IBM Endpoint Manager
を活用した
エクサ流BYODの取組み
株式会社エクサ
情報システム部
目次
はじめに
第1章
BYOD導入のメリットとデメリット
第2章
エクサ
BYOD導入事例紹介
第3章
エクサ
BYODのセキュリティー対策
第4章
エクサ
BYODで導入したMDMツール
おわりに
はじめに
1章
BYOD導入のメリットとデメリット
1.
BYODとは
2.
個人所有と組織貸与デバイスの違い
3.
BYOD導入のメリット
BYODとは
•
BYOD (Bring Your Own Device)
–
個人が私物のノート
PCやスマートデバイスを会社などに
持ち込み業務に使用する
•
スマートデバイス
–
スマートフォンやタブレット端末を総称する呼び名
•
BYODに関心が高まっている理由
–
スマートデバイスの急速な浸透、拡大
–
働き方の多様化、さまざまなメリット
BYOD(個人所有)と組織貸与デバイスの違い
組織側の一方的な指示は困難
•
利用者の意思を尊重
BYOD 組織貸与デバイス 端末の所有者 個人 企業 業務で利用する端末 任意 企業が機種を選定 通信、通話コスト 個人負担 企業負担 アプリケーションの私的な登録 等 任意 禁止 端末の管理 端末に応じて検討 集中管理業務効率化
コスト削減
利便性向上
•使い慣れた個人端末利用により生産性向上 •使い慣れた個人端末利用により「従業員満足度の向上」 •意思決定の迅速化 •企業の業務用端末の購入コスト削減 •企業の費用補助により個人の端末維持コスト削減 •個人用と業務用の端末2台持ち不要 •「いつでも」「どこでも」働くためのベース構築可能•BCP(Business Continuity Plan)対策
BYOD導入のデメリット
マルウェア感染
紛失・盗難
管理コスト増加
•多種多様なデバイスのセキュリティ確保
•マルウェア感染による企業内への拡散
•企業情報の外部への漏洩リスク
•不正利用不正アクセスのリスク
•多種多様な端末への対応の手間が増加
・セキュリティ担保のためのコストの増加
BYODメリット&デメリットの比較結果
•
マルウェア、情報漏えいに関して適切な対応
が可能である
第2章
エクサBYOD導入事例紹介
1.
エクサBYOD導入の目的
2.
エクサBYOD導入の対象範囲
事例紹介に入る前に、
エクサBYOD導入時の検討ポイントを紹介
2 .対象範囲 • 対象者、対象業務 • 対象システム、アクセスレベル 3 .セキュリティ(3章) • 社内規定の調整 • 端末、システム、通信保護 4.プライバシー保護(3章) • 管理レベルの設定 • 労務管理 5 .運用方法 • 業務フロー • システム運用 6 .コスト • 教育、サポート • 検証、運用管理 1.目的 • 明確な動機 • 期待する成果エクサBYOD導入の目的
■
社内からのビジネス適用要望に応える
■
経営層からも検討指令あり
■
シャドー
IT拡大による情報漏えいリスクを抑える
■
シャドー
IT:
1)私物端末の業務利用不認可に反し、従業
員が私物端末を業務利用するケース、
2) BYOD利用規
定を定めないで私物端末を業務利用するケース
■
企業として
BYODを積極的に是認し、企業と社員
双方にメリットをもたらす結果を得る
1.目的エクサBYOD導入の概要
1.
適切なセキュリティ対策を実施する
2.
まずはスマートデバイスを対象とする
–
PCは対象外
–
常時稼動、常時接続のため圧倒的な効率アップ
を生み出せる可能性あり
3.
対象機種を
iOS系に限定する
–
AndroidはOSのバージョン、機種が多様
–
サポート体制、セキュリティレベル確保、
VPN接
続条件を考慮
利用可能な社内システム
•
2012年6月サービス開始
–
メール
–
スケジュール
•
Cybozu
Garoon
•
スマホアプリ
Cybozu
Garoon -KUNAI
•
2012年8月サービス開始
–
社内
SNS(OpenPNEをスマホ用に改造)
•
2013年5月サービス開始
–
イントラ
webページ
–
e-ラーニングシステム
2.対象範囲BYODサンプル画面①_メール
BYODサンプル画面②_スケジュール
グループウェア
Garoonのスマートフォン向け
アプリケーション『サイボウズ
KUNAI』から利用
BYODサンプル画面③_社内SNS
BYODサンプル画面④_イントラwebページ
BYODサンプル画面⑤_ e-ラーニングシステム
iOS
safari
から利用
2.対象範囲第3章
エクサ
BYODの
セキュリティー対策
3.1
2つの遵守すべき規定の確認と調整
3.2
IBM 情報セキュリティ規定への対応
3.3
エクサのBYODセキュリティー対策
3.4
BYODプライバシー情報対策
3.5
エクサのBYODポリシー
2つの遵守すべき規定の確認と調整
1.
IBM
の情報セキュリティ規程
–
IBMグループの全従業者が遵守するべきルールのうち
PCやポータブル記憶媒体についての情報セキュリティ
規程に対応する方針
2.
社内情報セキュリティ規程
–
本試行に合わせて同規定の変更はしない
–
本格適用の時に
同規定の変更を検討することにした
BYOD試行のルール エクサのセキュリティレベル (社内規定) IBMグループ共通に遵守すべき 情報セキュリティー規定 3.セキュリティ3.2 IBM情報セキュリティー規定への対応
IBM情報セキュリティー規定の要求項目抽出
•
パスワード設定
–
始動/ハードディスク/キーボード・スクリーンロック
•
セキュリティー関連アプリの導入
–
アンチウイルス・プログラムの導入
–
セキュリティ・ファイヤーウォールの導入
•
外部接続・リモートアクセスの制限
•
適切なセキュリティ・パッチの適用
•
機密情報の保護
–
ポータブル記憶媒体の暗号化
等
•
セキュリティ事故報告の義務
BYOD試行のルール エクサのセキュリティレベル (社内規定) IBMグループ共通に遵守すべき 情報セキュリティー規定 3.セキュリティエクサの対策内容 重み 対応策 MDM 利用 IBMルールに準拠したパスワードを設定 する(8桁以上、英数混在、大文字使 用) Must IBMルール詳細の 確認要 ○ タイムアウトやロックアウト機能の設定 とパスワードの要求 30分以内で、タイムアウトやロックアウ ト機能の設定し、パスワードを要求する Must iOS機能 ○ 10回アクセス失敗時はデータ削除 or ローカルワイプ(iPhone想定) Must iOS機能 ローカルワイプ方式 ○ 可能なら両方 Better iOS機能 ○ パスワード・プロンプト表示間隔の延長 Better iOS機能 ○ 3.2 IBM情報セキュリティー規定への対応
IBM情報セキュリティー規定への対策
MDMMobile Device Management (モバイルデバイス管理)の略
3.2 IBM情報セキュリティー規定への対応
MDMツールによるIBM情報セキュリティー規定対応を評価
•
エクサ業務利用に関係する項目15項目程度を評価
•
必須要求項目の内、全項目についてMDMツールの
適用を含めた対応でクリアできると判断
•
MDMツールの導入を決定した
3.セキュリティ3.3 エクサのBYODセキュリティー対策
何を守るか
1.
お客様を守る
•
お客様情報、プライバシー情報
2.
会社を守る
•
機密情報、信用・信頼
3.
社員を守る
•
セキュリティ違反行為防止の仕組み
4.
プライバシー情報を守る
BYOD試行のルール エクサのセキュリティレベル (社内規定) IBMグループ共通に遵守すべき 情報セキュリティー規定 3.セキュリティ3.3 エクサのBYODセキュリティー対策
スマートデバイスの位置づけと特性の把握
• スマートデバイスの位置付け 「情報参照用端末」として位置づける • スマートデバイスのセキュリティリスクを認識する 1. PCよりも携帯性に優れているが盗難・紛失リスクは高い 2. iOSはiTunes、iCloud、各種通信機能の利用が可能→個人所有のため制限は困難であり利用状態も捕捉で
きない
• コストミニマム、早期試行スタートを優先とするセキュリティ対策 1. MDMツール導入によりセキュリティポリシーを強制適用 2. 社内環境へのセキュアなアクセス経路の確保 3. デバイスに業務情報を保管しない仕組みの整備が理想だが次 フェーズの課題とする 3.セキュリティ3.3 エクサのBYODセキュリティー対策
セキュリティリスク対策(1/2)
1
.社内システムへのリモートアクセス
2.スマートデバイスからのインターネット利用
リスク項目 対応策 許可していない従業員や第三者の 社内システムへの接続 アクセスを会社公認VPNに限定 電子証明書によるデバイス認証 リスク項目 対応策 不正アプリケーションのダウンロード •JailbreakをMDMで検知(禁止) フィッシング ・iPhoneの『詐欺サイトの警告』機能を 有効化 3.セキュリティ3.3 エクサのBYODセキュリティー対策
セキュリティリスク対策(2/2)
3.デバイス単体のリスク
リスク項目 対応策 盗難・紛失 •位置追跡、遠隔ワイプ、遠隔ロック、ログイン 連続失敗時のデバイス初期化 外部記憶装置(PCなど)経由でのマ ルウェア感染 •外部デバイス側のウィルスチェックの励行を 求める 機種変更・機器故障 •デバイス初期化と管理者による端末確認 3.セキュリティMDMツール導入でセキュリティリスクに対応
・対応項目
1.
紛失・盗難時の情報漏えい対策
2.
初期設定の定義ファイル配布
3.
セキュリティポリシーの適用
4.
資産管理
•
MDM機能
1.
モバイルデバイス情報の一元管理
2.
インベントリ情報の収集
3.
紛失/盗難/セキュリティリスク対応
(リモートワイプ、リモートロック、位置検知等)
4.
デバイスの各種定義の遠隔設定
重要なデータを保護・管理する仕組みをつくり
安心して利用してもらうためにMDMツールを導入しました
3.セキュリティ3.4 BYODプライバシー情報対策
利用者のプライバシー情報の扱い1/3
BYODの『プライバシー情報』とは
1.
携帯電話番号、メールアドレスなどの個人情報
2.
機体番号、利用アプリケーション等の端末情報
3.
位置情報、利用履歴等のログ情報
4.プライバシー保護3.4 BYODプライバシー情報対策
利用者のプライバシー情報の扱い2/3
エクサBYODでのプライバシー情報取得方針
1.
不要なプライバシー情報は取得しない
2.
取得するプライバシー情報を利用者に説明する
3.
取得したプライバシー情報の扱いを利用者に明示
4.プライバシー保護3.4 BYODプライバシー情報対策
利用者のプライバシー情報の扱い3/3
1.
デバイス基本情報
–
定期自動収集
2.
利用履歴等のログ情報
–
収集しない
3.
デバイス導入アプリ情報
–
収集しない
4.
位置情報
–
紛失/盗難時に本人が手動で実施
事故時のデータワイプ
4.プライバシー保護3.5 エクサのBYODポリシー
エクサBYODポリシー策定1/2(一部抜粋)
1.参加者の義務・基本遵守事項
•
本人以外の利用を禁止
–
デバイスは本人の名義であること
–
第三者への貸与は禁止する。
•
デバイスへの電子証明書の導入
–
許可デバイスであることの証明として電子証明書
を導入する
•
パスコードルールの遵守
など
BYOD試行のルール エクサのセキュリティレベル (社内規定) IBMグループ共通に遵守すべき3.5 エクサのBYODポリシー
エクサBYODポリシー策定2/2(一部抜粋)
2.注意事項
•
デバイス内データのバックアップ
–
紛失
/盗難時のワイプに備え、プライベートデータ
のバックアップ容認
–
個人データの保管手段は
iTunes、またはiCloud
とする
3.セキュリティ事故・ルール違反への会社の対応
–
モバイル
PCと同様に報告義務あり
3.5 エクサのBYODポリシー
誓約書によるポリシー遵守の担保
誓約書の目的
1.
禁止事項、注意事項の理解とルールの遵守
2.
MDM適用・運用条件の理解
3.
社員の費用負担範囲、
MDMモジュールの導入受
入の了解
3.5 エクサのBYODポリシー
MDMツールでエクサポリシーは強制適用
1.
MDM登録時にポリシーファイルを自動配布
2.
デバイスからのポリシーファイル削除は不可
第4章
エクサBYODで導入した
MDMツール
1.
エクサBYODで導入したMDMツール
2.
IBM Tivoli Endpoint Manager
製品機能概要
3.
IBM Endpoint Manager for Mobile Devices 機能
エクサBYODで導入したMDMツール
• 製品:IBM Endpoint Manager for Mobile Devices
• MDM(モバイルデバイス管理)製品 • 特徴 – MDMツールの機能がPCやサーバの資産管理やセキュリティパッチ 管理、電源管理を行うエンドポイント管理ソフトウェア「IBM Tivoli Endpoint Manager」の1機能として提供されている
→サーバと
PC、モバイルデバイスといったすべての端
末を一元的に管理できる
– 1つの管理サーバーで25万台までのデバイスを管理できる高いス ケーラビリティーIBM Endpoint Manager ファミリー
IBM Endpoint Manager for Lifecycle Management IBM Endpoint Manager for Security and Compliance IBM Endpoint Manager for Patch Management
IBM Tivoli Endpoint Manager
製品の機能概要
エンドポイント統合管理ソリューション
IBM Tivoli Endpoint Manager 製品の機能概要
ソフトウェア配布 パッチ管理 電源管理 資産管理 ライセンス管理 ネットワーク アクセス制御 アプリケーションの制御 セキュリティ構成 脆弱性管理 アンチウィルス、 アンチスパイウェアの管理 リアルタイムで可 視化 レポートの 出力 各機能の 設定・実行 管理対象のクライアント・プ ラットフォーム Windows、UNIX、Linux、 VMware、 Android、iOSなど 1台で25万台の クライアント管理 実績 IBM Tivoli IBM Tivoli Endpoint Endpoint Manager Manager 管理サーバー 管理サーバー モバイルデバイスの管理 モバイルデバイスの管理 ・ ・
IBM Endpoint Manager for Mobile Devices の機能
(端末情報) (デバイス・ ダッシュボード) • 機器インベントリー • パスワード・ポリシー設定 • リモート・ロック • 推奨アプリケーションの通知 • アプリケーション導入状況監視 • 位置情報取得 • リモート・ワイプ • エージェント管理型– Apple iOS 4, iOS 5
– Android 2.2 以降 • メール・クライアント型 – Traveler 8.5.2 以降 – Exchange 2007 以降 提供機能 対応プラットフォーム
IBM Endpoint Manager for Mobile Devicesの利用範囲
第4章
おわりに
1.
BYOD導入のポイント
BYOD導入のポイント
1.
システムの機能でカバーできないセキュリティリスクあり
–
デバイスの共用(家族利用禁止)
–
紛失、盗難、機種変更、デバイス譲渡時の対応
2.
BYOD運用はシステムだけではできない
–
利用者のルール遵守でカバーする部分が大きい
3.
BYOD導入の前提として利用者の自覚と行動が重要
–
利用者に十分な事前説明を実施し理解と協力を得る
エクサBYODの今後
•
利用者へのアンケート調査と結果分析
•
本格展開へ積み残し課題に対応
–
デバイスに業務データを残さない仕組み
•
対象デバイスの拡大
–
Android、Windows
Phone・・・・
本資料で使用されている商標・登録商標
• IBM、Tivoliは、International Business Machines Corporationの商標または 登録商標です。
• iOSは、Cisco の商標または登録商標です。
• Androidは、Google Inc.の商標または登録商標です。
• Cybozu、サイボウズ、Garoon、ガルーンおよびKUNAIはサイボウズ株式会社の 商標または登録商標
です。
• OpenPNEは、株式会社手嶋屋の商標または登録商標です。
• iPhone、iTune、iCloudおよびSafariは、Apple Computer, Inc.の商標または 登録商標です。
• Windows、Windows Phone、Exchangeは、Microsoft Corporationの商標または 登録商標です。
• UNIXは、X/Open Company, LtdおよびAT&Tの商標または登録商標です。
• Linuxは、Linus Torvalds氏の商標または登録商標です。
