モバイルアプリの業務利用。セキュリティを確保する4つの考え方とは?


読者の皆様、SAPジャパンの井口です。「モバイルアプリケーション開発プラットフォーム選定の10のポイント」では、モバイルアプリケーションの基盤となるモバイルアプリケーション開発プラットフォームについてお話させていただきました。このプラットフォームの最も重要な機能の一つが、「BYOD(私物デバイスの業務利用)で考慮すべきこととは?SAPが実践するモバイル活用」でも述べた、”セキュリティ”になります。

セキュリティ確保は企業のモバイル活用の基本中の基本

企業情報をモバイルデバイスで持ち出す、モバイルデバイスから情報を更新できたほうがいい、ということを否定する人はいないと思います。(強制されないのであれば)
ただ、その際の最大の懸念事項が、個人情報に代表される企業情報の漏えい、つまり情報セキュリティ管理になります。
一言に情報セキュリティといっても様々な考え方や方法がありますので、今回はそれらについて整理してみたいと思います。

セキュリティと利便性の両立

やみくもに保護をかける、例えば情報にアクセスできるようにする際、認証などにいくつもの操作が必要になってしまうと、モバイルデバイスのいいところである機動性がなくなるどころか、結局使われなくなり本末転倒になります。

まず、原則に立ち返ると先の個人情報の例にあるように、守るべきはモバイルデバイス自身でもなければ、アクセスするまでの手段でもなく、その先にある「データ」になりますので、データを保護するためにどのようなポリシーでどのように運用やシステムで対応していくべきか、という視点で検討してく必要があります。また、BYODのケースだと企業の情報とプライベートな情報の分離という観点も必要になります。

そこでまず思いつくのは、シンクライアント技術です。シンクライアントはオンラインアクセスが前提で、且つ基本的に端末にデータを残さない、また既存のシステムインフラを活用できるので手っ取り早く対応することもできます。

弊社もタブレットからシンクライアント経由で会社のデスクトップにアクセスできる環境を提供しています。

シンクライアントは自宅やオフィスなど、ネットワークが安定していて落ち着いた場所で操作する分にはかなり便利ですが、モバイルデバイスのいいところである「少し空いた時間に何かをする」のが難しくなる傾向があります。例えば、電車で移動中に何かを見るにしてもいちいちユーザーIDやパスワードを入力するもの大変ですし、さらに電波が不安定な状態だとろくに情報も見られず、効率化どころか逆にイライラしてしまうケースがあると思います。


スマートフォンやタブレットなど、 コンシューマーの世界でオンラインのブラウザだけでなく、アプリケーションがこれだけ開発されて普及している背景も、こういったスマートフォンやタブレットならではの利便性が期待されているという裏返しだと思います。

したがって、企業でもこのモデルを追随したいところですが、エンタープライズはコンシューマー以上にセキュリティを考慮する必要があるので、エンタープライズモバイルアプリケーション固有のセキュリティ管理が必要になります。

データの保護を可能にする4つの考え方

では、利便性を確保しながらセキュリティを確保する、つまりモバイルアプリケーションで企業のデータにアクセスしながらセキュリティを確保するには、大きく以下4つの考え方に分類されます。これらの③と④に目が行きがちですが、①と②も大切だと思います。

①   企業のバックエンドシステムへのアクセス
単なるユーザーレベルのデータアクセス管理ではなく、どのユーザーがどのデバイスモバイルアプリケーションからどのデータにどのデバイスでアクセス可能かを管理する、モバイルアプリケーション固有のアクセス管理が必要になります。

②   バックエンドシステムとモバイルデバイスの通信
これは当たり前のことではありますが、データ通信も暗号化などでセキュリティを保つ必要があります。一つの方法としてはVPN接続をし、モバイルデバイス自身を社内ネットワークと同じ状態にして通信のセキュリティを保つという方法もあります。

また、使い勝手を重視すると3G/パブリックWifiなどの公衆通信でもセキュアにデータ通信する方法も必要になります。この場合は、キャリア各社が提供する企業向けセキュア通信の仕組みを使う方法や、リバースプロキシを経由してアクセスする方法などがあります。

③   モバイルアプリケーションとそのデータ保護
JailbreakなどによりOSの保護状態を解除しての情報アクセス、またはマルウェアなどの悪意のあるアプリケーションからアプリケーションの情報を保護するために、アプリケーションに不正にアクセスできない仕組みや、外部からの攻撃に備え、アプリケーション内のキャッシュやデータの暗号化を行う仕組みが必要になります。また、モバイルデバイス管理でソフトウェアのJailbreak検知機能も活用できます。さらには、企業独自のアプリケーションを配布できるアプリケーションストア機能も、アプリケーションが不必要に流通するリスクを防ぐために重要になります。

④   デバイス自身の保護
デバイスが紛失、盗難された場合を想定して、他者が安易にデバイスを操作できないようにするために、オートロックまでの時間やパスコードの強制やパスコードルールの設定も大事になると思います。③のようにアプリケーションで保護しているから大丈夫、というケースもあるかもしれませんが、OS標準のメールや予定表からActiveSyncなどを使って企業のグループウェアに接続する場合は、紛失時にいきなり情報を参照されないためにも、証明書の管理やデバイスのロック、暗号化は必要不可欠です。またJailbreakを検知した場合に、リモートワイプやメール・アプリケーションのアクセス権をサーバー側で削除できるようにするためにも、MDM(モバイルデバイス管理)によるデバイス管理やモニタリングは不可欠です。

裏を返すと、MDMだけでいいケースもありますが、MDMはOSやハードウェアによってできることが異なり、OSとMDMだけでは限界があるケースもあるので、モバイルで情報活用を進めていくためにはMDMだけではなく①~③の考え方も必要になります。

手前味噌ですがSAPのモバイルプラットフォームは上記4つの観点でセキュリティ確保の仕組みをトータルで提供しています。(下図)

※図中にAESという言葉がありますが、Advanced Encryption Standardの略で米国商務省標準技術局(NIST)によって制定された、米国政府の新世代標準暗号化方式です。強度は128bitから256bitまであります。AES 256bitは未だ破られていないため、図中は参照不可能という表現にしています。

また、「各種業務を1,000のモバイルアプリでもっとインスタントに、もっとオンデマンドに」で作成されるモバイルアプリはこのSAPのモバイルプラットフォーム上で構築されているので、アプリケーション、データのセキュリティに悩むことはなく、単一のプラットフォームとその運用でセキュリティを担保できるのも一つの特徴且つメリットになります。

ぜひ、今後展開されていくモバイルアプリケーションにご注目ください。皆様も「あ、このアプリだったら使えるかも」というアプリが出てくると思います。

「こんなの欲しい」というアイディアあればぜひ私か弊社社員、またはパートナー企業までご要望いただければと思います。もちろん、ユーザー企業自身で作ることもできます。

SAPのモバイルソリューション詳細はこちら からご覧いただけます。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881(受付時間:平日 9:00~18:00)