• TOP>
  • 社内のスマホ、守ってますか?「Symantec Endpoint Protection Cloud」でモバイルデバイスもまとめて安全

社内のスマホ、守ってますか?「Symantec Endpoint Protection Cloud」でモバイルデバイスもまとめて安全

専任IT担当者がいない規模の企業でもエンタープライズレベルのセキュリティを安価に構築できる「Symantec Endpoint Protection Cloud」。今回は社用・私用問わず使われるモバイルデバイスの保護について見ていこう。

第1回で紹介したSymantec Endpoint Protection Cloud(以下、SEP Cloud)はもう導入済みだろうか。第1回記事ではクライアントとしてPCを紹介していたが、現在のオフィス事情ではPCだけを保護しても不十分だ。今回はSEP Cloudでスマートフォンやタブレットなどのモバイルデバイスをまとめて保護する手順を紹介する。

意外におろそか? モバイルデバイスのセキュリティ

働き方改革によって勤務場所に縛られないテレワークを導入する企業も増えてきた。だが、利便性とセキュリティは相反するケースも多く、テレワークの導入のためには事前にしっかりとしたセキュリティ対策を行うことが重要だ。

モバイルデバイス、特にスマートフォンはさまざまなコミュニケーションのツールとなっているため、その中には個人情報が大量に保存されている。また、出先や自宅で完全にオフィスと同等のことができなくても、メールや予定表のチェックだけでもできれば……という社員の声を受けて、コストの兼ね合いから個人用のスマートフォンを業務に使用する、いわゆるBYODを認める(あるいは黙認する)ケースもある。

まさに利便性とセキュリティが相反する代表例であり、いざ企業でモバイルデバイスのセキュリティ対策を行う、といっても具体的にどうすればいいかピンと来ないのではないだろうか。

セキュリティ担当者がいないSOHO、中小企業でも、安価にエンタープライズレベルのセキュリティ対策を行うことができるSEP Cloudを導入すれば、PCだけでなく、会社所有あるいは個人用のモバイルデバイスまで一元管理・保護することができる。今回は第一回の続きとして、SEP Cloudが導入されている組織でモバイルデバイスの管理を追加する方法を紹介しよう。

モバイルデバイスにSEP Cloudを導入するには

SEP Cloud導入済みの組織で新たにモバイルデバイスを管理するのは非常に簡単だ。モバイルデバイスの追加登録は管理したいモバイルデバイスから、各ユーザーが簡易管理ページにアクセスして行う。ここではAndroid、iOS両方の導入手順を紹介する。

Android端末の場合

Android端末の場合は上記の説明でほとんど終わってしまうくらいに手順は簡単だ。各ユーザーがAndroid端末で簡易管理ページにサインイン、「このデバイスを追加」をタップする。次にデバイスが会社所有のデバイスなのか、個人用のデバイスなのかを選択する。

会社所有のデバイスでは各種ポリシーが強制的に適用されるのに対し、個人用のデバイスでは会社のポリシーに基づいて許可または制限される。また、端末盗難・紛失時などにデバイスのデータを消去し、初期状態にしてしまう遠隔ワイプが利用できる、できないの違いもある。

いくら業務にも利用するからとはいえ、個人用のデバイスを完全に会社が管理することは好ましくない。もちろん、社員の方からしてもそこまでして自分の端末を会社にささげたいとは思わないだろう。SEP Cloudでは会社所有のデバイスと個人用デバイスを明確に区別することで、両方のケースにマッチした運用を行うことができる。

スマートフォンから簡易管理ページにサインインして「このデバイスを追加」をタップ(画面=左)。
会社所有デバイスか、個人用デバイスかを選択(画面=右)

会社所有のデバイスと個人用のデバイスの違い

デバイスの登録準備ができたらエージェントとなるセキュリティアプリケーション「SEP Cloud」のインストールを行う。SEP Cloudは一部セキュリティベンダーなどで見られた「独自アプリケーションストアからのインストール」とは異なり、Google Playからインストールされる。

デバイスの登録準備ができたらセキュリティアプリケーションのインストールを行う(画面=左)。
セキュリティアプリケーション「SEP Cloud」はGoogle Playからインストール(画面=右)

インストールが完了したらアプリを起動し、「GET STARTED」をタップして初期設定を進めていく。基本的には先に進めていくだけなので難しいことはない。

SEP Cloudを起動したところ。GET STARTEDをタップ(画面=左)。モバイルデバイスを保護するためにVPNを有効化。「続行する」をタップ(画面=中央)。SEP Cloudの利用ではその管理上、多くの権限を必要とするので許可をする(画面=右)

iOSの場合

iOSの場合は事前に組織管理者がAPNs(Apple Push Notification service)証明書の登録を行う必要がある。これはサーバからの通知をiOS端末にプッシュ通知を送るために必要な証明書だ。証明書の発行は組織管理者が申請してAppleが行う。そのため、組織管理者は事前にApple IDを取得しておく必要がある。

APNs証明書の発行・登録手順はSEP Cloud管理画面メインメニューの「設定」にある「Mobile Device Management」から行う。作業はたった3ステップだ。

ステップ1:証明書署名要求のダウンロード
証明書を発行してもらう場合、まず行うことは証明したい内容を記述した証明書署名要求ファイル(CSRファイル)の作成だ。「Mobile Device Management」のページ下部「ステップ1 証明書署名要求のダウンロード」にある「ダウンロード」ボタンをクリックすると、Apple.csrファイルをダウンロードできる。

設定→Mobile Device Managementを選択(画面=左)。
画面下部の「ステップ1 証明書署名要求のダウンロード」にある「ダウンロード」ボタンをクリック(画面=右)

ステップ2:APNs証明書の作成または更新
ダウンロードしたApple.csrはまだ署名が入っていない状態だ。次にこれをAppleに提出し、署名を付けてもらう作業を行う。

「Mobile Device Management」ページ下部「ステップ2 APNs証明書の作成または更新」にある「Apple Push Certificates Portal」をクリックすると新しいタブでApple Push Certificates Portalが開く。組織管理者のApple IDでログインし、「Create a Certificate」をクリックする。

利用許諾にチェックを入れて先に進むと「Create a New Push Certificate」ページが表示されるので、そこで先ほどダウンロードしたApple.csrを選択、アップロードする。署名はすぐに完了し、APNs証明書がダウンロードできるようになる。APNs証明書のファイル名は「MDM_ Symantec Corporation_Certificate.pem」となっている。

「ステップ2 APNs証明書の作成または更新」にある「Apple Push Certificates Portal」をクリックし、Apple IDとパスワードでログイン。ログインしたら「Create a Certificate」をクリックし、利用許諾にチェック入れてAccept

先ほどダウンロードしたCSRファイルをアップロードし、署名された証明書をダウンロードする

ステップ3:APNs証明書のアップロード
最後にAPNs証明書を管理コンソールに登録する。「ステップ3 APNs証明書のアップロード」の入力フィールドにAPNs証明書を作成した際に使用した組織管理者のApple IDとダウンロードした証明書ファイル「MDM_ Symantec Corporation_Certificate.pem」を選択、「アップロードボタンをクリックする。

SEP Cloudの画面に戻り、「ステップ3 APNs証明書のアップロード」にApple IDとAPNs証明書を指定し、アップロード(画面=左)。登録完了。セキュリティ証明書管理に登録情報が表示される。期限は1年間なので、期限が切れるまでに更新を行う(画面=右)

組織管理者側の作業が完了したら、各ユーザーにてAndroid端末同様、iOS端末からSEP Cloud簡易管理ページにアクセスして「このデバイスを追加」をタップする。会社所有のデバイスか、個人用のデバイスかを選択して「次へ」をタップすると「このデバイスを登録」ページが表示される。

デバイスの登録では管理プロファイル、セキュリティアプリケーションの2つがインストールされる。「登録を開始」をタップするとSymantec Corporationによって署名された「Enrollment Profile」プロファイルのインストール、セキュリティアプリケーションのインストールが連続して行われる。

iOS端末の登録は管理プロファイル、セキュリティアプリケーションのインストールの2段階で行われる(画面=左)。まずは管理プロファイルのインストール。署名者がSymantec Corporationであることを確認してインストール(画面=右)

プロファイルをインストールすると管理者に各種リモート管理のための権限が許可される。「信頼」をタップして進む(画面=左)。セキュリティアプリケーションをインストールすれば登録完了(画面=右)

SEP Cloudでのモバイルの使い方

SEP Cloudでできるセキュリティの管理には大きく分けて3つのフェーズがある。まず、端末を安全な状態にすること。次に安全な状態を維持すること。最後に、緊急事態に被害を食い止める対応をすることだ。

端末が安全な状態かどうかはモバイルアプリのダッシュボードから簡単に確認できる。画面デザインに若干の違いはあるものの、モバイルアプリの使い方はAndroid、iOSで共通だ。ダッシュボードにはネットワーク、OS、アプリの3カテゴリーで安全度が表示される。「安全」となっていない場合には画面下部に「アクティブ警告」としてその理由と対処方法が表示される。その内容に従って対応すればよい。

Android版のSEP Mobile(モバイルアプリ)ダッシュボード。アクティブ警告が3つ出ている(画面=左)。アクティブ警告をタップしたところ。低危険度の原因となる設定が表示された。それぞれの警告をタップすると対処方法が表示され、設定画面に移動する(画面=中央)。対処が完了したところ。この状態になれば安心だ(画面=右)

SEP Cloud管理画面からも安全なデバイスになったことが確認できる

安全な状態の維持はセキュリティアプリケーションの基本的な機能ともいえる。マルウェア防御、ネットワーク防御、脆弱性防御、物理的防御といった多層防御を常にバックグラウンドで実行する。加えてモバイルデバイスならではの特徴的な機能として、「近くの疑わしいネットワーク」を地図上に表示できる。フリーWi-Fiを使って携帯網の通信量をセーブしたい、という人にとっては心強い機能だ。

「近くの疑わしいネットワーク」をタップすると暗号化されていないフリーWi-Fiなどが表示される

盗難・紛失などの緊急事態には管理画面からロックをかけることができる。さらには最終手段として全てのデータを初期化するワイプも利用可能だ(会社所有端末の場合)。

管理者の管理画面から紛失したモバイルデバイスをロック

まとめ

働き方の多様化により、スマートフォンをはじめとするモバイルデバイスの活用がこれまで以上に進んでいくことは間違いない。1人2台以上のデバイス、会社所有と私物の混在――今までは想定されていなかった環境が今後は当たり前になっていく。そんな中、利便性と安全性を高い水準で両立することができるSEP Cloudは有力な選択肢だ。1ユーザー5デバイスまで月額500円で保護できる上、対応プラットフォームもWindows、MacOS、Android、iOSと幅広く網羅している。BYODからテレワークを始めていきたい、というSOHO、中小企業にオススメのソリューションだ。

お問い合わせ

Norton製品についてのお問い合わせ、技術的なお問い合わせ、ストアで取扱のない製品、販売店様からのお問い合わせにはお答えいたしかねますので予めご了承ください。
インフォメーション
ご注文手続きについて

ユーザー登録(無料)後は、オンライン特別価格で見積もり・購入いただけます。

ページの先頭へ戻る