Windows、iPad、および Android - タブレットの世界における Office 資産の管理と使用 (パート 4) - デバイスに基づいたアクセス管理
原文の記事の投稿日: 2011 年 10 月 20 日 (木曜日)
タブレット コンピューティングの世界における Office 資産の管理に関するシリーズのパート 4 へようこそ。パート 1 では、主としてリッチ クライアント、リモートのリッチ クライアント、Office for Mac、Web Apps、および携帯電話の Office で Office を利用する主な方法をご紹介しました。パート 2 では、Exchange ActiveSync を使用したタブレットでの電子メールの利用について説明しました。また、その他のプラットフォームで使用できる制御手法をグループ ポリシーと比較し、Office を構成するオプションについて解説しました。パート 3 では、SharePoint 2010 または Office 365 サービスの一部としての Office Web アプリケーションについて述べました。これを受けて今回は、シリーズの中でも異論の多いトピックの 1 つになりそうな、デバイスに基づいてリソース アクセスを差異化する方法を紹介します。
デバイスに基づいた信頼とアクセス差異化のモデル
Office データのセキュリティ保護に関しては、主に次の 3 種類の制御について私は考えます。
- デバイスのハード ドライブ上にローカルに存在する情報のセキュリティ保護
- デバイスからリモート アクセスされる情報のセキュリティ保護
- リモート ソースからデバイスへのデータ引き渡しのセキュリティ保護
ローカル デバイスのストレージ保護では、暗号化の手法と、自らが主張どおりの人物であることの証明に必要とされる十分な数の認証要素を提供できないユーザーをロックアウトする方法が話題の中心になります。
ドライブの暗号化
Windows では、BitLocker™ ドライブ暗号化 を使用しており、ハード ドライブのボリューム全体の暗号化には多数のサードパーティ ソリューションが利用できます。iPad でもハード ドライブ暗号化を使用してローカル データを保護しており、Android Honeycomb やそれより新しいタブレットのオペレーティング システムにもハード ドライブの暗号化が追加されています。BitLocker の設計がユーザー データをハード ドライブの暗号化されていないパーティションには保存しないのに対し、その他の設計はそこまで 検証されていない (英語) ので、重大な認証データがハード ドライブのアクセス可能な非暗号化領域に保存される可能性があります。Android の一般的なバージョン 1.6、2.1、および 2.2 のプラットフォームには、ネイティブのハード ドライブ暗号化が含まれておらず、デバイスがセキュリティ侵害を受けた場合に脆弱性が生じます。ただし、Windows の場合でも、ユーザーが暗号化を使用していることを確認し、その使用を IT ポリシーとして強制する必要があります。そうしないと、ハード ドライブ上にある情報へのアクセス (ハード ドライブを取り外して別のオペレーティング システム環境で起動する)、ローカル アカウントのパスワード変更 (ERD Commander のパスワード リセットを使用する) などを行う方法がいくらでも見つかります。ドライブ暗号化が確かに必要でこれを強制的に適用した場合は、コンピューターに特有の認証要素 (トラステッド プラットフォーム モジュール、PIN、スマートカード、USB ドングル、またはパスワード) を自由に操作できない限り、ローカル ストレージ上の情報へのアクセスは非常に困難になります。
ネットワークの保護
管理対象でないデバイスがファイアウォール内部に接続できるようにする場合には、通常の認証およびプロキシ設定の要件のほかにも、いくつかのオプションがあります。組織によっては、セキュリティ上の理由から、非管理対象デバイスがアクセスする専用の並列ネットワーク インフラストラクチャを確立し、情報へのアクセスを Exchange ActiveSync および関連インフラストラクチャで制御可能な資産に制限しているところがあります。これは多くの環境にとって適切なオプションになり得ますが、こうしたデバイスによる企業のファイアウォール内部への接続の許可を求める強い要望への対応を迫られている IT 部門も少なくありません。これに該当する場合は、管理者がいくつかの作業を行うことで SharePoint データに接続するデバイスまたはブラウザーに基づいてデバイスのアクセスを差異化できます。
ネットワーク リソースにアクセスするコンピューターの正常性の判断に関しては、一般的な手法が既に存在します。ここ数年間、私たちは VPN 検疫や ネットワーク アクセス保護 (英語) (NAP) を利用してきました。NAP ソリューションでは、基本的にネットワークへのアクセスを試みるデバイスに対する問い合わせを行い、基準 (更新プログラムの状態、最新の AV など) を満たさないデバイスについては与えられるネットワーク アクセス権が制限されたり、アクセス権そのものが与えられなかったりします。NAP が IPsec、VPN、802.11x、および DHCP でどのように機能するかの解説が TechNet (英語) にあり、次の図は IPsec に準拠していないデバイスを検出および修復するプロセスを示しています。
NAP で重要なのは、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows Vista、および Windows XP (SP3) といった NAP 対応のコンピューターが必要になることです。そのため、NAP を使用して正常性を強制する場合は、Windows オペレーティング システムを搭載したデバイスを展開する必要があります。
では、ネットワークに接続するデバイスが Mac、iPad、または Android デバイスであるという理由で NAP を利用できない場合は、どうすればよいでしょうか。その場合は、Microsoft Forefront Unified Access Gateway (英語) (UAG) を使用して Windows 以外のデバイス (Mac および Linux) にウイルス対策などの基準を強制するという方法があります。次の図は Forefront UAG のポリシー エディターであり、サポートされている Windows 以外のプラットフォームがわかります。
上の図のテキストは、UAG によって強制される正常性の要件をデバイスが満たしていない場合にユーザーに提示されます。UAG クライアントの要件に関する情報は、TechNet (英語) に記されています。このブログにとって重要な点は、Forefront UAG SP1 の更新プログラム 1 によって iOS 4 や Android 2.3 および 3.0 プラットフォームのブラウザーがサポート対象として追加されたことです。
ファイルがデバイスにダウンロードされないように保護する場合に役立つ別の方法は、インターネット インフォメーション サービス (IIS) を使用して、IIS サーバーに届けられた情報に関する問い合わせを接続デバイスに対して行い、その情報に基づいてファイルのダウンロードを許可または禁止することです。IIS を使用すると、ファイルをダウンロードしようとするデバイスをリダイレクトする規則を定義できます。その場合は、IIS ログを調べてデバイスの識別子を確認できます。
上に示したログでは、デバイスの種類 ("iPad") やドキュメントにアクセスしているブラウザーが確認できます。さらに、IIS を利用して、これらの属性を持つデバイスからの呼び出しを "ネットワーク管理者によって許可されていない操作を行おうとしています" といったメッセージが表示される別のページにリダイレクトする規則を構成できます。
上の IIS マネージャーの図からわかるように、私が作成した規則は DOCX 拡張子を持つすべてのファイルに適用されます。デバイスがパターンにマッチし、かつその記述子に iPad が含まれている場合は、ユーザーを download%20denied.aspx というイントラネット サイトにリダイレクトします。すべてのファイルについてこうした設定を行う必要はありませんが、1 つの規則で DOCX 拡張子 (またはその他の拡張子) を持つすべてのファイルを対象に含めるような定義ができます。ここですばらしいのは、ドキュメントは SharePoint サーバー上に表示され、デバイスにはその PNG ファイルが送信されるだけなので、デバイスに対して Office Web Apps を使用したドキュメントの閲覧を許可できることです。
管理されていないデバイスにファイルのコピーをダウンロードしようとしたユーザーには、次のような画面が表示されます。
これは基本的に、ローカル ハード ドライブへのファイルのダウンロード、別のサービスを使用したファイルのアップロード、または電子メールによる好ましくない場所へのファイルの送信を防止するのに役立ちます。ハード ドライブが暗号化されていない場合や、デバイスがリムーバブル ストレージを備えている場合には、暗号化されていないファイル システム、SD カードなどへのファイル保存の防止にも役立つ可能性があります。この方法は完全ではありませんが、Office Web Apps を使用した閲覧の権限を与える一方でユーザーによる予期しない動作を抑制するのに役立つ場合があります。
セキュリティ保護されたデータ伝送
データ伝送はこのブログの冒頭で挙げていなかった項目ですが、現在のほとんどの iOS デバイスや Android デバイスのネットワーク スタックは、デバイスを起点または終点とする伝送の安全性保持に有用な Wired Equivalent Privacy (WEP) および Wi-Fi Protected Access (WPA) 規格をサポートしています。ここで重要なのは、こうした手法を利用することがセキュリティ保護されていないネットワークの対極に位置付けられることです。
パート 4 のまとめ
モバイル デバイスは大いに発展し、今も改良が続いていますが、デバイス上のデータからリモート データへの接続までを対象とする多層防御のために用意された成熟度のより高いプラットフォームほど管理が容易ではありません。しかし、本来であればセキュリティ基準を満たせないようなデバイスにアクセス権を与えるためにある種の妥協が行われている現在の状況では、それも無理からぬことです。このブログで説明した手法のいくつかが、管理者から安心感を引き出すと同時にユーザーの満足感も維持できるような、制限付きかつ十分なアクセス権を非管理対象デバイスに与える方法を決定する参考になれば幸いです。もちろん、Windows Phone 7.5 および Windows Mobile の Exchange ActiveSync サポートや Outlook Web Access を介した機密ファイルへのアクセス権を管理対象でない Windows デバイスに与える場合には、Information Rights Management (IRM) といったその他のメカニズムも有用です。しかし、iPad や Android のデータ通信ではあまり役に立たず、NAP と UAG および IIS とのポリシーの対比といった比較の基準にもならないので、ここでは IRM について詳しく説明しませんでした。
当初は Windows Server の Citrix XenApp やリモート デスクトップ サービスを使用してリモート アクセスを有効化する方法や、Office UI と Windows シェルをカスタマイズして iPad や Android デバイスからアクセスできるようにする方法の解説を始めようと考えていましたが、そうした内容についてはこのシリーズの最後となる次回のブログに譲ることにします。
最後までお読みいただき、ありがとうございました。
Jeremy Chapman
シニア製品マネージャー
Office IT Pro チーム
これはローカライズされたブログ投稿です。原文の記事は、「Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 4) – Device-based Access Management」をご覧ください。