Online Seminar Review

モバイルセキュリティの最前線「ゼロトラスト」の入り口を知る

2020年はテレワークの普及が劇的に加速した年だった。その影響でモバイルデバイスの活用が進み、従来のセキュリティモデルである境界型防御では情報を十分に守れないことが浮き彫りになった。その結果、社内ネットワークの外にあるPCやタブレット、スマートフォンなどの端末(エンドポイント)をいかにして守るかが、大きな課題となってきている。

そこで大きな注目を集めるのが生産性や利便性を損なうことなく、セキュリティレベルを向上させることができる「ゼロトラスト」だ。2021年3月11日に行われたソフトバンク主催セミナー「モバイルセキュリティの最前線、『ゼロトラスト』の入り口を知る」では、ゼロトラストの概要やモバイルセキュリティの現状、脅威検知のデモなど、最新情報を紹介。今後のセキュリティをいかに担保していくのかを知る、貴重な機会をレポートする。

信頼できる端末とは?
ゼロトラストで考えるこれからのエンドポイントセキュリティ

ソフトバンク株式会社

法人プロダクト&事業戦略本部 セキュリティ事業統括部
セキュリティエバンジェリスト

澤入 俊和

ソフトバンク株式会社 法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティエバンジェリスト 澤入 俊和 氏

UEMとMTDで生産性向上とセキュリティを両立させる

澤入氏は「ゼロトラストという言葉は非常に抽象的で、どうすれば実現できるかを掴みづらいと思います」と冒頭に話す。ゼロトラストとは2010年にForrester Researchが提唱した考え方で、2020年にはNIST(アメリカ国立標準技術研究所)によるZTA(Zero Trust Architecture)の最終版が公開されて標準化が進み、多くのグローバル企業などで実装が進んでいるという。

脅威がますます巧妙化を続ける一方、リモートワークが当たり前になりつつあり、守るべき端末が境界で守られた環境外に出てくるようになった。その結果、これまで主流だった境界型防御だけでは不十分で端末自身の守りを固めなくてはならなくなった。ゼロトラストは言葉通りすべての接続を信用せず、端末がどこにあろうとネットワークセキュリティと認証で接続する端末を確認することが重要だ。また、エンドポイント自体がマルウェアなどに感染していないか、セキュアな状態なのかなど、安全性を徹底確認することも重要となる。

エンドポイントセキュリティで注目されているのが、PCやサーバを対象としたEDR(Endpoint Detection & Response)製品だが、モバイルに対する脅威も忘れてはならない。モバイルには端末の管理や不正アプリ、SMSを狙ったスミッシングなどモバイル特有の脅威が存在する。

澤入氏は端末管理を行うUEM/MDMとモバイルの脅威検知に特化したセキュリティソリューションであるMTD(Mobile Threat Defense)を組み合わせることが有効であると説明する。これまでのモバイルセキュリティでは、アプリを入れさせないなどの制限をかけることでセキュリティを担保してきたが、澤入氏によれば、UEMとMTDを組み合わせることで、端末に制限をかけることなく活用することが可能で、生産性の向上とセキュリティ対策を両立することができるという。

ソフトバンクでは、法人に向けたUEM製品としてVMware Workspace ONE UEMを、MTD製品としてZimperiumを提供している。ソフトバンクはWorkspace ONE UEMとZimperiumの導入から運用までをワンストップで提供し、ゼロトラストのコンポーネントの一つとして、ソフトバンク提供の関連サービスとの連携をサポートしている。「我々は、通信キャリアとしての強みを活かし、端末と回線の提供からセキュリティ対策までをワンストップで提供 することが可能です」と澤入氏は説明する。

Workspace ONEとZimperiumの組み合わせにより、Zimperiumが検知した脅威の情報がWorkspace ONEに送られ、Workspace ONEから対処指示が行われる。このようにモバイル端末の脅威検知から対処までを自動化できることも特徴的で、もちろん両製品のサポート窓口はソフトバンクに一本化することが可能となる。

「ソフトバンクでは、モバイルを中心としたエンドポイントに対するセキュリティソリューション、ネットワークセキュリティ、認証基盤、各種コンサルティングサービス、MSS(マネージドセキュリティサービス)を用意し、ゼロトラストに必要なソリューションを提供しています。お客様に最適な構成をご提案し、これからのゼロトラストの実現をお手伝いさせていただきたいと考えていますので、ご相談ください」と澤入氏は最後に話した。

VMware Workspace ONEで始めるゼロトラストセキュリティ

ヴイエムウェア株式会社

エンドユーザコンピューティング技術部
スペシャリストSE

小薮 賢

ヴイエムウェア株式会社 エンドユーザコンピューティング技術部 スペシャリストSE 澤入 俊和 氏

「今すぐに始められるゼロトラストセキュリティ」を実現

VMware Workspace ONEは、デバイス、アプリ、ワークスタイルなどのさまざまなバリエーションに対応するデジタルワークスペースプラットフォームだと小薮氏は説明する。「場所を問わず、クラウドからモバイルデバイス、デスクトップデバイスを管理し、ゼロトラストセキュリティでデバイスやアプリをセキュアに保ち、エンドユーザーの生産性を向上させることができます」ユーザーが状況に合わせてさまざまなデバイスを使い分けて業務を遂行している現在、デバイスプラットフォームごとのバラバラな管理ソリューションから、ユーザーを起点としてユーザーが利用する複数のデバイスを統合管理できることが大きな特徴だ。

Workspace ONEでは、階層管理、ロールベースの権限移譲、オンプレ/クラウド認証局との連携、モバイルSSO、デバイスコンプライアンス、セルフサービスポータル、Workspace ONE Assist(リモートサポート)などのさまざまな機能でマルチデバイスを効率的に管理できる。また、Windows 10 の最新の管理ソリューションでもあり、導入から運用までの最適なPCライフサイクル管理を実現することも特徴の1つだ。

「Workspace ONEは従業員にとっても、生産性を高めるソリューションとなります」と小薮氏は説明を続ける。管理デバイスにインストールされるWorkspace ONE Intelligent Hubをワークスペースとしてモバイル管理やクラウドアプリへのSSO、公開アプリケーションの配信、仮想デスクトップ、各種重要情報の通知などが行え、デバイスの種類を問わず、同一の使い勝手を実現し、ユーザーフレンドリーなツールになっているという。

また、デバイスの状況を把握し、定期的にデバイスの状態をチェックして、企業の定めた順守状態の違反があれば、自動的に対処することも可能。違反したらすぐにブロックするのではなく、段階的に制限を厳しくするような構成にすることも可能だ。管理するデバイスにはユーザー証明書が発行され、モバイルSSOによって遅延なくセキュアにSaaSアプリやモバイルアプリを利用することができる。さらにUnified Access Gatewayを提供し、アプリ単位のVPNであるPer App VPNをすぐに利用できる。対象のアプリを起動するだけで証明書ベースの認証がなされ、デバイスのチェックが行われる。

「Workspace ONEは、世界中の企業が採用し、直感的で分かりやすいUIを備え、統合管理エンドポイント管理コンソールでさまざまな種類のデバイスを一元管理します。導入することで、すぐにでもゼロトラストセキュリティを実現できます。デバイスを常にセキュアな状態にすることが可能なため、ニューノーマル時代の柔軟な働き方へ安全に対応することができます」と小薮氏は説明している。

Workspace ONE + Zimperium
シンプルで自動化された最良のモバイルセキュリティ

Zimperium, Inc.

Business Development Manager

奥山 剛央

Zimperium, Inc. Business Development Manager 奥山 剛央 氏

未知の脅威は相互補完でカバーする

奥山氏は「最近はモバイルフィッシングが増加しています。銀行や宅配、ビジネスメール、給付金など、さまざまなものを装ったSNSメッセージやSMSが数多くあり、後で不正プログラムをダウンロードさせてSNSなどを介して拡散させています」と現在の状況を解説する。また、テレワークの普及により、社内で保護された境界の外で仕事をする機会が増えている中、無線LANに流れているトラフィックを盗むような攻撃も増えていると注意喚起している。

侵入されないことを前提とするのではなく、何かあっても常に検知できる安全なプラットフォームづくりが重要。改めて奥山氏は今、ゼロトラスト概念の浸透が進み、従来型のID/パスワード管理に変わる新しい認証基盤/方式のニーズも増えてきていると言う。

モバイルセキュリティでは、アプリ対策やフィッシング対策、デバイスの管理が重要となる。また、業務効率とセキュリティ対策のバランスが重要だ。Wi-Fiの禁止やアプリの厳格な制限などを行ってセキュリティを高めても、今度は利便性が損なわれるため、ある程度ツールに頼って安全に幅広く利用できるプラットフォームの構築が重要だと説明する。

Zimperiumはアプリに含まれる機械学習型エンジンを使い、デバイス上でさまざまな攻撃を検知するソリューションだ。デバイスの振る舞いを常にチェックすることによって、既知および未知の脅威からデバイスを保護することが可能となる。また、リスク識別、脅威検知、脅威緩和、詳細なレポートといった多くの機能を持っていることも特徴だ。

奥山氏は「UEMとMTDで相互補完することで多くの脅威をカバーできます。特にZimperiumとVMware Workspace ONEを組み合わせることで、さまざまなメリットが生まれます。2つの製品を統合することで、例えばユーザーやデバイスを集中管理し、アプリのシングルサインオンを提供して、自動アクティベーションによる利用率の向上を実現できます」と強調する。そして最後に「例えば中間者攻撃が検出されたら、自動的にそのWi-Fiを切断するなど、インシデントレスポンスを自動化することが可能です。このように脅威発生時の検出、タグ付け、対応の適応を自動化し、SOCオペレーションコストを大幅に低下することが可能になっています」と説明した。

VMware × Zimperium クロストーク

ゼロトラストの「あるべき姿」を考える

3社のセッション後は、ソフトバンクの澤入氏を聞き手に、VMwareの小薮氏、Zimperiumの奥山氏によるクロストークが行われた。

初めに提案活動をする中で、従来通りID/パスワードで管理していて大丈夫かと相談を受けることが多いという奥山氏から、VMwareの考え方やサービスについて質問があった。小薮氏は以下のように答える。

「一般的にSaaSアプリの利用が増えると、それぞれのID/パスワードをブラウザに記憶させたり、パスワードをコピペしたりするなどのリスクが増加します。Workspace ONEではSaaSアプリへのシングルサインオンを提供していますが、これによりユーザー任せのパスワード管理をなくすことができます。またモバイルSSOという機能を使うことで、デバイス側でアプリをタップするだけでデバイスが正しい状態であることを確認し、SaaSアプリにシングルサインオンできるようになっており、セキュリティと利便性を両立させる仕組みをエンドユーザーに提供しています」(小薮氏)

一方小薮氏からは以前、私物や会社支給のiPhoneに通販事業者を装った不審なSMSが届いたことがあるという経験から、SMSに書かれたURLをタップしてしまった場合に起こる具体的な事象について奥山氏に質問した。奥山氏によると、Zimperiumを使っていれば、機械学習型エンジンによってタップする前にSMSによるフィッシング被害を止めることができるという。

もし実際にアクセスしてしまった場合、いくつかのパターンがある。例えばアクセスしてきたデバイスのOSを振り分け、それがiOSであればApple IDを入力させるような場合がある。クレデンシャル情報などの資格情報を盗むために入力させるケースも多いが、作り込まれたものだとiOSなら構成を変えるプロファイル、Androidであれば、マルウェアを端末に送り込むようなケースも存在する。

「マルウェアがインストールされたことにユーザーが気づかないように、インストールさせた後にアプリドロワーに表示させないようにすることもあり、侵害された状態のまま情報を次々と盗まれ、ユーザーが加害者となってSMSを大量に送信するなどの二次被害や三次被害を発生させたりします。エントリーポイントがフィッシングというケースは非常に増えていますが、フィッシングだけに注意するのではなく、その先のデバイスの侵害やマルウェアに対応しなければなりません。そのためZimperiumは、さまざまなエントリーポイントを多面的に防御できるようにデザインされています」(奥山氏)

特に業務で使うモバイルデバイスには、MTDが非常に重要となることが強調された。最後に奥山氏から澤入氏に向け、モバイルキャリアであるソフトバンクでは、働き方が変わる中で顧客のニーズをどのようにとらえているか、質問があった。

澤入氏によると、この1年間で顧客のリモートワーク化が加速していったという。端末の導入などは一段落してきたが、この先もリモートワークは続くという視点に立って、どのようなIT環境を作ればよいかという検討にシフトしている。さらに踏み込んで、ゼロトラストのあるべき姿を深く考えていくような動きも見られているという。「以前は漠然とモバイルは大丈夫だろうと考えてしまうケースが多かったと思いますが、モバイルのセキュリティ対策もやっていかなければならないと考えるお客様が増えていると感じています。

そのような中でVMware Workspace ONEやZimperiumなどのソリューションは非常に重要です。Workspace ONEでZimperiumのアプリを配布することにより展開が容易にでき、Zimperiumで検出された脅威の情報をWorkspace ONEに送ってアクションを自動的に行うことで運用や対策を自動化できるところも、お客様からご評価いただいているのではないでしょうか。」と澤入氏は最後にまとめた。

このページのトップに戻る