alt

TECHNICAL CENTER


OSが提供する公私分離機能とは

2016-02-20
MDM



PDFをダウンロードする

BYOD端末(個人所有端末の業務利用)に必要な要件は、公私分離です。企業の情報資産と個人の情報資産を完全に分離し、かつデータのやり取りも出来ないようにします。iOS5以降、Android 5以降、Windows 10以降、これらのOSに公私分離機能が追加されました。

公私分離の概念図

tech_mdm02_01

iOSの場合
iOSでは、MDMから配布したものを企業のIT管理者の管理対象にすることで、公私分離を行います。個人が行った設定、個人がダウンロードしたアプリは個人の情報資産になり、企業のIT管理者がMDMで配布したもの(設定、電子証明書、アカウント、ドメイン、書類)は企業の情報資産になります。MDMで配布したものは、MDMで削除できます。これは、プライバシー保護の点で最も重要なポイントです。個人の情報資産には手を付けず、企業の情報資産だけを遠隔から消去できるからです。これまでのリモートワイプは、会社の情報資産を消すために、個人の情報資産も含め、全ての情報が消えてしまいます。そのためBYODの場合、必要な場合には端末を全部消去すると従業員に同意を取っていました。

また、利用者がMDMの管理下から逃れようと、MDMを削除した場合には、MDMが配布した企業の情報資産だけが自動的に消去され、自動的に企業情報にアクセスすることはできなくなります。これは、社員が辞めた場合にいちいちアカウントを停止・削除しなければならない、これまでの方法に較べ管理が簡単です。iOS5では設定、電子証明書(狭義のMDM)、iOS6ではメール等のアカウント、アプリ(狭義のMAM)、iOS7ではコンテンツ、ブラウザ(狭義のMCM)が、MDMで配布され、企業のIT管理者が管理対象にできる範囲が拡大されました。

それまで、個人で使うアプリと仕事で使うアプリは別のアプリを使うのが当たり前でした。個人では無料のDropBoxを使うが、仕事では、有料のBoxを購入するといった具合です。そのため、MDMベンダの中には業務専用アプリ(セキュアメール、セキュア予定表、セキュア連絡先、セキュアブラウザ、セキュアドキュメントビューア)を作った会社もあります。しかし、これらの独自開発アプリがいつも使い慣れたそうしたアプリよりも使い易く、便利なことは非常に稀です。Apple(Google、Microsoftも同様)製のメールや予定表、連絡先、ブラウザよりも優れたアプリを作れる会社はそう多くはないからです。

Apple製のメール、予定表、連絡先、ブラウザを、管理対象に指定し、公私分離が可能になると、MDMベンダの提供する業務専用アプリ(セキュアメール、セキュア予定表、セキュア連絡先、セキュアブラウザ、セキュアドキュメントビューア)が不要になります。また、面倒なために普及しなかった独自のコンテナ化ラッピング技術も不要になってしまいました。これらは、多くのMDMベンダにとって不都合な真実のため、MDMベンダ自身が公表することはありませんが、Apple(Microsoftも)は自社のホームページで、もう面倒なコンテナ(MAM)を使わなくて済むようになったと書いています。

特に、ラッピング技術は、App Storeの他社製アプリを改造し、インハウスエンタープライズアプリとして配布できるので、悪意のある人間が利用すると、アプリを改ざんすることが可能になります。そこで、iOS9以降、Appleはアプリ開発に必要なiDEP(iOS Developer Enterprise Program)契約を大幅に見直し、他社製のアプリを改変し、インハウスエンタープライズアプリとして使うことを禁止しました。また、iOS9からは、新しいエンタープライズApp作成者の信頼を禁止することが可能になりました。この機能を使えば、Appleの審査を受けない、いわゆる「野良アプリ」のインストールを禁止できます。これにより、中国で発見された偽App Storeアプリもブロックすることができるようになりました。

管理対象に指定して、公私分離する
iOSのアップデート毎に、「管理対象」になるものが増えてきました。プロファイル(パスコードポリシー、制限、Wi-Fi・VPN設定、電子証明書など)、アカウント(メール、予定表、連絡先)、アプリ(インハウスエンタープライズアプリ、App Storeアプリ)、ドメイン(ブラウザのアクセス先)、メディアコンテンツ(iBook内のブック)です。

tech_mdm02_02

Androidの場合
Googleは、2014年6月の発表と違って、サムソン製のKnoxをベースにするのではなく、2014年5月に買収したDivideという会社のコンテナ化技術(MAM:Mobile Application Management)をAndroid 5.0に組み込みました。Androidの公私分離は、海外のMDMベンダが買収した一般的なMAM製品と同様のコンテナ化方式です。iOSやWindows と違って、OSにMDMクライアントが組込まれていないAndroidでは、最初にMDMクライアントアプリをインストールする必要があります。

OS提供のコンテナ方式(Android for Work)
Android 5では、MDMにProfile Owner(プロファイルの所有者)という新しい管理権限が導入されました。Profile Owner(プロファイルの所有者)は、Work Profile(仕事用プロファイル)を作成できます。Work Profile(仕事用プロファイル)は、端末ユーザのPersonal Profile(個人用プロファイル)に関連付けられた管理対象の企業プロファイルです。Work Profile(仕事用プロファイル)で分離された領域をAndroid for Workと呼びます。仕事用領域(Android for Work)と個人用領域(Android for Personal)はOSレベルで実現されるので、一般的なMDMベンダのコンテナ技術(MAM)よりも優れています。Googleは、2014年5月に買収したMAMベンダ(Divide)のコンテナ化技術をOSに組込むことで、OS自身で公私分離を実現することに成功しています。しかし、一方でコンテナ化技術を使ったMAMベンダを買収して、BYOD機能を強化してきたMDMベンダにとっては、Android for Work対応は悩ましい問題です。

Android for Workに対応した端末はまだ多くありませんが、対応端末が徐々に増えているので、今後はBYOD利用だけでなく、Android端末も会社支給端末で本格的なビジネス利用が可能になります。

tech_mdm02_03

同じ端末に個人用と仕事用の領域を作る

Android for Work(仕事用領域)内では、企業のアカウント、アプリ、データはIT管理者の管理下に置かれ、MDM経由で配布されます。デフォルトでは、事前に設定済みの仕事用アプリ(Google Play for Workを含む)がWork Profile(仕事用プロファイル)で有効になり、個人用アプリランチャーの末尾にバッジ付きの赤いブリーフケースとして表示されます。

tech_mdm02_04

Windowsの場合
公私分離機能が実装されたのは、Windows 10からです。Windows 8.1まで、Windows OSには、公私分離という概念は存在しません。Windows OSは、社内利用が前提で、ファイアーウォールで守られ、メールやブラウザからダウンロードされたファイルはマルウェアソフトで守るOSでした。そのため、通常は、社外への持ち出しや社内へのアクセスは禁止され、許可される場合も、VPN経由でThin Client利用だけでした。

公私分離はWindows 10から可能に
Windows 8.1で提供されたMDM機能は、①パスコードポリシーを強制すること、②リモートロック、③社内ネットワークに参加(Workplace Join)する機能だけです。MDMに登録すると社内のネットワークに参加し、社内のリソースやサービスにアクセスできます。MDMの管理下から外れると、社内のリソースやサービスにアクセスできなくなります。Windows 8.1からは、MDMクライアントがOSに組み込まれたため、端末にMDMクライアントのインストールは必要ありません。

tech_mdm02_05

Windows 8.1までの端末は、iOSやAndroidと較べると、外に持ち出すには機能が不足しています。Windows 10は、Windows Phone 8.1をベースにした新設計のOSで、レガシー機能をマージしながらも、大幅にサイズダウンした新OSです。Microsoft史上初めての公私分離は、Windows 10から実現されます。Windows 10の公私分離方式は、Android OSのようなコンテナ方式(Android for Work)ではなく、iOSと同じ、アプリやコンテンツを会社用と個人用に分類する個別指定方式です

tech_mdm02_06






Copyright© BizMobile Inc. All Rights Reserved. BizMobile株式会社
alt