デスクトップ仮想化の企業への浸透により BYOD ( Bring Your Own Device : 私物端末の業務利用 ) でのワークスタイルを導入する企業は増えてきましたが、 昨年あたりから、 その波がスマートデバイス ( スマートフォン、 タブレット ) に押し寄せてきました。

以前から、 弊社製品  XenDesktop ( XenApp ) + NetScaler の組み合わせなどにより、 社外からのアクセスでもセキュリティを確保したままデスクトップ環境やアプリケーション環境を利用することはできていましたが、 スマートデバイス環境ではユーザからの新たなニーズとして、 手軽にアプリにアクセスすることができ、 オフラインでの利用、 スマートデバイス特有の操作 ( マルチタッチ  ) がでてきました。 そのため、 スマートデバイス環境での利用を考慮した別のソリューションが、 必要になってきました。

スマートデバイス環境でのBYODのリスク
私物スマートデバイスの業務での利用は従業員からのニーズであり、 企業としてはセキュリティを保ったまま安全に利用できることを望むのは、 言うまでもありませんが、 実際は、 企業が私物のスマートデバイスを許可していない状況( もしくは、 想定していない状況 ) で、 従業員が私物端末を業務に利用しているいわゆるシャドーITの使い方も起きています。 シトリックスコンサルティング が実施した案件の中でもアセスメントにおいて、 現状のリスクが浮き彫りになっており、 その一例として次のようなものがありました。

  • 標準装備されているメーラーから開いた添付ファイルをそのまま私物端末に保存をしている
  • 社内の連絡帳一覧を私物の連絡帳に同期している
  • 社内Webサイトの機密情報を私物端末のテキストエディターや Facebook に Copy & Paste できる状態になっている
  • 退職した従業員の私物端末に保存されたデータを消す対処ができない

XenMobileによるセキュリティと利便性を兼ね備えたBYODの促進

ここで挙げたセキュリティリスクを考慮すると企業としては、 スマートデバイスの業務利用についても、 従来通りNetScalerを経由したセキュアな接続( 通信の暗号化、 画面転送方式 )を利用せざるをえないように思えますが、 スマートデバイス特有の使い勝手を手に入れることはできません。 改めて、 BYODが提供してきたメリットを考えてみると次のようなものが挙げられます。

従業員の満足度の向上
使い慣れたデバイスを利用することによるモチベーションの向上と優秀な社員の定着、 また呼び込むことができる。

ワークライフバランスの向上
場所や時間に縛られない働き方ができ、 仕事の生産性の向上やプライベートの時間を有効に使うことができる。

コスト削減
私物端末を利用するために、 企業が端末やデータ通信に関する費用を出す必要がない。

これらのメリットをモバイルデバイスでもセキュリティを確保したまま実現できるのが XenMobile です。

XenMobile環境のアセスメント・設計・導入について

ここでは、 実際にスマートデバイスをBYODとして導入するときのポイントを述べたいと思います。

アセスメントフェーズでは、 現在の環境に関するレビュー、 利用方法や実際のアーキテクチャに関する要件の収集を行います。 特に要件に関する情報が十分そろってなければ、 網羅性に欠ける要件定義になり、 結局は、 シャドーITのような抜け道ができてしまい、 ユーザーの利便性に関しての考慮も疎かになってしまいます。 抜け道ができないようにした上で、 利便性を確保できるポリシーをどうするかが重要です。 このあたりは企業が保持している情報セキュリティに関する方針 ( 情報セキュリティポリシー ) を十分に理解して、 それに対応できるXenMobileのポリシーを把握できていてこそ最適なものができ、 品質と網羅性を確保できた要件定義が行えます。 またBYODが進んでいる海外の事例などを把握していることも有効です。

設計・導入については複数のコンポーネント( DeviceManager, AppController, NetScaler, APNs, ShareFile, ActiveDirectory, 企業内リソースなど )を組み合わせることになるため、 特に以下の部分について十分な考慮が必要になります。

  • 各コンポーネントが提供する機能の知識
  • コンポーネント間の通信手順に関する知識
  • ユーザー数や使い方を考慮したコンポーネントのサイジングに関する知識
  • セキュリティ面・機能面を考慮したコンポーネントの配置に関する知識
  • APNs( Apple Push Notification service )に関する知識
  • XenDesktop・XenApp環境との連携方法に関する知識

XenMobileが提供するモバイル利用におけるデータ保護の仕組み ( MAM編 )

XenMobileのモバイルアプリケーション管理機能( Mobile Application Management:MAM )では、 モバイルコンテナ内での企業モバイルアプリケーションの利用により、 ユーザーの利便性は劇的に向上しますがオフライン利用を想定した使い方になるためデータを端末内( モバイルコンテナ内 )に保持するという仕組みになり、  セキュリティをどう確保するかが課題になります。XenMobileではMDXテクノロジーによりデータの暗号化、 パスワード認証、 セキュアなロック及びデータ消去、 アプリケーション間のポリシーマイクロVPNWorx Mobile Appsに提供します。これらの機能はアプリ単位のポリシー( MDXポリシー )で設定可能ですので、 ここではポリシーの一部を紹介したいと思います。

※ここでは、 認証はOffline challenge onlyの利用を前提でお話します。

Maximum offline period

アプリケーションをオフラインで実行できる最大期間を定義します。この期間を過ぎるとユーザーがネットワークログオンするまでアプリケーションはロックされます。

Reauthentication period

再度認証を求められるまでの期間を定義します。Maximum offline periodと異なるところは、オフライン認証の頻度ということになります。

Block jailbroken or rooted

Jailbreak済(iOS)またはRoot化済(Android)の状態でアプリを利用しようとすると、アプリケーションがロックされます。

Auth failure before lock

指定した回数連続してオフライン認証に失敗するとアプリケーションをロックし、ユーザーにネットワークログオンを要求します。

Erase app data on lock

アプリケーションがロックされたときに、 データを消去し、 アプリケーションをリセットします。

データ保護の仕組みをまとめるといくつかの段階があって、まずはオフライン認証のタイミング(Reauthentication period)とオフラインで利用できる最大期間(Maximum offline period)の設定により、ユーザーの利便性とセキュリティ強度を調整できるようにしています。

次にロックという状態に遷移することによりアプリケーションの利用ができなくなります。ここでもロック状態になる条件を調整することによりユーザーの利便性とセキュリティ強度を調整できるようにしています。セキュリティ強度をさらに強くしたい場合にはロックになった瞬間にアプリケーションが保持している情報を削除するということも可能です。

XenMobileが提供するモバイル利用におけるデータ保護の仕組み(MDM編)

モバイルデバイス管理機能(Mobile Device Management:MDM)でも、データ保護に関する仕組みが整っておりますので、その一部を紹介したいと思います。BYODにおいてはあくまで私物端末のため私物端末ネイティブ機能(カメラ、iCloud利用など)を制限することはしないということが実情です。ただ、最低限パスコードの強制や端末のJail-broken/Rootedの禁止などをBYOD利用の条件に入れることが多いです。他のMDM機能としてはAutomated Action があります。これは何かをトリガーにした場合のモバイルデバイスに対する対応ですが、例を一つ挙げると、 Active Directoryのアカウントをロックした場合に、セレクティブワイプを実行するようにすれば、企業アプリケーションのみを削除することができます。これにより退職者が私物端末に保持していた情報の漏洩を防ぐことができます。

シトリックスのXenMobile導入支援

これまでアセスメント・設計・導入における大切なポイントと実現するための主なポリシーについて述べてきましたが、効果的なBYOD導入には、導入経験と機能知識に加えて、モバイルデバイスにおけるBYODの業務パターンと情報セキュリティに関する知識が必要となります。このような背景から、弊社ではコンサルティングサービスを提供させていただいております。また併せてエデュケーションサービスの方からもXenMobileに関するトレーニングを提供中です。

推奨トレーニングコース

CXM-302:Designing, Deploying, and Managing Enterprise Mobility Solutions with Citrix XenMobile

2月に海外から講師を招いてXenMobileのトレーニングを提供しましたが、6月から日本人講師による日本語での提供を開始しました。初回から多数の方の参加と好評を頂きまして、ニーズの高さを感じています。

シトリックス・システムズ・ジャパン株式会社

コンサルタント 甲本文宏