モバイルセキュリティは“多層防御”の一部
以前連載で、外部からの標的型を防ぐための“多層防御”について解説しました。複数の製品やサービスを組み合わせた多層防御により、攻撃の際の各ステップに対してそれぞれ対抗できるという考え方です。
つまりモバイルデバイスを安全に利用するためには、モバイルデバイスだけを対象とするMDM製品だけではなく、他のセキュリティ製品やサービスと連携して、ネットワーク全体からマルウェアからの保護やデータを制御することが重要となります。モバイルセキュリティを多層防御に組み込むわけです。
効果的な多層防御の例として、MDM製品を次世代ファイアウォールやサンドボックス型セキュリティを連携したセキュリティ製品やサービスがあります。
MDM製品がモバイルデバイスからデバイス状態を収集し、その情報をファイアウォールへ通知し、ファイアウォールで定義したセキュリティポリシーの判断材料として用います。これにより、会社支給ではなくBYODであっても、MDMに登録してある端末であればファイアウォールを通過できるようになります。次世代ファイアウォールではアプリケーションやユーザー、さらにデバイス状態も含めてポリシーを制御します。
例えば、AさんのiOS端末ではXというアプリを使って社内サーバにアクセスできるが、BさんのAndroid端末ではできないといった制御が可能になります。
さらに、サンドボックス型セキュリティと連携し、モバイルマルウェアに関する情報をMDMとファイアウォールの両方に通知します。サンドボックス型セキュリティでは世界中の次世代ファイアウォールから日々送られるファイルを分析し、未知のマルウェアに指示を与えるサーバとの通信などのデータを収集し、ハッシュやシグネチャとしてファイアウォールやMDMにフィードバックします。
これにより、ファイアウォールではマルウェアがダウンロードされるときに検知してブロックすることができます。MDMではマルウェアがモバイルデバイスにインストールされた場合に検知することが可能になります。さらにMDMがデバイス状態をファイアウォールに通知することで、マルウェアを保持するデバイスからの通信をファイアウォールで遮断することもできます。
モバイルデバイスが進化、普及しモバイルセキュリティへの取り組みが当たり前になりつつある現在、多層防御にモバイルセキュリティを組み込むことでより万全なセキュリティ体制を整える必要であると考えます。
- 三輪 賢一
- パロアルトネットワークス合同会社 外資系ネットワークおよびセキュリティ機器ベンダのプリセールスSEを15年以上経験。現在は次世代ファイアウォールおよびエンタープライズセキュリティを提供するパロアルトネットワークスでSEマネージャーとして勤務。主な著書に「プロのための図解ネットワーク機器入門(技術評論社)」がある