Android7.Xへのアップデート-MDMへの影響

1.セキュリティー方針の変更-画面ロックの設定権限

今回、アップデートされたAndroid7.xではリセキュリティー方針で画面ロックの設定権限が変更されました。
Android7.x以前では、MDM管理者画面からリモートでパスコードをリセットできましたが、今回の新バージョンでは画面ロックの設定権限変更されたことによって、MDM管理者画面からリモートでのパスコードリセットがデバイスに反映されないことがわかりました。

2.Android新バージョンのMDMへの影響

Android7.xへのアップデートによるMDMへの影響は以下となっています。

① ユーザーがデバイスのパスワードを設定するとMDMコンソール画面からデバイスパスワードの変更が反映されない。

② ユーザーがデバイスのパスワードを設定していない場合は、MDMコンソール画面からパスワード変更が可能。

3.まとめ

今回の新バージョンでは、デバイスを使用するユーザーが任意でパスワードを変更することで、管理者がデバイスのパスコードを管理することができなくなってしまいます。
どうしてもパスコードを管理者側から変更したい時に、Android7.xだとリモートで変更できないため現段階ではAndroid7.xへのアップデートはお勧めできません。
MDMはデバイスのアップデートによって仕様が変わることがあります。デバイスのアップデートによってMDMの動作が変更されるときには、「ニュース・お知らせ」にアップデートしますのでよろしければご確認ください。

MoDeM Android機能

セキュアブラウザ機能(Android) MDM MoDeM

セキュアブラウザとは

一般的にセキュアブラウザはウェブブラウジングする時の情報漏えい防止や不正アクセス防止対策のための機能です。
セキュアブラウザは大きく分けて「データ保存禁止」と「フィルタリング」の2種類に分けられます。「データ保存禁止」は端末にデータを残すことなく業務アプリケーションを利用ができ、「フィルタリング」はアプリケーションへの接続を業務に必要なもののみに限定することができます。
セキュアブラウザ製品によってはこれら2つの機能を持っているものや、いずれか一方のみ利用できるものがあります。

セキュアブラウザを搭載した理由

最近では、モバイルデバイスの普及が高まりブラウジングを通して簡単に情報を取得したり手軽に商品を購入できるようになりました。
簡単で便利なモバイルデバイスですが、インターネットにアクセスする時間も同様に増えてきています。
MDMを取り扱う弊社では、モバイルデバイスを業務利用する上で業務に不必要な私的利用に対する不安の高まりを感じ、それらの不安を解決すべきだと考えました。そこで、弊社のMDMにセキュアブラウザを標準機能として搭載することとなりました。次に、MoDeMに搭載されたAndroid向けセキュアブラウザをご紹介します。


※MoDeMアプリブラウザ画面

MoDeMのセキュアブラウザ

MoDeMのセキュアブラウザは閲覧することができるWebサイトを制限することで、危険なコンテンツをあらかじめ禁止し外部脅威からの不正アクセスを防止することができます。MoDeMではAndroid用ポリシーでセキュアブラウザを設定することができます。

MoDeMのセキュアブラウザでは制限方法が3つあります。

1つ目は、「制限しない」です。利用者は制限なくウェブブラウジングを行うことができます。業務にモバイルデバイスをフル活用したい場合にはこの設定を行うべきでしょう。2つ目は、「シングルURL」です。指定したサイトのみを固定し、閲覧することができます。3つ目は、「ホワイトURL」です。複数のURLを一括配信し、閲覧できます。モバイルデバイスを安全かつ有効に活用することができます。

 

 

 

 

※ブックマーク設定したURL

セキュアブラウザの中にブックマークを自動追加!

ブックマーク設定を行うことで複数のURLへアクセスを可能にします。
業務に活用してほしいウェブサイトのURLをブックマークとして一括配信することで、私的な目的でのウェブアクセスの心配をなくした上で業務のためのブラウザ管理を行えます。

セキュアブラウザ搭載によって、さらに強固なセキュリティーとモバイルデバイスの活用が可能なりました。

MoDeMのセキュアブラウザは業務に不必要なブラウジングを制限できます。今回のセキュアブラウザ搭載によって、より安全で便利なモバイルデバイスの活用が可能になります。セキュアブラウザについて詳しく知りたい方はぜひお気軽にお問い合わせください。

MoDeM Android 機能

業務用Android端末の管理

AndroidがiPhoneやiPadに比べ種類豊富で大きさも多様なので選択肢が幅広いです。業務でAndroid端末を活用するなら、確実かつ安心できる端末管理が必要です。個人レベルで予防できる管理や企業の管理責任者が行えるAndroid端末管理について述べます。

Android端末の危険要因

偽造アプリ

Androidアプリはapkファイルです。そしてこのapkファイルを抜き出すことは難しくありません。

例えば、ある銀行アプリがあるとしましょう。悪意をもった人なら、この銀行アプリからapkファイルを抜き出した後に暗号化されたmanifestファイル(権限設定情報ファイル)を復号すれば権限が変えられます。権限が変えられた偽造された銀行アプリをストアに公開、インストールした人はそのときからユーザーのパスワード等個人情報を盗み取られてしまいます。

android-permission

GooglePlayでアプリを登録する際、ストア側の審査がないため偽造されたものかどうかを判別しません。つまり、アプリ名やスクリーンショット、説明情報をうまく飾りつければ簡単にユーザーを騙す事ができるわけです。

データベースを抜き出す

悪性コードはAndroid端末のルート権限を奪い取ります。Android端末の構造は、最上部にApplication、その下にApplication Framework、さらにその下にNative Library (OpenGLなど)、そして、Android RunTime (Core Library)とDalviK (VMカスタマイズ)、その下にLinux Kernelがあります。

Linux Kernelでアプリの実行、一つのアプリケーションで問題を起しても他のアプリケーションへの悪影響を阻止するSandbox、Kernelのバグやセキュリティの弱点を利用してルート権限を取得した人はKernelとCoreの一部を手に入れることができ、保護領域のAPI(カメラ、GPS、電話、ネットワーク、Bluetooth等)のコントロールが可能となります。ルート権限取得 > 保護されるAPIへの接近が可能 > チャートのやり取り内容や発着信履歴、カメラ、位置情報、電話帳のデータ等を抜き出すことができます。

Wi-Fi環境でパケット盗み取る

ルート権限を取得さえすれば、バイスのパケットをキャプチャーできるプログラムがインストールできます。パケット情報は画像破片かバイナリーコードでできているので、暗号化されていないデータは情報を抜き出した人によって画像破片の解読、コード分析ができます。

また、嘘のアクセスポイントを開けて接続を誘導する手口もあります。

個人レベルでとれるAndroidの端末管理

前述で思わず心重く感じる方もいるか分かりませんが、個人レベルでも安全に管理する方法があります。

まず、アプリをインストールする際、そのアプリの権限をよく確認してください。わたしもそうですが、大概の人たちはあまり意識せずに同意してインストールする場合が多いと思いますが、石橋を叩いて渡る心境で個人情報へのアクセス権限を要求する内容があったら止めた方が良いでしょう。

また、よく知られていないフリーアクセスポイントへの接続は避けるべきです。そして、アンチウィルスアプリを入れて定期検査およびアップデートをこまめに行うことです。中にはウィルス対策アプリを装った悪性アプリもありますのでこれもまた要注意です。

最後に勧められる方法は、端末の暗号化+パスコードのセキュリティ設定です。Android OS3.0以上からはデータの暗号化設定が可能となります。端末暗号化を設定するのに1時間程かかるのと、設定後には端末をリセットしない限り元に戻せなくなりますが、紛失や盗難時に端末内のデータを守る最高の方法です。

Android-data-encryption

企業管理責任者の立場でとれるAndroidの端末管理

個人持ちのAndroid端末を仕事で活用したり、会社で導入してメールや電話帳、データ等を入れて利用したりするのなら必ず対策を考えなければなりません。社員個人個人が前述のような対策をとってくれればベストだが実際そこまで望めないのが現実です。

多くのMDM製品が争っている理由がここにあります。管理者が社員たちの端末を管理するのがMDMだが、Android管理においては提供するメーカー毎に制御機能が若干異なります。むしろiOSの場合はほとんどのMDMで同一の管理機能を提供します。

それは、GoogleはAppleより充実で細かく管理できる機能を提供していないからです。Appleでは端末管理制御Payloadが定期的にアップデートされ、これらを利用すれば十分に安全な企業の端末管理ができます。

そういう意味でAndroidはまだ十分ではありません。だからメーカー別に各自固有—のコードで制御機能も多少違う事があります。

MDM MoDeMの場合、基本的なAndroid端末管理以外にも(Android MDMページご参照)管理者がリモートでウィルスチェックを一斉に実行させることができるMobile Security Pro(アンチウィルスソフト)をオプションで提供しています。

予約検査機能も備えていて例えば、朝8時に全端末にウィルスチェックを実行すると、管理者に検知結果をレポートしてくれます。このように社員個人が怠りやすいウィルス検査を代行することで感染を防ぐことができます。

また、前述した端末の暗号化を管理者が強制することができます。遠隔で直接端末を暗号化することは不可能ですが、端末上にアラートを繰り返し表示させてユーザー操作を促します。また、端末暗号化が設定されたかどうかを管理コンソールで確認することができます。

参照リンク

自作アプリの配布

iPhoneのアプリケーションをAppStoreを経由せずに配布する方法は以下の2つの方法があります。

1. AdHocを使った配布

「AdHocによる配布」は、非開発者のβテストへの参加を可能にするという点で、特定のユーザにアプリケーションを渡し、動作の検証に役立てようという趣旨で用意されている配布方法です。

この方法では、メールやWeb経由、もしくは、AppleのiPhone構成ユーティリティで、アプリのインストールを行うことができる。

iPhoneやiPod touchのUDID(デバイス固有の識別子)をApple Developer Program管理画面(Provisioning Portal)に登録し、そのUDIDに紐付けられた証明書とともにアプリを配布します。

2. In-House形式(iOS Developer Enterpriseで社内向けiPhoneアプリを作る方法)

AdHocの場合は事前にApple Developer Program管理画面(Provisioning Portal)で、デバイスの登録を行っておく必要がありますが、Enterpriseライセンスだと、デバイスの事前登録が不必要で、何台でもインストール出来るので断然便利です。

iOS Developer Enterpriseを使うと以下のメリットがあります。

• AppStoreに公開する必要がない(機密の保持)
• 配布台数制限なし
• インターネット経由でアプリをダウンロード出来る
• 事前にデバイス登録しておく手間が必要ない

In-House形式で配布を行うには、iOS Developer Enterprise Programへ申込みとアプリの配布に必要なWebサーバーが必要です。

Webサーバーは外部に漏れないよう厳重に管理する必要があります。In-House形式の配布だと何台でもインストールできる代わりに、アクセス制限などをかけID・PWで制限する必要があり、不特定多数のユーザーからダウンロードされないように準備をしておかないとiOS Developer Enterprise Programの規約違反になります。

MDM MoDeMを利用するとWebサーバーを用意せずともMoDeMを使って安全に配布することができます。

MoDeMを使った自作アプリの配布

「自作アプリの配布」、AppStoreやGooglePlayなど公開してはいけない社外秘の「非公開アプリの配布」をMoDeMを介して行うことができます。

MDM  MoDeMは”アプリの配布”機能をオプションではなく標準機能としてご利用できます。

追加時の各項目

• Source:ファイルをコンピュータからアップロードしたり、URLを指定します。
• アプリ名:アプリ名を入力します。
• 詳細:アプリの説明を入力します。
• アプリVersion:バージョンを入力します。
• ICON Image:アイコン画像をアップロードします。
• ScreenShot:スクリーンショット。画面イメージを指定します。(少なくとも1つ以上の追加が必要)

mam

関連トピック

Android端末のSDカード使用制御

Android端末の「SDカード使用制御」とは、スマートデバイスに対して、SDカードの使用を制限することでデータの持ち出しを制限し、情報漏洩を防止します。

MoDeMでの「SDカード使用制御」の方法

MDM MoDeMでSDカードの使用を制限する方法は以下のとおりです。まず、管理者Webサイトの左側のメニューからポリシーメニューをクリックします。 新規ポリシーの登録をクリックした後、新しいポリシーの適当な名前を入力します。(ここでは”SDカード使用制御”とします。)

sd_001

右上にある[機能制限]タブを選択し、”SDカード使用を許可”の選択して保存をクリックして保存します。

sd_002

保存した”SDカード使用制御”ポリシーを端末に適用します。

sd_003

Android MDM機能を見る

CTS未認証端末

CTS(Android Compatibility Test Suite)とは、

Google社がAndroid Platform採用端末に実施を義務付けているTest群です。CTSはAndroid Marketで配布されるアプリケーションがAndroid端末でスムーズに利用可能なように主要な公開APIを使ってチェックします。

Androidデバイスの互換性をテストし、アンドロイド標準SDKで必要なAPIが存在するのか、そして正常に動作することを確認することです。

開発者が標準SDKの開発ガイドに沿って作成されたアプリケーションが、CTSの認証を受けたアンドロイド対応デバイスで正常に動作することを保証するためであり、したがってCTSの通過は、Androidマーケットに接続をするための最も基本的な要件です。

そして、Googleのポリシーにマーケットプログラムだけでなく、GMS(Google Mobile Service)と呼ばれる様々なアプリケーションの(Gmail、Maps、Search、YouTube、etc)も互換性テストに合格する必要があり、ライセンスを受けられるようになっています。

Android CTS未認証端末とは、

通常「Android Market」などの米Google社製のアプリケーション・ソフトウエア(アプリ)をAndroid機器に搭載するにはCTS認証を受ける必要があります。しかし、Android CTS未認証端末はGoogleCTSテストを経ていない端末を意味します。これらの端末はAndroid Marketなどがインストールされていません。

MDM MoDeMで”CTS未認証端末”も使用できますか?

はい、使用できます。多くの場合、端末の登録・配布・ポリシー設定などMDMの基本的な機能を問題なく使用することができます。また、”Android CTS未認証端末”でもGPSが可能な端末であれば、GPSの位置追跡機能も問題なく使用できます。ただし、アドレス帳の共有機能の場合は端末によりご利用できない場合があります。

CTSの公式サイト(英語)

Jailbreak/root化とは何かでしょうか? – MDM MoDeM

Jailbreakは、「脱獄」を行ってiPhoneのファームウェアを書き換えることです。

iPhoneなどiOSデバイスにはセキュリティーがかかっておりAppleが認めたソフトウェアしかインストールできません。しかし、jailbreak(脱獄)を行うと、その制限を解除して好きなソフトをインストール出来ます。

AppStoreのアプリでは実現出来ないようなソフトが使えるので便利な面もありますが、iPhoneの中に直接アクセスできるようになりますので、一般のパソコンのように自由自在にファイルを放り込めるのでセキュリティ面では非常に危険を伴います。

ちなみにAndroid端末では、「root化」と表現しています。

「Jailbreak/root化された端末検知」とは、社内業務用に使用されている端末がJailbreak/root化された端末か否かを確認する機能を意味しており、ほとんどのMDM(モバイルデバイス管理)ソリューションで提供されています。

MDM MoDeMで「Jailbreak/root化された端末検知」方法

MoDeMに登録された端末がJailbreak/root化された端末か否かを、一目で把握できるようにデバイス情報欄に表示します。

Androidデバイスの保存データを暗号化

MDM MoDeMのポリシーのアンドロイドの設定にある「データ暗号化を使用」オプションをチェックすると、該当するAndroidデバイスは、データを暗号化するようにアラートが表示されます。

Androidデバイスには、[設定] > [ユーザー設定] > [セキュリティ] > [暗号化]で保存データを暗号化するオプションがあります。このAndroidデバイスの「暗号化」というセキュリティ設定は、アカウント、アプリのデータ、音楽や動画、ダウンロードファイルなどのデバイス内にあるすべてのデータを暗号化することで、Androidデバイスを紛失や盗難から守り、より安全に利用することができます。

暗号化の手順は各デバイスの製作メーカーにより少し違う場合があります。

まず暗号化はデバイスを十分に充電した状態で、ACアダプターを繋げた状況で暗号化開始してください。またロック画面設定でパスワードを予め設定しておきます。(一般的には暗号化のパスワードは画面ロック用のパスワードと共通のものです。)

[設定] > [セキュリティ] > [暗号化] > [タブレットを暗号化] or [携帯端末を暗号化] をクリック

Android-data-encryption

(※電池を充電していない場合や端末を電源に接続していない場合は、クリックできません。)

暗号化処理のために長い場合は1時間程度の時間がかかります。その間デバイスを利用できなくなりますので、暗号化は余裕がある時間に行ってください。

Androidデバイスの暗号アルゴリズムは、(標準的なAndroidの場合)AES128bit CBCモードを使用してます。国際暗号学会(IACR)が主催した2011年度の学会CRYPTOでの発表によれば、AESアルゴリズムの安全性について、”直ちに現実的な脅威につながる問題はない”とその安全性が確認されています。

Androidデバイスをビジネスで使う場合、そのデバイスに保存したデータを暗号化して利用することでより安全な利用にスマートデバイスを活用できます。しかし、Androidデバイスの標準暗号化機能には注意すべき点がいくつかあります。

1. 暗号化するとデバイスの電源を入れるたびにパスワードを入力しなければなりません。

複雑なパスコードを設定することに越した事はないです。しかし、現実問題として常に使うスマートデバイスを毎回起動する度に英数字の組み合わせの複雑なパスワードを入力する行為はスマートデバイスの利用効率をかなり妨げるものになってしまうので現実的ではありません。ですので、本来複雑なパスワードですが、保護すべきデバイスの暗号化時のパスコードは入力しやすいパスコードを検討せざるをえません。

2. 暗号化中に何かしらの理由で失敗した場合、すべてのデータが消滅することがあるようです。そのため、導入時に自己責任で実行する必要があります。

また、殆どのデバイスでは、暗号化した時のパスワードがあれば暗号化したままでもOSのバージョンアップが可能ですが、一部の機種ではバージョンアップの最中にデータが壊れるリスクを避けるために、暗号化している状態ではバージョンアップができないようにしている端末もあります。(詳しくはメーカーさんにお問い合わせください。)

3. 暗号化に使用するパスワード(PIN)が、普段のロック解除パスワードと共通のものになります。

多くの機種では一度暗号化を行うと解除する方法がありません。暗号化を止めるには端末を初期化するしか方法がありません。暗号化のパスワードはデバイスの利用者が設定した画面ロック用のパスワードと共通のため、会社の持ち物としてデバイスを管理する場合、管理者であってもデバイスにアクセスができなくなります。

4. 古い機種では暗号化後、若干動作が重くなります。

Android2.3などの機種の場合、特に著しく動作が重くなる場合があります。以上のように、Androidの暗号化はとても有効的なセキュリティ強化方法の1つではありますが、管理面からも懸念点があります。暗号化の設定をポリシーに取り入れる際には、導入前に十分な検証が必要だと思います。

関連トピック