱獄」iOSデバイスおよび「ルート化」Androidデバイスなどがあります。これらのデバイスは、重要なセキュリティ設定を除去するため、ネットワークにマルウェアを侵入させてエンタープライズのリソースにアクセスする恐れがあります。MDM環境では、チェーン全体の強さは最も弱いリンクと同程度になります。1つのデバイスが侵害されると、機密情報を漏洩したり、サーバーを破損したりする可能性があります。侵害されたデバイスの監視と検出は、さまざまなバージョンのデバイスとオペレーティング システム含むBYOD(Bring Your Own Device)環境ではさらに難しくなります。侵害されたデバイスは、エンタープライズにとって重大なセキュリティ上の懸念事項であり、ただちに対処する必要があります。
脱獄およびルート化されたデバイスは基本的な保護機能を放棄するため、次のような好ましくないアクティビティーの入り口となる脆弱なエントリー ポイントとなります。
- パスワードとIDの盗難:暗号化されていないユーザー名とパスワードが収集され、機密性の高い領域をより深く掘り下げたり、会社のIDを引き受けたりするために使用されます。
- データの傍受:送受信された通信はプレーン表示であり、通常のセキュリティ対策によって保護されていません。
- ウイルスの侵入:無防備なネットワークは、ウイルスやマルウェア侵害の恰好の標的であり、会社のデータが破損されて復旧不能になる可能性があります。
検出の課題
異なるプラットフォームで実行されているデバイスは、セキュリティ侵害検出のための応答方法も異なります。たとえば、iOS 7 +デバイスはバックグラウンドのチェックをサポートしますが、追加の制限を含む場合があります。Androidデバイスでは、制限や制約なしでバックグラウンド チェックを実行できます。この問題に対するWorkspace ONE(旧AirWatch)ソリューションでは、複数のデバイスおよびオペレーティング システムで検出が確実に行われます。
Workspace ONEのアプローチ
このような違いに対応するために、Workspace ONEは、セキュリティ侵害を受けたデバイスの検出のために固有の多層的なアプローチを開発しました。iOSおよびAndroidプラットフォームの制限事項と機能については、次の表を参照してください。
プラットフォームの機能
| アクセス能力 | iOS | Android |
|---|---|---|
| エージェントの登録 | 登録中にセキュリティ侵害を受けたステータスを検出 | 登録中にセキュリティ侵害を受けたステータスを検出 |
| バックグラウンド チェック | iOS 7以降を実行しているデバイスでは、Workspace ONE MDMエージェントを使用してバックグラウンド チェックを使用可能。 | バックグラウンド検出を許可 |
| オンデマンド チェック | スケジュールされたApple Push Notificationサービス(APNs)メッセージを使用して利用可能
|
GCMメッセージを使用して利用可能
|
| コンプライアンス エンジン | セキュリティ侵害されたデバイスが検出された場合、またはステータスが最新ではない場合の自動修復処理。 | セキュリティ侵害されたデバイスが検出された場合、またはステータスが最新ではない場合の自動修復処理。 |
| エンタープライズ アプリに組み込まれた検出 | Workspace ONEアプリ ラッピングを使用して、ラップされたアプリケーションでのセキュリティ侵害検出を強制できる | Workspace ONEアプリ ラッピングを使用して、ラップされたアプリケーションでのセキュリティ侵害検出を強制できる |
Workspace ONEを使用したセキュリティ侵害されたデバイスの検出
Workspace ONEのソリューションは、登録されたデバイスのライフサイクル全体を対象としており、対象外のデバイスを除外し、セキュリティ侵害を受けたデバイスや非準拠のデバイスとの関連を断ち切ります。デル独自の検出アルゴリズムは、新しいオペレーティング システムに基づいて侵入テスト、調査、開発を継続的に実施し、可能な限り高度な検出機能を確保します。セキュリティ侵害されたデバイスのための多層的な検出アプローチは、以下の要素で構成されています。
エージェントの登録
望ましくないデバイスに対するWorkspace ONEの防御の第一線の処理は、登録時に開始されます。デバイスへの入力を許可する前に、コンプライアンスの設定を構成し、セキュリティ侵害されたデバイスを検出します。すべてのデバイスがセキュリティ設定に準拠しているか、ユーザーのプロファイルをインストールする必要があります。セキュリティ コンプライアンスの検出は、登録のタイプによって異なります。
- エージェントベース - iOSまたはAndroidデバイスは、iTunes App StoreまたはGoogle PlayストアからダウンロードされるWorkspace ONE MDMエージェントを使用して登録することができます。エージェントのインストールが完了すると、エージェントはデバイスのステータスをチェックします。デバイスはその後、Workspace ONE管理コンソールに設定された時間間隔に従って情報をサーバーに送信します。
- Webベース - iOSデバイスは、登録URLを使用してデバイス上のデフォルトのWebブラウザーでWebベースの登録をサポートする唯一のデバイスです。このようなデバイスのステータスを検出するには、Workspace ONE SDKの埋め込み型アプリのいずれかをデバイスにインストールする必要があります。このようなアプリには、Workspace ONE MDMエージェント、Workspace ONEブラウザー、Workspace ONEセキュア コンテンツ ロッカー、SDK対応エンタープライズ アプリなどがあります。
さまざまな登録方法の比較については、iOSプラットフォーム ガイドを参照してください。
バックグラウンド チェック
デバイスが登録されたら、そのデバイスのコンプライアンスを管理します。Workspace ONE MDMエージェントは、携帯電話ネットワークへのアクセス権を持つ、すべてのAndroidデバイスと新しいバージョン(iOS 7以降)のiOSオペレーティング システムのセキュリティ侵害ステータスについて、継続的なバックグラウンド チェックを提供します。
iOS 7デバイスでは、Workspace ONEエージェントベースの次のような機能を利用できます。
- バックグラウンド アプリケーションの更新 - Workspace ONEは、Workspace ONEエージェントを介してデバイス情報のインターバルベースの収集と転送を完全に設定する手段を提供します。この場合は、最低限、Workspace ONEエージェントを起動する頻度を指定する時間パラメーターをデバイスに送信することができます。この設定を有効にするには、Workspace ONE管理コンソール>Apple >AppleiOS>エージェント設定のデバイス>設定に移動します。 このページで、[ バックグラウンド アプリの更新 ]をクリックし、使用可能なオプションを設定します。最小更新間隔を設定 し、 デバイスがWi-Fiネットワークに接続されている場合にのみチェックインするようにエージェントを設定します。[Minimum Refresh Interval]を設定すると、デバイスは、割り当てられた最小時間内に1回のみ、デバイス情報のMDMサーバーへの送信を試みます。
図1: (英語のみ)エージェント設定の構成
- サイレントAppleプッシュ通知サービス(APNs) - Workspace ONEは、サイレントAPNを使用して定期的にバックグラウンド チェックを自動的に要求します。この例では、Workspace ONEの管理コンソールは、セキュリティ侵害ステータスをWorkspace ONEサーバーに返すように要求する通知をデバイスに送信します。デバイスでは、Workspace ONEエージェントの[プッシュ通知]をオンにする必要があります。
図2:(英語のみ)AirWatch MDMエージェント
また、次に示すように、特定のデバイスの[デバイスの詳細]ページに移動し、[ More > Query > Workspace ONE MDM Agent ]をクリックして、手動でクエリを実行することもできます。このクエリーは、Workspace ONEエージェントの必要なバージョンがデバイスにインストールされている場合にのみ表示されます。
また、Workspace ONE SDKのセキュリティ侵害検出機能を使用することで、社内アプリケーションでこのバックグラウンド処理のロジックを結合して、バックグラウンドの脱獄の検出を実行することができます。
アプリで開始されたチェック
エンタープライズ情報およびWorkspace ONEの機能を使用するための検出チェックポイントを確立します。デバイスがWorkspace ONEのセキュア コンテンツ ロッカー、AirWatchブラウザー、またはAirWatch MDMエージェントを起動すると、検出システムはコンプライアンスのステータスを自動的に検証し、情報への保護壁を追加します。
セキュリティ侵害を受けたプロテクションを使用して、iOSおよびAndroid用のラップされたアプリを有効化します。設定とポリシー ページ(グループ & 設定 > すべての設定 > アプリ > 設定とポリシー > セキュリティ ポリシー) と、ラップされたアプリのその他の設定を有効にして、ラップされたアプリにプロファイルを割り当てます。詳細と段階的な手順については、『Workspace ONE App Wrapping Guide』を参照してください。
セキュリティ侵害検出を使用して、iOS用のSDKアプリを有効にします。iOS SDK v.3.2以降では、デバイスがオンラインであるか、またはオフラインであるかにかかわらず、アプリケーション内のデバイスのセキュリティ侵害ステータスを直接確認することができます。デバイスが過去に少なくとも1回ビーコン コールを正常に実行している場合にのみ、アプリケーションでこの機能を使用できます。詳細とサンプル コードについては、『Workspace ONE iOS SDK Guide』を参照してください。
コンプライアンス エンジン
Workspace ONEがセキュリティ侵害されたデバイスまたは非準拠デバイスを検出した場合、コンプライアンス エンジンは、コンソールで管理者によって設定されたデバイス ポリシーに基づいて、これらのデバイスに対して迅速に処置を行います。Workspace ONEでは、管理者に対して、初期デバイスのステータスを要求したり、コンプライアンス エンジンの時間間隔/頻度を設定したりするための柔軟性を提供します。
エンタープライズ アプリに組み込まれた検出
SDKにアクセスするには、Workspace ONEエージェントをインストールするのではなく、Workspace ONE SDKを社内アプリの中に構築します。SDKには、コンプライアンスを継続的にスキャンする脱獄およびルートの検出機能など、MDMの主な機能(完全なSDKプロファイルで説明)が付属しています。一般的に、デバイスにプッシュされるエンタープライズ アプリケーションを実行すると、検出スキャンが頻繁に実行されるため、侵害されたデバイスを迅速に検出できます。
これにより、管理者は管理コンソールで、セキュリティ侵害されたデバイスにインストールされているアプリに対して実行するアクションを指定できます。たとえば、デバイスがセキュリティ侵害されていることが判明した場合、管理者は次のアクションを適用することができます。
- ユーザーへの警告メッセージの送信。
- デバイスからのユーザーのロック アウト。
- アプリケーションおよびエンタープライズ データの消去。
- アクセスの制限
セキュリティ侵害されたデバイスの適用と監視
iOSおよびAndroidデバイスのセキュリティ侵害ステータスを監視するコンプライアンス ポリシーを適用します。Workspace ONEの管理コンソールは、システム アラートを保持し、セキュリティ保護するツールを管理者に提供します。
コンプライアンス エンジン
コンプライアンス エンジンは、セキュリティ チェックポイントとして機能し、自動的にロックアウトになるか、デバイスまたはユーザーに対して追加のアクションを実行します。管理者によってデバイスに設定されたコンプライアンス ルールに基づいて、コンプライアンス エンジンは、デバイスが非準拠であるかどうかを検出し、それに対して定義されたアクションを実行します。これらのルールとアクションは、Workspace ONEの管理コンソールで定義できます。
ルールとアクションが確立されると、コンプライアンス エンジンは残りの処理を行います。修復は自動で行われます。スキャンによって侵害されたデバイスが検出された場合、コンピューターは事前設定された警告とエスカレーションされたアクションを実行します。管理者は、インスタンスが検出されるたびに、必ずしもそれに対処する必要はありません。
ただし、管理コンソールでは、コンプライアンス プロトコルのセルフサービスが有効になっています。ユーザーが管理者に連絡しなくても、管理者はデバイスを消去して、ユーザーのデバイスがコンプライアンスに従っていない状況と理由を説明するEメールやSMSメッセージをユーザーに送信することができます。
コンプライアンス エンジンがデバイスを管理する時間を節約すると、管理者は週次または月次のコンプライアンス レポートをレビューして、繰り返し違反を把握できます。
最後のセキュリティ侵害スキャンのコンプライアンス
最後のセキュリティ侵害スキャンのコンプライアンスにより、管理者は、エージェントがデバイス スキャンを実行する時間間隔を設定することができます。これにより、AirWatchでデバイスからのコンプライアンス ステータスが一定期間受信されていない場合に、予防措置を講じることができます。
セキュリティ侵害ステータスのコンプライアンス
セキュリティ侵害ステータスのコンプライアンス ルールを使用すると、管理者は、侵害されたデバイスに対して処理を設定できます。
上記の2つのコンプライアンス ルールについては、次の処理を適用できます。
- 通知:SMS、Eメール、およびプッシュ通知を送信することによってユーザーに通知します。
- アプリケーション:一部またはすべての管理対象アプリをブロックまたは削除します。
- コマンド:エンタープライズ ワイプを実行するか、デバイスのチェックインを要求します。
- プロファイル:すべてのプロファイルまたは特定のプロファイル タイプ、または特定のプロファイルをブロックまたは削除します。
デバイス コントロール パネル
管理者は、登録されたデバイスのサマリーを表示できます。サマリーには、セキュリティ侵害検出がデバイスで実行されたかどうかを管理者に通知するセキュリティの詳細情報が含まれています。デバイスがセキュリティ侵害を受けていない場合は、緑色のチェック マークが表示されます。
図3:(英語のみ)デバイス コントロール パネル
デバイス コンプライアンスの可視化
ダッシュボードには、組織グループに登録されている、セキュリティ侵害を受けたデバイスの割合がグラフィック表示されます。これにより、管理者は侵害されたデバイスの概要を表示し、そのようなデバイスの追跡に役立ちます。
図4:(英語のみ)ダッシュ ボード
スケジュールされたレポートまたはオンデマンドのコンプライアンス レポートの実行
Workspace ONEの管理コンソールには、100種類を超える標準レポートも付属しています。これには、スケジュールした間隔で自動実行が可能、またはオンデマンドでの生成が可能なコンプライアンス レポートのリストも含まれています。フリート全体または特定の組織グループの非準拠デバイスを迅速に表示します。ブラックリストに入っているアプリ用の違反しているデバイス、弱いパスコードの設定、および全体的なセキュリティ コンプライアンスを分離します。コンプライアンス レポートを使用すると、システム内のセキュリティ侵害されたデバイスまたは非準拠デバイスの概観図を表示できます。
図5:(英語のみ)すべてのレポート
結論
セキュリティ保護されたMDMの必要性は、かつてないほど増大しています。したがって、Workspace ONEでは、セキュリティ侵害されたデバイスなどのセキュリティ上の脅威を検出する力を与える、比類のないソリューションを提供します。Workspace ONEの独自の多層型検出ソリューションは、すべてのデバイス プラットフォームで有効になるように設計されており、検出されたデバイスで必要なアクションを実行するための柔軟性も提供します。上記の検出ソリューションのすべての要素により、Workspace ONEは、企業のセキュリティを確保するための効果的なソリューションとなります。
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。