【WP for IT Pros】Windows Phone のセキュリティモデル 3 ~ データの保護


前回までの投稿は以下の通りです。

今回は Windows Phone のデータ保護について解説します。

社内や社外に与える影響の大きさに関わらず、社内データの保護や、データの整合性を維持することは企業にとって重要です。Windows Phone には、社内データを外部に流出するリスクを最小限に抑えるための手段が用意されています。

Windows Phone は「多層的な(multi-layered)縦深防御(Defense in Depth)」というアプローチを用いて、データの保護を実現しています。縦深防御とは複数の防御ラインを用意することで目的のデータに到達することを困難にすることで、仮に1つの防御ラインが突破されても他に用意された防御ラインによってデータは保護され続けます。

さらに、Windows Phone のあらかじめ決められている仕様により、ハードウェアベンダーを問わず全ての Windows Phone が同じ管理機構、セキュリティ制御機構を持っており、組織内の一貫したモバイルデバイス管理を可能にしています。

image

デバイス アクセス ポリシー

最初の防御ラインとしてロックスクリーンが用意されています。スクリーンロックを解除するには、PIN または複雑なパスワードを使用しなければなりません。スクリーンロックを解除するためのセキュリティコードは、EAS(Exchange ActiveSync)パスワードポリシーと関連付けることができます。EAS パスワードポリシーが構成されると、Exchange Server に接続されている全ての Windows Phone に、このポリシーが強制的に適用されます。

現在、世界中の多くの企業が Exchange Server を採用しています。マイクロソフトはブロードキャスト的にデバイスにリーチできるこのインフラストラクチャを、デバイス管理を簡素化する方法として使用することにしました。EAS は長年使われてきたテクノロジーであり、堅牢なコミュニケーションプロトコルです。Windows Phone 7.5 には EAS 14.1 が実装されており、email、カレンダー、タスクそしてコンタクト情報の同期がサポートされています。

eas
* Windows Phone 7 2011 March Update 以降が必要
** Exchange Server 2010 SP1 の適用が必要

マイクロソフトは、さまざまなモバイルデバイスへの EAS の実装に関心が高まってきたことを受け、「Exchange ActiveSync ロゴプログラム」を立ち上げました。Exchange ActiveSync ロゴを表示するためには EAS 実装の資格を取得しなければならならず、すべてのWindows Phone はこのロゴプログラムに参加することが必須条件となっています。

既に述べたように、EAS を使用するとセキュリティポリシーを通して Windows Phone を集中管理することもできます。セキュリティポリシーは、Active Directory に参加している PC にグループポリシーを適用するように、社内の IT 部門が構成し管理する必要があります。EAS セキュリティポリシーには以下のような項目が含まれています。

    • パスワードを要求する
      ユーザーが Exchange Server と電子メールやカレンダー、タスク、コンタクト情報を同期する前に、デバイスを数字の PIN またはパスワードでロックすることを要求する。
    • 英数字のパスワードが必要
      このポリシーを「有効」に設定すると、ロックパスワードをアルファベットと数字等の組み合わせにする必要がある。
    • パスワードに含めなければならない文字セットの種類
      パスワードに使用すべき文字種の数を指定する。文字種とは「数字」「英大文字」「英小文字」「記号」。4を指定すると全ての種類の文字が含まれたパスワードでなければならない。
    • パスワードの有効期間
      有効期間が過ぎたパスワードは変更しなければならない。
    • パスワードのリサイクルカウント
      同じパスワードを使用することができるようになるまでの「パスワード変更回数」を指定する。このポリシーによってユーザーが同じパスワードを使い続けることを抑止することができる。
    • 簡易パスワードを許可する
      数字だけのシンプルなパスワードの使用を許可する
    • パスワードの最小文字数
      パスワードとして使用しなければならない最小限の文字数
    • アイドル状態になってからログオンが要求されるまでの時間
      Windows Phone がアイドル状態になってから、自動的にロックスクリーンに移行するまでの時間
    • デバイスをワイプするまえにサインインに失敗した回数
      間違えたパスワードを入力した回数が指定値に達したら、デバイスを強制的にワイプする。紛失したデバイスをワイプしたい場合、デバイスに電波が届かない場合にはリモートワイプを強制実行することができないため、本ポリシーが重要な意味を持つ。

このようなポリシーを使用して、システム管理者はデバイスを保護することができる他、Exchange Server の管理コンソールから、管理下にあるデバイスをリモートワイプすることもできます。一般ユーザーであれば、Exchange Web App の画面から自分自身のデバイスをリモートワイプすることができます。

加えて、ユーザーは windowsphone.live.com にアクセスして、紛失した Windows Phone の場所を地図に表示したり、着信音を鳴らすこともできます。リモートワイプも可能です。

clip_image004

リムーバブルストレージのロックダウン

Windows Phone のファイルシステムは、シングルパーティションのハードドライブモデルを採用しています。いくつかのモデルに SD メモリカードタイプの内部ストレージスロットを実装していますが、多くの場合、リムーバブルストレージスロットは Windows Phone 本体内の隠された場所に実装されており、このスロットを直接触ることは困難ではあります。ただし、こうした機種の防御策として、SDカードを取り外すと Windows Phone がリセットされ、同じSDカードを再挿入しない限りWindows Phone 内の全ての内部データが消去される機構が実装されています。異なる SD カードを挿入すると Windows Phone はワイプされ、初期化されます。

加えて、Windows Phone には標準的な SD カードのロックメカニズムが実装されています。すなわち SD カードとWindows Phone とで固有の 128 ビットキーを共有しており、別のデバイスからアクセスしようとしても同じ 128 ビットキーを持たない限りはアクセスすることができません。

データ同期に関する制限

Windows Phone と Exchange Server、SharePoint Server、その他のサーバーとのデータ同期には、必ずSSL接続が使用されます。Windows Phone は USB で接続された PC 等とメール、ファイル、データ等を同期することを許可していません。

Microsoft Zune ソフトウェア は Windows PC から Windows Phone に接続することができる唯一のデスクトップアプリケーションですが、これを使用して同期できるのは 写真、音楽、ビデオ、Podcast および Windows Phone Marketplace からダウンロードしたアプリケーションのみです。

こうしたデザインによって、さまざまな有害なドキュメント類の同期や、外部へのデータの流出を避けることができます。

image

IRM による電子メールとドキュメントの保護

IRM(Information Rights Management)は Active Directory Rights Management Service(AD RMS)によって実現される機能であり、IT Pro がセットアップし社内に展開する必要があります。

image

IRM を使用することで、コンテンツの作成者がドキュメントへのアクセス権限を設定することができます。権限保護されたドキュメントのデータは暗号化され、許可されたユーザーのみが参照することができます。

さらに、権限保護されたドキュメントには「発行権限」と呼ばれる権限が格納され、コンテンツに対してどのユーザーがどんな権限を持っているのかが明確に管理されています。例えば、コンテンツの作成者がドキュメントを読み取り専用であると定義すれば、ドキュメント内のテキストをコピーしたり印刷を行ったりすることがはできません。

加えて、電子メールを外部に転送できないようにするなど、保護された状態で流通させることができる。データ保護は電子メールに添付されているドキュメントや SharePoint Server に保存されているデータにも適用することができるため、配布や編集を制限したり、許可されていないユーザーによる情報の漏えいからデータを保護できます。

Windows Phone ユーザーは、IRM ドキュメントや電子メールをデバイス上で参照することができます。現時点で、Windows Phone は権限管理機能を標準で実装している唯一のスマートフォンです。

つづき

【WP for IT Pros】Windows Phone のセキュリティモデル 4 ~ マルウェアからの保護

Comments (1)

  1. SHIMSOFT より:

    Windows Phone 7.5 / 8  のビジネスユース時の端末管理についていろいろ

    情報を調べているのですが、少し教えて頂けますでしょうか。

    私は Exchange Server 2010 などの構築も行ったことがあるので、 ActiveSync でセキュリティポリシーを適用できて

    管理できることを認識しているのですが、 Exchange Server をそもそも現在利用しておらず、今後も導入の予定が無い環境において

    Windows Phone に ActiveSync で利用可能なデバイスポリシーを適用したいとした場合、これだけを行えるソリューションはあるのでしょうか??

    ※ もちろん Office 365 利用というのも Exchange を利用するのと等価なのでこの選択肢も無いとした場合です。

    ポリシーの定義ファイルみたいなのを何らかの方法で準備して入れ込むような感じの方法とか??

Skip to main content