IBM Endpoint Manager を活用した エクサ流BYODの取組みIBM Endpoint Manager...
46
IBM Endpoint Manager を活用した エクサ流BYODの取組み 株式会社エクサ 情報システム部 高橋可珠
Transcript of IBM Endpoint Manager を活用した エクサ流BYODの取組みIBM Endpoint Manager...
IBM Endpoint Manager
を活用した
エクサ流BYODの取組み
株式会社エクサ
情報システム部
高橋可珠
2 Copyright © 2012 EXA CORPORATION
目次
はじめに第1章
BYOD導入のメリットとデメリット
第2章
エクサBYOD導入事例紹介第3章
エクサBYODのセキュリティー対策
第4章
エクサBYODで導入したMDMツール
おわりに
3 Copyright © 2012 EXA CORPORATION
はじめに
•
2012年6月末
iOS系デバイスでBYOD試行開始
1章
BYOD導入のメリットとデメリット
1.
BYODとは
2.
個人所有と組織貸与デバイスの違い
3.
BYOD導入のメリット
4.
BYOD導入のデメリット
5 Copyright © 2012 EXA CORPORATION
BYODとは
•
BYOD (Bring Your Own Device)–
個人が私物のノートPCやスマートデバイスを会社などに
持ち込み業務に使用する
•
スマートデバイス–
スマートフォンやタブレット端末を総称する呼び名
•
BYODに関心が高まっている理由–
スマートデバイスの急速な浸透、拡大
–
働き方の多様化、さまざまなメリット
6 Copyright © 2012 EXA CORPORATION
BYOD(個人所有)と組織貸与デバイスの違い
組織側の一方的な指示は困難•
利用者の意思を尊重
BYOD 組織貸与デバイス
端末の所有者 個人 企業
業務で利用する端末 任意 企業が機種を選定
通信、通話コスト 個人負担 企業負担
アプリケーションの私的な登録
等任意 禁止
端末の管理 端末に応じて検討 集中管理
7 Copyright © 2012 EXA CORPORATION
業務効率化
コスト削減
利便性向上
•使い慣れた個人端末利用により生産性向上•使い慣れた個人端末利用により「従業員満足度の向上」•意思決定の迅速化
•企業の業務用端末の購入コスト削減•企業の費用補助により個人の端末維持コスト削減
•個人用と業務用の端末2台持ち不要•「いつでも」「どこでも」働くためのベース構築可能•BCP(Business Continuity Plan)対策
BYOD導入のメリット
8 Copyright © 2012 EXA CORPORATION
BYOD導入のデメリット
マルウェア感染
紛失・盗難
管理コスト増加
•多種多様なデバイスのセキュリティ確保
•マルウェア感染による企業内への拡散
•企業情報の外部への漏洩リスク
•不正利用不正アクセスのリスク
•多種多様な端末への対応の手間が増加 ・セキュリティ担保のためのコストの増加
9 Copyright © 2012 EXA CORPORATION
BYODメリット&デメリットの比較結果
•
マルウェア、情報漏えいに関して適切な対応 が可能である
•
BYOD導入の検討を進めることにした
第2章
エクサBYOD導入事例紹介
1.
エクサBYOD導入の目的
2.
エクサBYOD導入の対象範囲
3.
エクサBYOD導入の概要
11 Copyright © 2012 EXA CORPORATION
事例紹介に入る前に、
エクサBYOD導入時の検討ポイントを紹介
2 .対象範囲
• 対象者、対象業務
• 対象システム、アクセスレベル
3 .セキュリティ(3章)
• 社内規定の調整
• 端末、システム、通信保護
4.プライバシー保護(3章)
• 管理レベルの設定
• 労務管理5 .運用方法
• 業務フロー
• システム運用
6 .コスト
• 教育、サポート
• 検証、運用管理
1.目的
• 明確な動機
• 期待する成果
12 Copyright © 2012 EXA CORPORATION
エクサBYOD導入の目的
■
社内からのビジネス適用要望に応える■
経営層からも検討指令あり
■
シャドーIT拡大による情報漏えいリスクを抑える■
シャドーIT:
1)私物端末の業務利用不認可に反し、従業
員が私物端末を業務利用するケース、2) BYOD利用規 定を定めないで私物端末を業務利用するケース
■
企業としてBYODを積極的に是認し、企業と社員 双方にメリットをもたらす結果を得る
1.目的
13 Copyright © 2012 EXA CORPORATION
エクサBYOD導入の概要
1.
適切なセキュリティ対策を実施する
2.
まずはスマートデバイスを対象とする
–
PCは対象外
–
常時稼動、常時接続のため圧倒的な効率アップ を生み出せる可能性あり
3.
対象機種をiOS系に限定する
–
AndroidはOSのバージョン、機種が多様
–
サポート体制、セキュリティレベル確保、VPN接 続条件を考慮
14 Copyright © 2012 EXA CORPORATION
利用可能な社内システム
•
2012年6月サービス開始–
メール
–
スケジュール
•
Cybozu
Garoon•
スマホアプリ
Cybozu
Garoon -KUNAI
•
2012年8月サービス開始–
社内SNS(OpenPNEをスマホ用に改造)
•
2013年5月サービス開始–
イントラwebページ
–
e-ラーニングシステム
2.対象範囲
15 Copyright © 2012 EXA CORPORATION
BYODサンプル画面①_メール
iOS標準メーラーから利用 2.対象範囲
16 Copyright © 2012 EXA CORPORATION
BYODサンプル画面②_スケジュール
グループウェアGaroonのスマートフォン向け アプリケーション『サイボウズ
KUNAI』から利用
2.対象範囲
17 Copyright © 2012 EXA CORPORATION
BYODサンプル画面③_社内SNS
iOS
safari
から利用 2.対象範囲
18 Copyright © 2012 EXA CORPORATION
BYODサンプル画面④_イントラwebページ
iOS
safari
から利用 2.対象範囲
19 Copyright © 2012 EXA CORPORATION
BYODサンプル画面⑤_ e-ラーニングシステム
iOS
safari
から利用 2.対象範囲
第3章
エクサ
BYODのセキュリティー対策
3.1
2つの遵守すべき規定の確認と調整
3.2
IBM 情報セキュリティ規定への対応
3.3
エクサのBYODセキュリティー対策
3.4
BYODプライバシー情報対策
3.5
エクサのBYODポリシー
21 Copyright © 2012 EXA CORPORATION
2つの遵守すべき規定の確認と調整
1.
IBM
の情報セキュリティ規程–
IBMグループの全従業者が遵守するべきルールのうち
PCやポータブル記憶媒体についての情報セキュリティ 規程に対応する方針
2.
社内情報セキュリティ規程–
本試行に合わせて同規定の変更はしない
–
本格適用の時に 同規定の変更を検討することにした
BYOD試行のルール
エクサのセキュリティレベル
(社内規定)
IBMグループ共通に遵守すべき
情報セキュリティー規定
3.セキュリティ
22 Copyright © 2012 EXA CORPORATION
3.2 IBM情報セキュリティー規定への対応
IBM情報セキュリティー規定の要求項目抽出
•
パスワード設定–
始動/ハードディスク/キーボード・スクリーンロック
•
セキュリティー関連アプリの導入–
アンチウイルス・プログラムの導入
–
セキュリティ・ファイヤーウォールの導入
•
外部接続・リモートアクセスの制限•
適切なセキュリティ・パッチの適用
•
機密情報の保護–
ポータブル記憶媒体の暗号化
等
•
セキュリティ事故報告の義務
BYOD試行のルール
エクサのセキュリティレベル
(社内規定)
IBMグループ共通に遵守すべき
情報セキュリティー規定
3.セキュリティ
23 Copyright © 2012 EXA CORPORATION
エクサの対策内容 重み 対応策 MDM
利用
IBMルールに準拠したパスワードを設定
する(8桁以上、英数混在、大文字使
用)
Must IBMルール詳細の
確認要○
タイムアウトやロックアウト機能の設定
とパスワードの要求
30分以内で、タイムアウトやロックアウ
ト機能の設定し、パスワードを要求する
Must iOS機能 ○
10回アクセス失敗時はデータ削除
or ローカルワイプ(iPhone想定)
Must iOS機能
ローカルワイプ方式○
可能なら両方 Better iOS機能 ○
パスワード・プロンプト表示間隔の延長 Better iOS機能 ○
3.2 IBM情報セキュリティー規定への対応
IBM情報セキュリティー規定への対策
MDMMobile Device Management
(モバイルデバイス管理)の略
3.セキュリティ
24 Copyright © 2012 EXA CORPORATION
3.2 IBM情報セキュリティー規定への対応
MDMツールによるIBM情報セキュリティー規定対応を評価
•
エクサ業務利用に関係する項目15項目程度を評価
•
必須要求項目の内、全項目についてMDMツールの 適用を含めた対応でクリアできると判断
•
MDMツールの導入を決定した
3.セキュリティ
25 Copyright © 2012 EXA CORPORATION
3.3
エクサのBYODセキュリティー対策
何を守るか
1.
お客様を守る
•
お客様情報、プライバシー情報
2.
会社を守る
•
機密情報、信用・信頼
3.
社員を守る
•
セキュリティ違反行為防止の仕組み
4.
プライバシー情報を守るBYOD試行のルール
エクサのセキュリティレベル
(社内規定)
IBMグループ共通に遵守すべき
情報セキュリティー規定
3.セキュリティ
26 Copyright © 2012 EXA CORPORATION
3.3
エクサのBYODセキュリティー対策
スマートデバイスの位置づけと特性の把握
•
スマートデバイスの位置付け
「情報参照用端末」として位置づける
•
スマートデバイスのセキュリティリスクを認識する
1.
PCよりも携帯性に優れているが盗難・紛失リスクは高い
2.
iOSはiTunes、iCloud、各種通信機能の利用が可能
→個人所有のため制限は困難であり利用状態も捕捉で きない
•
コストミニマム、早期試行スタートを優先とするセキュリティ対策
1.
MDMツール導入によりセキュリティポリシーを強制適用
2.
社内環境へのセキュアなアクセス経路の確保
3.
デバイスに業務情報を保管しない仕組みの整備が理想だが次
フェーズの課題とする
3.セキュリティ
27 Copyright © 2012 EXA CORPORATION
3.3
エクサのBYODセキュリティー対策
セキュリティリスク対策(1/2)
1.社内システムへのリモートアクセス
2.スマートデバイスからのインターネット利用
リスク項目 対応策
許可していない従業員や第三者の
社内システムへの接続アクセスを会社公認VPNに限定
電子証明書によるデバイス認証
リスク項目 対応策
不正アプリケーションのダウンロード •JailbreakをMDMで検知(禁止)
フィッシング ・iPhoneの『詐欺サイトの警告』機能を
有効化
3.セキュリティ
28 Copyright © 2012 EXA CORPORATION
3.3
エクサのBYODセキュリティー対策
セキュリティリスク対策(2/2)
3.デバイス単体のリスク
リスク項目 対応策
盗難・紛失 •位置追跡、遠隔ワイプ、遠隔ロック、ログイン
連続失敗時のデバイス初期化
外部記憶装置(PCなど)経由でのマ
ルウェア感染•外部デバイス側のウィルスチェックの励行を
求める
機種変更・機器故障 •デバイス初期化と管理者による端末確認
3.セキュリティ
29 Copyright © 2012 EXA CORPORATION
MDMツール導入でセキュリティリスクに対応
・対応項目1.
紛失・盗難時の情報漏えい対策
2.
初期設定の定義ファイル配布3.
セキュリティポリシーの適用
4.
資産管理
•
MDM機能1.
モバイルデバイス情報の一元管理
2.
インベントリ情報の収集3.
紛失/盗難/セキュリティリスク対応
(リモートワイプ、リモートロック、位置検知等)4.
デバイスの各種定義の遠隔設定
重要なデータを保護・管理する仕組みをつくり安心して利用してもらうためにMDMツールを導入しました
3.セキュリティ
30 Copyright © 2012 EXA CORPORATION
3.4
BYODプライバシー情報対策
利用者のプライバシー情報の扱い1/3
BYODの『プライバシー情報』とは
1.
携帯電話番号、メールアドレスなどの個人情報
2.
機体番号、利用アプリケーション等の端末情報
3.
位置情報、利用履歴等のログ情報
4.プライバシー保護
31 Copyright © 2012 EXA CORPORATION
3.4
BYODプライバシー情報対策
利用者のプライバシー情報の扱い2/3
エクサBYODでのプライバシー情報取得方針
1.
不要なプライバシー情報は取得しない
2.
取得するプライバシー情報を利用者に説明する
3.
取得したプライバシー情報の扱いを利用者に明示
4.プライバシー保護
32 Copyright © 2012 EXA CORPORATION
3.4
BYODプライバシー情報対策
利用者のプライバシー情報の扱い3/3
1.
デバイス基本情報–
定期自動収集
2.
利用履歴等のログ情報–
収集しない
3.
デバイス導入アプリ情報–
収集しない
4.
位置情報–
紛失/盗難時に本人が手動で実施
事故時のデータワイプ–
紛失/盗難時に情報漏洩防止のため実施
4.プライバシー保護
33 Copyright © 2012 EXA CORPORATION
3.5
エクサのBYODポリシー
エクサBYODポリシー策定1/2(一部抜粋)
1.参加者の義務・基本遵守事項
•
本人以外の利用を禁止
–
デバイスは本人の名義であること
–
第三者への貸与は禁止する。
•
デバイスへの電子証明書の導入
–
許可デバイスであることの証明として電子証明書 を導入する
•
パスコードルールの遵守
など
BYOD試行のルール
エクサのセキュリティレベル
(社内規定)
IBMグループ共通に遵守すべき
情報セキュリティー規定
34 Copyright © 2012 EXA CORPORATION
3.5
エクサのBYODポリシー
エクサBYODポリシー策定2/2(一部抜粋)
2.注意事項
•
デバイス内データのバックアップ
–
紛失/盗難時のワイプに備え、プライベートデータ のバックアップ容認
–
個人データの保管手段はiTunes、またはiCloud とする
3.セキュリティ事故・ルール違反への会社の対応
–
モバイルPCと同様に報告義務あり
35 Copyright © 2012 EXA CORPORATION
3.5
エクサのBYODポリシー
誓約書によるポリシー遵守の担保
誓約書の目的
1.
禁止事項、注意事項の理解とルールの遵守
2.
MDM適用・運用条件の理解
3.
社員の費用負担範囲、MDMモジュールの導入受 入の了解
36 Copyright © 2012 EXA CORPORATION
3.5
エクサのBYODポリシー
MDMツールでエクサポリシーは強制適用
1.
MDM登録時にポリシーファイルを自動配布
2.
デバイスからのポリシーファイル削除は不可
3.
ポリシーファイルを消されても再送信して再適用
第4章
エクサBYODで導入した
MDMツール
1.
エクサBYODで導入したMDMツール
2.
IBM Tivoli Endpoint Manager
製品機能概要
3.
IBM Endpoint Manager for Mobile Devices 機能
4.
IBM Endpoint Manager for Mobile Devices利用範囲
38 Copyright © 2012 EXA CORPORATION
エクサBYODで導入したMDMツール
•
製品:IBM Endpoint Manager for Mobile Devices•
MDM(モバイルデバイス管理)製品
•
特徴
–
MDMツールの機能がPCやサーバの資産管理やセキュリティパッチ
管理、電源管理を行うエンドポイント管理ソフトウェア「IBM Tivoli Endpoint Manager」の1機能として提供されている
→サーバとPC、モバイルデバイスといったすべての端 末を一元的に管理できる
–
1つの管理サーバーで25万台までのデバイスを管理できる高いス
ケーラビリティー
IBM Endpoint Manager ファミリー
IBM Endpoint Manager for Lifecycle ManagementIBM Endpoint Manager for Security and ComplianceIBM Endpoint Manager for Patch ManagementIBM Endpoint Manager for Power ManagementIBM Endpoint Manager for Mobile Devices
39 Copyright © 2012 EXA CORPORATION
IBM Tivoli Endpoint Manager
製品の機能概要
エンドポイント統合管理ソリューション
IBM Tivoli Endpoint Manager 製品の機能概要
ソフトウェア配布パッチ管理
電源管理
資産管理ライセンス管理
ネットワークアクセス制御
アプリケーションの制御
セキュリティ構成脆弱性管理
アンチウィルス、アンチスパイウェアの管理
リアルタイムで可
視化
レポートの出力
各機能の
設定・実行
管理対象のクライアント・プ
ラットフォームWindows、UNIX、Linux、
VMware、Android、iOSなど
1台で25万台の
クライアント管理
実績
IBM TivoliIBM TivoliEndpoint Endpoint ManagerManager
管理サーバー管理サーバー
モバイルデバイスの管理モバイルデバイスの管理
・
・
40 Copyright © 2012 EXA CORPORATION
IBM Endpoint Manager for Mobile Devices の機能
(端末情報)
(デバイス・ダッシュボード)•
機器インベントリー
•
パスワード・ポリシー設定
•
リモート・ロック
•
推奨アプリケーションの通知
•
アプリケーション導入状況監視
•
位置情報取得
•
リモート・ワイプ
•
エージェント管理型
–
Apple iOS 4,
iOS 5
–
Android 2.2 以降
•
メール・クライアント型
–
Traveler 8.5.2 以降
–
Exchange 2007 以降
提供機能
対応プラットフォーム
41 Copyright © 2012 EXA CORPORATION
IBM Endpoint Manager for Mobile Devicesの利用範囲
エクサBYODでの利用範囲
第4章
おわりに
1.
BYOD導入のポイント
2.
エクサBYODの今後
43 Copyright © 2012 EXA CORPORATION
BYOD導入のポイント
1.
システムの機能でカバーできないセキュリティリスクあり
–
デバイスの共用(家族利用禁止)
–
紛失、盗難、機種変更、デバイス譲渡時の対応
2.
BYOD運用はシステムだけではできない
–
利用者のルール遵守でカバーする部分が大きい
3.
BYOD導入の前提として利用者の自覚と行動が重要
–
利用者に十分な事前説明を実施し理解と協力を得る
44 Copyright © 2012 EXA CORPORATION
エクサBYODの今後
•
利用者へのアンケート調査と結果分析
•
本格展開へ積み残し課題に対応
–
デバイスに業務データを残さない仕組み
•
対象デバイスの拡大–
Android、Windows
Phone・・・・
45 Copyright © 2012 EXA CORPORATION
本資料で使用されている商標・登録商標
•
IBM、Tivoliは、International Business Machines Corporationの商標または 登録商標です。•
iOSは、Cisco の商標または登録商標です。•
Androidは、Google Inc.の商標または登録商標です。•
Cybozu、サイボウズ、Garoon、ガルーンおよびKUNAIはサイボウズ株式会社の 商標または登録商標
です。
•
OpenPNEは、株式会社手嶋屋の商標または登録商標です。•
iPhone、iTune、iCloudおよびSafariは、Apple Computer, Inc.の商標または 登録商標です。•
Windows、Windows Phone、Exchangeは、Microsoft Corporationの商標または 登録商標です。•
UNIXは、X/Open Company, LtdおよびAT&Tの商標または登録商標です。•
Linuxは、Linus
Torvalds氏の商標または登録商標です。•
VMware は、VMware, Inc. の商標または登録商標 です。
