503LV とEMS で実現する、
Office 365 のセキュアな活用方法
2017年 6月19日、23日 ソフトバンク株式会社 法人事業統括 クラウドサービス統括部 伊藤 寛➢ はじめに
➢ 503 LV(Windows 10 Mobile)のご紹介
➢ EMSとは
Intune
Azure Active Directory
Azure Information Protection(RMS)
ソフトバンクの法人ソリューション PHS データ ネットワーク クラウド Surface iPhone/iPad Android 固定電話 デジタル販促
貴社のコスト削減や業務改革を実現
モバイル 5新事業領域
新規ビジネスにも事業拡大中
Predix
Pepper
Watson
IoTによる データ分析・予測 経験から学習する 人工知能型システム 世界初の 感情認識ロボット 6ソフトバンクは、
J.D. パワーの顧客満足度調査で
No.1を受賞
クラウド型グループウェア 導入ベンダーセグメント ※J.D. パワー“クラウドサービス提供事業者顧客満足度No.1<クラウド型グループウェア導入ベンダーセグメント>“ 出典:2016年日本クラウドサービス提供事業者顧客満足度調査。クラウド型グループウェアを導入している従業員50名以上の企業585社からの回答による。japan.jdpower.com ※ソフトバンクはJ.D.パワーのクラウドサービスに関する顧客満足度調査で2年連続No.1を受賞いたしました 7ソフトバンクが実践する
働き方
〜オフィスワーク/テレワークオフィスワーク テレビ会議 固定電話の廃止 チャット 1人1台スマホを配布 出張することなく 遠隔でテレビ会議 情報共有 チーム内で必要な情報を スムーズに共有 スピーディな コミュニケーション 勤務時間の多くを占めるオフィス業務を大幅に効率化 日頃のオフィスワークにも、ICTをフル活用 9
メール/カレンダー チャット オフィスに戻ることなく メール返信 情報収集 商材やサービスの情報を スピーディに取得 遠隔からでもシームレスに コミュニケーション テレワーク 〜モバイルワーク スマホやタブレットで、外出先から業務を実施 外出時間を有効活用することで、無駄な時間を削減 SFAなどの社内システムに セキュアにアクセス 案件管理 ※テレワークとは「tele=離れた場所で」「work=働く」という意味の造語で、ICTを活用した、場所や時間にとらわれない柔軟な働き方を意味します 10
ソフトバンクは様々な働き方を
自社で試しながら、改革を進めています
Office Mobileアプリ標準搭載 マイクロソフトの多彩なアプリ 〜スマホでPowerPointやExcelが利用可能 〜Skypeなどのビジネスアプリも利用可能 〜注目のContinuumにも対応 最新のWindows OS搭載
2016年11月11日リリース!
Windows 10 mobile初のキャリア端末
SoftBank 503LV デバイスの特長
持つ喜び Luxury Design 薄さ7.7ミリ 軽量143グラム 手の平サイズ 5インチディスプレイ 明るい場所でも認識しやすい NTSC 比 70% Display管理者が コントロール することも可能※ Wi-Fi 接続時のみ アップデートを許可 する設定も可能 複数のバージョンの OS が混在する心配なし Windows PC と まとめて 管理も可能
※Windows 10 Mobile Enterprise のライセンスが必要となります
メーカー依存 など無し
OSバージョン対応のメーカ依存無し
Current Branch for Business (CBB)
ビジネス ユーザー向け 常に最新の機能を提供
常に最新のセキュリティー更新を提供 企業向けのアップデート コントロール
準備 やられないようにす る 防御力向上 検知・分析 やられている事をす ぐに検知する 検知分析 根絶・復旧・ 封じ込め やられても被害を小 さくする 被害軽減 事件発生後の 対応 やられた後でも、情 報を保護する 事後対応 Windows Hello Microsoft Passport Windows Defender Windows Defender Advanced Threat Protection
ロックダウン機能 AppLocker Device Guard Credential Guard
BitLocker(端末紛失時) Enterprise Data Protection*
リモートワイプ
デスクトップと同一ユーザーインターフェイスを採用し、 複数端末利用時でも違和感なくご利用いただけます。
インターフェース
アプリ
!注意!PCと全く同じように使える機能ではありませんので、 PC置き換えとしての503LV提案はお控えください。 ディスプレイに接続することにより、 大画面でのWEBブラウジングやファイルの編集が可能 画面出力中も 通話可能 ※専用のコネクタが別途必要になります。
デバイス 503LVなら、ソフトバンクが導入前から導入後まで、 フル活用に向けてサポートします 導入 キッティング 故障/紛失時 の保証 ヘルプデスク 活用支援 /効果検証 端末の一元管理 セキュリティ設定 運用 紛 失 活用
キャリア端末ならではの安心サポート
ソフトバンク だけ Windows 10 mobileは ※お客様ごとにお見積りいたします。故障/紛失時の保証サービスも充実 1回交換で代替機交換もできるから、業務支障無し! ソフトバンク だけ Windows 10 mobileは
キャリア端末ならではの安心サポート
故障修理費 不要 (最大47,619円→0円) ※税抜 紛失時損害金 不要 (最大50,000円→0円) 電池パック 交換手数料 不要 (実費→0円) 475円/月で (税抜) ※不課税 ※レンタル保守パックへご加入いただけるタイミングは、新規契約/機種変更契約時のみです。 レンタル保守パック(S) レンタル保守パック(S) 1台あたりEnterprise Mobility +Security (EMS)とは
EMSはクラウド時代の先駆的
セキュリティーサービスのパッケージです
Microsoft Intune Microsoft Azure Active Directory Premium Microsoft Azure Information Protection “デバイス”を管理 “ヒト”を管理 “データ”を管理情報・コミュニケーションのHUB
個人端末 業務端末
純正アプリ ドキュメント 写真 動画 メール サードパーティアプリ ブラウザ あらゆる端末で、あらゆる情報の取り扱いが可能Office 365 利用にあたっての課題 お客様社内 クライアント 情報共有
便利な反面、多くのリスクが存在
デスクトップ ノートPC スマホ/タブレット 誤操作 ・一人歩き 不正アクセス 端末紛失セキュリティインシデントの原因 日本ネットワークセキュリティ教会「2015年情報セキュリティインシデントに関する調査報告書」より引用 30.40% 25.80% 18% 8.00% 17.80% 紛失・置き忘れ 誤操作 管理ミス 不正アクセス その他
それでは、どのようにOffice 365 の
セキュリティを担保するのか?
EMSによる課題解決
EMSでリスクを低減
お客様社内 クライアント 情報共有 デスクトップ ノートPC スマホ/タブレット Azure Information Protectionでデータを 保護、追跡、回収 Azure AD Premiumで 個人認証を強化 Intuneで端末のセキュリティー強化Office 365 にとってのEMSの位置づけ デバイス の保護 ヒト(認証) の保護 データ の保護 Office 365 簡易的なデバイス 管理機能 Azure Active Directory Free RMS(一部の製品 のみ トラッキング は不可) Enterprise Mobility + Security E3 Intune Azure Active Directory Premium P1 Azure Information Protection Premium P1 Enterprise Mobility + Security E5 Azure Active Directory Premium P2 Azure Information Protection Premium P2 E3、特にデバイス関連の機能を中心に説明します
MDM機能 30 マルチデバイス対応 ポリシーによる制限 機能が豊富 アプリストア 禁止 カメラ 禁止 MicrosoftのMDMサービス「Intune」で端末を一元管理
iOS Android Windows対応 1ライセンスあたり15台
利用可能
アプリ配信機能充実
端末の私的利用防止 管理画面から選択した
ポリシー適用 カメラ禁止 31 アプリストア禁止 パスコード強制
各端末でポリシーを適用
アプリ配信機能
管理者がアプリを一元管理
各デバイスにアプリ配信
32
遠隔消去 33 利用者から紛失・故障申告 管理者からリモートタスクを実行 遠隔消去 端末初期化 情報漏えい 紛失・盗難 選択的ワイプ or フルワイプ選択可能 ポータルサイトからセルフワイプも可能
(有償オプション)紛失時のワイプ代行(200円)
Enterprise Mobility Suite / Intuneに有償オプションとして ワイプ代行窓口(24時間365日)を追加したいと考えています。 ①法人のお客様 ②クラウドサービスデスク ③ソフトバンク倉庫 オペレーターが電話一本で受付 紛失したモバイルデバイスのデータを消去及び回線停止 代替機を用意し、お客様へ送付 モバイルデバイスの紛失・盗難の発生 24時間365日の 即時対応 ※代替機の手配については、ソフトバンクによりレンタルもしくは販売された端末のみを対象とします。 ※レンタル端末の代替機の手配は、レンタルサービス規約に従います。売り切り端末につきましては、代替機をご購入頂く必要があります。 消去 PCに残ったデータ・ファイル
しかし、MDMだけでは十分ではありません! 35 端末内情報流失 1 個人端末から企業アプリにログイン 企業データを個人 Dropboxに転送 ID、PW入力 どの端末からもログ インされてしまう 2
よりセキュアなOffice 365 利用のために
36
条件付きアクセス
・セキュリティレベルに応じてログイン制御
企業データの保護機能
・Windows 10 : Windows Information Protection ・iOS, Android : MAM
アプリケーション制御の全体像
37
アクセス
企業データの保護=MAM/Windows information Protection
アクセス アクセス 条件付きアクセス制御 アクセス 企業データを個人 Dropboxに転送 会社:セキュリティ違反 個人端末 会社端末 個人端末:企業領域 個人端末:個人領域
条件付きアクセス 38 ✔ドメイン参加していない 端末からのアクセス禁止 MDMに管理されていない端末からの アクセスを禁止する ✔セキュリティレベルの低い 端末からのアクセス禁止 設定したポリシーに準拠していない端末の アクセスを禁止する ✔対象OS選択可能 対象OSを選択し、アクセスを禁止する 条件付きアクセスによる制御
企業データの保護機能概要 個人領域 企業領域
×
・ 端末内に企業領域を生成 ・ 企業領域と個人領域間の コピー&ペースト、データ転送を制御 ・ 企業領域内のデータは自動暗号化 ・ 企業領域のみ遠隔消去することも可能Windows Information Protection 40 ✔アプリ間のデータ転送禁止 企業データを個人領域に転送禁止 MAMで管理されているアプリ同士のデータ転送可能 ✔制御する範囲の指定可能 IPを設定しアクセス制御する範囲を指定 社外からの接続を制御 ✔全アプリ対象 データ転送、コピー&ペーストを用いるアプリを対象
Windows端末のMAM制御機能
Windows 10MAM 41 ✔アプリ間のデータ転送禁止 企業データを個人領域に転送禁止 MAMで管理されているアプリ同士のデータ転送可能 ✔PIN設定可能 アプリログイン時にPIN入力強制 ✔BYOD対応 個人端末でMAM制御可能 MAM制御結果 iOS Android
Azure Active Directory 多要素認証 Step 1 パスワード入力 Step 2 - 会社固定電話の音声) ー SMS ー メール ー 専用アプリによるワンタイム パスワード 事前に登録したデバイスを 保持しているかの確認
Windows PCをAzure AD Joinさせることにより、 端末にサインインした後、SaaSアプリへのサインインの際に ID/PWの入力が不要に ドメイン参加(Windows 10のみ) 自動的に サインイン サインイン 端末へのサインインにWindows Hello機能 を使うことでさらにセキュリティ強化が可能
Azure Information
Protection
簡単にアクセス権限設定が可能
アクセス制限の設定【Azure RMS】 ドキュメント・トラッキング機能
ファイルのトラッキングが可能
場所別
配布済みファイルのアクセス権の取り消し