Workspace ONE徹底解説Standard編~MDMでゼロトラストを実現~
新型コロナウイルスのパンデミック対応として始まったテレワークですが、急速な移行となってしまったため、十分なリソースを用意できなかったケースも多くありました。そこでさらに投資をして環境を準備した企業もあれば、テレワークを断念せざるを得なかった企業もありました。まずはテレワークの基本となるMDMの見直し・導入を検討してはいかがでしょうか。
テレワークにおけるリスク
従来のオフィスワーク環境では、基本的に従業員が使用するPCなどのデバイスは企業内にあり、多層のセキュリティ対策により守られていました。しかしテレワークでは、デバイスは保護された企業ネットワークの外側に出るので、単体で高いセキュリティを構築しなければなりません。サイバー攻撃者がこの状況を見逃すはずはなく、メールを中心とした攻撃が激化しました。主な手法は、マルウェアとフィッシングメールです。
マルウェアは、さまざまなタイプが使用されています。テレワークに使っているデバイスに感染し、デバイスを乗っ取ろうとするものや、感染した後は潜伏して、オフィスに出社して企業ネットワークに接続した途端に感染を拡大させようとするものなどがあります。企業を目標とした攻撃には、最終的にはランサムウェアを設置するケースも少なくありません。
一方、フィッシングメールは従来多くあった、金融機関やクレジットカード会社、ECサイトを装うものに加え、さまざまなクラウドサービスやブランドを騙るようになりました。フィッシングによって入手したログイン情報は、リスト化されて売買されるほか、他のサービスなどでのログインを試みることにも使用されてしまいます。パスワードを複数のサービスで使い回している場合には、Microsoft 365やGmailなどに侵入され、そこからビジネスメール詐欺などに悪用されてしまいました。
このように、エンドポイントとなるデバイスは企業ネットワークから出ることでこれまで以上に脅威にさらされることになり、その保護が急務です。企業側ではゼロトラストの考え方に立ってデバイスを把握し保護することは最低限必要なことといえます。その基本となるのがMDM(モバイルデバイス管理)です。以前のMDMでは、携帯電話やスマートフォンの一括管理と紛失・盗難時の対応が中心でしたが、現在はPCにも対応して、デバイスのポリシー、設定、コンフィグレーション構成などの機能を搭載しています。
これからの時代に求められるMDMとは
テレワークによりデバイスが企業ネットワークの外に出たことで、さまざまなセキュリティの課題が顕在化しています。管理者視点では、従業員(ユーザー)がテレワークを行う自宅のネットワークが安全とは限らないし、ユーザー本人が利用しているとは限りません。企業から持ち帰ったPCを企業ネットワークにあるときと同じように管理するのは難しく、従業員がスマートフォンやタブレットといったスマートデバイスを使用する可能性もあります。
安全かどうか分からないPCやネットワークから社内のアプリケーションやデータにアクセスすることにもリスクはあります。管理者側が把握していないスマートデバイスからのアクセスが増えると、VPNやファイアウォールへの負荷が増大してしまいます。これを防ぐには、まずは最新のMDMの導入が必要です。ここでポイントとなるのは、ゼロトラストの考え方に対応したMDMを選ぶことです。
ゼロトラストの観点で重要となるのは、社内ネットワークに悪影響を及ぼさないよう、アクセスを都度検証することです。例えば、正規ユーザーへのなりすましを想定して、誰がアクセスしているのかを確実に認証する必要があります。また、どのデバイスでアクセスしているのかも確認する必要があります。そのデバイスが登録されているのかどうか、登録デバイスであればマルウェアに感染していないか、OSなどが正しくアップデートされていて脆弱性が解消されているかといったことも確認します。
さらに、アクセスしてきたアプリケーションが許可されたものであるかどうか、ネットワークはどうなのかなど、これらを統合的に検証することがゼロトラストの考え方に基づく運用です。こうした機能を持っている、あるいは将来的に拡張できるMDMを選ぶことで、テレワークが一定の割合で継続していくだろうニューノーマルの働き方にも対応できます。それが結果として働き方改革の推進になり、トータルコストを抑えつつ利便性とセキュリティを両立させ、ひいては企業のブランドの向上にも寄与するでしょう。
MDMとアクセスコントロールを実現する「Workspace ONE Standard」
ニューノーマルを見据え、ゼロトラストに対応したMDMの筆頭候補となるのが、VMwareの「Workspace ONE」です。デバイスやアクセス場所を問わず、あらゆるアプリケーションをシンプルかつセキュアに提供、管理できるインテリジェンスベースのデジタルワークスペース プラットフォームです。Workspace ONEには「Standard」、「Advanced」、「Enterprise」の3つのバージョンが存在します。このうちStandardはベーシックなバージョンとなりますが、企業に必要なMDM機能を提供できます。
MDM機能は、Workspace ONEのコンポーネントである「Workspace ONE UEM(Unified Endpoint Management)」によって提供されます。UEMでは、デバイスの加入処理を行うことで、企業のIT部門が設定したポリシーによってそのデバイスにあるアプリやデータを制御できます。また、デバイスの各種状態/情報を収集して、不正改造がないかやデバイスのパスコード、OSのバージョン、ブラックリストに載っているアプリ、暗号化といったポリシーを遵守しているかチェックして、通知や業務アプリのブロック、業務データのワイプ(消去)などを実行できます。
UEMに含まれる「Workspace ONE Tunnel」は、企業ネットワーク内にある業務アプリを利用する際にはVPNとして動作し、一方でビデオ会議システムやMicrosoft 365などクラウドサービスの利用では直接インターネットに接続(ローカルアウトブレイク)することでVPNの帯域を圧迫せず、VPNの通信品質を保持できます。また、YouTubeへのアクセスを禁止するといった制御も可能です。
また、同じくWorkspace ONEのコンポーネントである「Workspace ONE Access」により、多要素認証を実装できます。UEMと連携させれば、条件付きアクセスやパスワードレスのユーザー認証も可能になります。条件付きアクセスでは、接続元のネットワークやOS、アプリ、ユーザーのグループなどを把握し、これらの条件に合致しているかどうかで認証方法を変更するといったこともできます。正規のユーザーであればシングルサインオンの適用も可能です。
Workspace ONE Standardは、テレワークなどニューノーマルの働き方やゼロトラストに対応するセキュリティ機能を備えたMDMとして、非常に効果的なソリューションです。将来的には「VMware SASE」環境に拡張を検討することもできます。次世代のMDMとして、強力な選択肢のひとつと言えるでしょう。