Post on 25-Sep-2020
プライバシー規制の要件を満たす MobileIron Threat Defenseの設定方法
MKT JA-JP v1
〒106-0041 東京都港区麻布台1-11-10
日総第22ビル3階
Tel: 03-6426-5301
Fax: 03-6426-5302
japan@mobileiron.com
背景
オンラインプライバシー規制の対象となる企業や組織は、個人情報を含む保存データと通信中データの保護機能をセキュリティポリシーに組み込み、データ侵害による出費と信用低下を防ぐ必要があります。Ponemon Instituteによれば、2017年のデータ侵害の平均コストは362万ドルでした。これは、機密情報を含む各レコードが紛失または盗難に遭ったときの平均コストであり、組織の信用低下による損害は計算に入っていません。
この実装ガイドでは、管理者がMobileIron Core、Cloud、Threat Defenseを使用し、個人情報データの収集と表示を制限するための手順をご紹介します。
本ガイドは、記述時点の情報に基づいており、製品、業務、規制の変更に伴って随時更新される場合があります。法律上の助言ではなく、一般的な情報目的のみで提供され、契約上の効力はありません。MobileIronは、本ガイドが特定の目的に適合することを保証せず、その利用に関して一切の責任を負いません。本ガイドの情報は、お客様がMobileIronの製品とサービスを評価する際の参考情報として提供されています。
2
MobileIron Threat Defenseソリューション
MobileIron Threat Defense(MTD)ソリューションは、API経由でMobileIron CoreまたはCloudに送信された個人情報データのサブセットを、お客様のMobileIron Threat Defense管理コンソールテナントに転送します。MTDサービスは、Mobile@WorkまたはMobileIron Go統合型クライアントアプリ(Zimperium ziAP SDKを含む)を使用し、ユーザーがMobileIron CoreまたはCloud登録を正常に完了した後でマネージドデバイスに配信されます。個人情報データと見なされ得る収集データには、デバイスの電話番号、IMEI(国際移動体装置識別番号)、IPアドレス、UDID(固有移動体装置識別番号)、GPSデータ、cookie、MACアドレス、デバイスにインストールされているアプリ名(個人特性を含む場合がある)のほか、デバイスユーザーの姓、名、メールアドレスなどがあります。
MobileIron CoreとMobileIron Coreによって収集および保存された個人情報データの保存場所は、通常、お客様のオンプレミスまたはホスティングプロバイダーになります。MobileIron Cloudは、パブリッククラウドプロバイダーであるAmazon Web Services(AWS)のInfrastructure-as-a-Service(IaaS)にホスティングされています。MobileIron CoreまたはCloudからMobileIron Threat Defenseクラスターに送信される個人情報データは、TLSバージョン1.2対応のHTTPSプロトコルで保護可能です。
統合エンドポイント 管理
MobileIron Coreバージョン9.7では、デフォルトプライバシーポリシーは下の図1のようになっています。
• アプリのインベントリを、AndroidエンタープライズなどのAndroidデバイスはアプリカタログに限定。iOSの場合はマネージドアプリに限定
• SMSログと通話ログの収集なし
• iOSの位置情報ウェイクアップを無効化
• 位置情報データの収集なし
• ローミングステータスを無効化
図1 - MobileIron Coreプライバシーポリシーのデフォルト設定
*MobileIron Coreの旧バージョンをアップグレードした場合は、プライバシーポリシーを図1に示す設定に変更する必要があります。
3
図2のMobileIron Cloudプライバシー設定は、デフォルトでアプリカタログからのみアプリインベントリを収集し、位置情報を無効化します。SMSログ、通話ログ、iOSの位置情報ウェイクアップ、位置情報、ローミングステータスデータは、マネージドデバイスから収集されません。
図2 - MobileIron Cloudのデフォルトプライバシーポリシー設定
図3 - MobileIron Coreのデバイス詳細ページにあるアプリインベントリ
MobileIron Coreのデフォルトプライバシーポリシーが有効の場合、図3のデバイス詳細ページには、アプリカタログ(Androidデバイス)とマネージドアプリ(iOSデバイス)から追加されたアプリしか表示されません。このアウトプットは、デフォルトプライバシーポリシーを適用している場合のMobileIron Cloudデバイス詳細にあるインストール済みアプリと同じになります。
4
MobileIron Threat Defense 管理コンソール
MobileIron Threat Defenseの管理コンソールには、モバイルデバイスユーザーの氏名とメールアドレスをマスキングする機能があります。これで管理者にこういった情報が開示されるのを防ぐことができます。図4のMDM設定を追加する際は、UEM URLアドレスとAPIユーザーアカウントのユーザー名とパスワードを入力した後、[ユーザー同期]と[インポートしたユーザー情報を隠す]設定を選択します。この設定でUEMからユーザーが管理コンソールに追加されますが、ユーザーの詳細情報はアスタリスク表示になります。ユーザー同期設定は、CoreまたはCloudを管理コンソールと統合するために必要です。
図4 - MTD管理コンソールのMDM設定
5
以下の表は、ユーザーの役割と管理コンソール内で 与えられる権限を示しています。モバイルデバイスユーザーの個人情報データはUEMからのインポート時にマスキングしない限りは、エンドユーザーを除き、どの役割でもある程度見ることができます。UEMからインポートされたすべてのユーザーには、エンドユーザーの役割が指定されます。この役割では、Mobile@WorkまたはMobileIron Goに統合されたMTDクライアントを実行するモバイルデバイスを管理コンソールに登録できますが、管理コンソール自体にはログインできません。
役割 権限
システム管理者 すべての特権を持ち、管理コンソールのすべての
要素にアクセス可能
モビリティ
管理者MDM設定のみ追加または変更可能
セキュリティ
管理者
脅威を表示し、対策を実行可能
L2サポート レベル1からエスカレーションを受けるレベル2ヘルプデスク
L1サポート ユーザー、デバイス、脅威への読み取り専用アクセ
スが可能なレベル1ヘルプデスク
リスク/コンプ
ライアンス
監査とコンプライアンスを目的とした管理コンソ
ールへの読み取り専用アクセス
エンドユーザー MTDクライアントを管理コンソールに登録するのみ。管理コンソールへのアクセスなし
管理コンソールには、独立したプライバシー設定があり、位置情報、アプリケーションバイナリ、フォレンジックなど所定の解析情報のほか、ネットワーク(通信事業者情報を含めることも可能)、デバイス、ユーザーの詳細情報を収集します。この個人データは、UEMへの最初のデバイス登録時、およびUEMとのデバイス同期間隔と同じ周期で収集されます。マネージドデバイス上に脅威が生じたときにも収集されます。
図5のフォレンジックデータ設定で脅威設定をデフォルトのままにしておけば、iOSデバイスでもAndroidデバイスでも最高レベルの脅威防御とセキュリティが得られます。この設定により、ユーザーのログイン
図5 - MTD管理コンソールのフォレンジックデータ設定
時とデバイスの定期的なチェックイン時に多くの情 報を収集できます。デバイス、ネットワーク、アプリに関するフォレンジックデータも収集されるため、デバイス上で検出された脅威への対策にも役立ちます。この情報は、MobileIron Threat Defenseの管理コンソールにも表示されますが、デバイス上で脅威が検出された場合に限ります。また、表示されるのはダッシュボードと脅威ログセクションのみです。一部の脅威防御およびセキュリティ機能を無効にし、収集する情報を減らしたい場合は、図5のカスタム設定をご利用ください。
Core、Cloud、MobileIron Threat Defense管理コンソールで上記の設定が有効の場合、マネージドデバイスで悪意あるアプリがインストールおよび実行され
6
図7 - Androidデバイス上のMobile@Workクライアントの脅威通知
ユーザーに対し、脅威と対策に関する通知が表示されるなど、コンプライアンス アクションが実行されます。これらのコンプライアンスアクションを図6、7に示しました。
図6 - Androidデバイス上のMobile@Workクライアントの脅威通知
7
図8 - MTD管理コンソールのダッシュボード(KingRoot脅威)
図9 - MTD管理コンソールのダッシュボード(TowelRoot脅威)
図8、9に示したMTD管理コンソールのダッシュボードは、モバイルデバイス上に検出された疑わしいAndroidアプリのフォレンジック情報を表示しています。これは、マネージドiPhone、iPad、iPodで疑わしいiOSアプリが検出された場合も同じです。脅威タイムラインには、Wi-Fiネットワークに接続しているデバイスの内部・外部IPアドレスとSSID名、ゲートウェイMAC、IPアドレス、マルウェアリスト名が表示されます。モバイルデバイスユーザーの詳細情
報はマスキングされ、アプリのバイナリ情報は表示 されません。
下の例では、TowelRoot、KingRoot APKという悪意あるアプリがAndroidデバイスにダウンロードされました。インストールと実行も許可されています。これには、Google Playプロテクトによるスキャンを無効化し、不明なソースを有効化する必要があります。どちらのアクションに対しても、図6、7に示した通知のように、MobileIron Threat Defenseはそれぞれ脅威
コンプライアンスアクションを自動的に実行します。次に、必要に応じてモバイルデバイスを隔離し、メールとAppConnectアプリをブロックし、すべてのUEMプロビジョニング済み設定(メール、VPN、Wi-Fi、ID証明書など)の削除、すべてのマネージドアプリとそのコンテンツの非表示または削除を実行します。
8
要件:
• MobileIron Coreバージョン9.7以降
• MobileIron CloudバージョンR54以降
• iOS対応Mobile@Workバージョン9.7以降
• Android対応Mobile@Workバージョン9.6以降
• iOSおよびAndroid対応MobileIron Goバージョン3.2
• MobileIron Threat Defense管理コンソールバージョン4.12.87-GA
まとめ
UEMのセキュリティやロックダウンポリシーの適切な設定とMobileIron Threat Defenseを組み合わせることで、多層型のセキュリティ戦略を実行し、自動化された脅威対策によってモバイルユーザーの個人情報を含む保存データおよび通信中データを保護します。本書では、iOSまたはAndroidのマネージドデバイスから収集し、MobileIron Core、Cloud、MobileIron Threat Defense管理コンソールに送信する個人データの量を制限するための手順を説明しました。
Copyright 2018 MobileIron, Inc.