Windows Mobile携帯向け管理ツールSCMDMでセキュリティ強化（TechTarget）

2008年11月26日(水) 08時48分

Windows Mobile携帯向け管理ツールSCMDMでセキュリティ強化（TechTarget）

　Windows Mobile搭載の携帯電話には最近まで、BlackBerryには以前からあったようなネイティブの管理・セキュリティ機能が欠けていた。サードパーティーが提供する管理・セキュリティ製品は多数あった（今でもある）。しかしWindows Mobileには単純に、「何もしなくても守られている」というBlackBerryのような魅力がなかった。そこでMicrosoftは「System Center Mobile Device Manager（SCMDM）」でこのギャップの解消に乗り出した。

●発展途上

　現在のWindows Mobile 6搭載携帯は、世代を重ねたWindows CE PDAとPocket PCの子孫に当たる。これら旧世代の携帯OSにネイティブのセキュリティ機能がなかったわけではない。ただ単純に、不完全で管理が難しかった。

　例えばWindows Mobile 2003搭載のPocket PCはPPTP／IPsec VPN機能を装備していたが、デフォルトで有効にはなっていなかった。しかも、これら端末は追加的措置（例えばXMLプロビジョニング文書の同期、サードパーティーの携帯端末管理製品など）を使わない限り、無線で設定することはできなかった。こうした端末で受信したデータは、サードパーティーの暗号化製品を使わない限り、暗号解除された状態で保存されていた。

　つまり、企業がWindows Mobile携帯を集中管理しセキュリティを守るためには、パーツを各所から集めて深刻なギャップを埋めなければならなかったのだ。

●WM 6.1端末管理を自動化

　Windows Mobile 6.1（以下WM 6.1）以降、MicrosoftのOSを搭載したスマートフォン向けに新たなセキュリティ管理製品が登場した。Microsoftの「SCMDM 2008」がそれだ。WM 6.1端末は基本的にすべて、企業のSCMDMサーバで管理できる。企業のニーズと設定次第で、同サーバは無線経由のデバイスプロビジョニング、ソフトのインストール、ポリシー強制、監視／報告を完全に自動化できる。

　WM 6.1ユーザーは会社の電子メールアドレスと、管理者から教えられたその場限りの暗証番号を入力するだけでSCMDMに端末を登録できる。WM 6.1端末はSSLを使ってSCMDMゲートウェイサーバに接続する（例えば64ビット版のWindows Server 2003にインターネット経由で、信頼できる社内イントラネットの外からアクセスできる）。

　このゲートウェイでユーザーを認証し、端末管理サーバ（例えばイントラネット内部にあり、Active Directoryに接続できる別の64ビット版Windows Server 2003）と通信して登録を完了する。SCMDMサーバ機能はさらに拡張できる。例えば、永続性記憶装置を別のMicrosoft SQL Serverに割り当てたり、別のMicrosoft 証明書サービス（CA）を使って端末を認証することが可能だ。

　WM 6.1端末の登録を済ませて起動させると、それ以降の端末とゲートウェイ間の通信はすべて、自動設定されたIPsec「モバイルVPN」トンネルで守られる。SCMDMはWindows Software Update Service（WSUS） 3.0を使ってアプリケーションパッケージを無線でプッシュし、Windows Mobile端末をプロビジョニングできる。SCMDMではIT部門が定めたActive Directoryグループポリシーも導入・強制され、例えば特定のネットワークインフラやアプリケーションの利用を禁止したり、特定のファイルやフォルダを暗号化できる。

　管理対象のWindows MobileはSCMDMを通じて確実な監視・アップデートが可能になる。新しいソフトウェアはWSUS経由でプッシュされる。端末のハードウェアとソフトウェアのインベントリも定期的に作成できる。管理対象のWindows Mobile端末が紛失したり盗まれた場合、次にその端末が会社のネットワークに接続されたときにSCMDMを使ってリモートでその端末を抹消できる。

　特記すべきこととして、SCMDMはActiveSyncを使っていない。WM 6.1端末は3GかWi-Fi接続が有効になると、自動的にモバイルVPNトンネルをSCMDMゲートウェイに接続し直す。ただし、ほとんどの携帯端末は圏外にあってSCMDMを含むどのネットワークにも接続していない場合があることは覚えておきたい。

　また、モバイルVPNトンネルはエンタープライズアプリケーション利用のためのセキュアな経路も提供できる。例えばWindows MobileユーザーをMicrosoft Exchange Server、SharePoint Severといった会社のファイアウォール内にあるアプリケーションサーバに接続させることが可能だ。TLS暗号対応のPOPやSMTPセッションのような独自の保護措置を適用したアプリケーションでさえも、モバイルVPNトンネル経由で中継できる。

●SCMDMが適しているケース

　MicrosoftはSCMDMで、新しいWindows Mobile端末の利用企業に「何もしなくても守られる」ソリューションを提供している。しかしSCMDMでは、現在主流のWindows Mobile 6.0を含め、旧バージョンのWindows Mobile端末は管理できない。スマートフォンは寿命が短いため、古い端末の多くはOSを6.1にアップグレードできず、SCMDMを利用するためには新しいハードの購入が必要になる。

　さらに、BlackBerry Enterprise Serverと同様、SCMDMは（現時点では）クロスプラットフォームソリューションではない。多様な携帯端末を使っている組織は複数のMDMを導入するか、Sybase iAnywhere、Nokia Intellisync、Motorola GoodといったほかのMDMを、複数OS用に導入する必要がある。

　SCMDMは比較的幅広い管理・セキュリティ機能を提供するが、誰にでも適したプラットフォームというのは存在しない。例えば無線リモート管理が必要な場合はサードパーティーの製品が必要だ。最後に、Microsoftがモバイル端末管理に進出したのはSCMDMが初めてとなる。いずれ刷新や機能強化に迫られるのは必至だ。WM 6.1のセキュリティと、Windows Mobileのデータ保護に関するSCMDMのアプローチについては、Microsoftのサイトを参照してほしい。

本稿筆者のリサ・ファイファー氏は、ネットワークセキュリティと管理技術を専門とするコンサルティング会社Core Competenceの社長兼共同経営者。Core Competenceでは27年にわたるネットワーク設計、導入、試験の経験を生かし、脆弱性判定から製品評価、ユーザー教育、白書作成まで幅広いサービスを提供している。大小の企業を対象に、ネットワーク技術の利用やセキュリティのベストプラクティス、リスク管理、ビジネスニーズ対応について助言してきた。無線・モバイルセキュリティと侵入防止、VPN、ネットワークアクセスコントロールに至るまで幅広い技術に関する著作も多数。

【関連記事】
・個人のモバイル端末をどう管理するか──セキュリティ上の考慮点
・携帯端末からのネットワーク接続を規制するには
・ iPhoneの暗号化はセキュリティを重視する企業にとって必須
・ iPhoneはBlackBerryの代わりになり得るか?
・モバイル管理の本質は20年間変わらず

http://headlines.yahoo.co.jp/hl?a=20081126-00000037-zdn_tt-sci