通信
Windows Mobile 6 を使用してセキュリティを強化する
Matt Fontaine
概要:
- デバイス上のセキュリティ
- Exchange Server のセキュリティ
- ネットワーク セキュリティ
モバイル デバイスを使用すると世界各地にいる従業員の生産性が向上します。というのも、オフィスから離れた場所にいても、会社の情報にアクセスして接続を維持できるためです。
生産性が向上するのは事実です。モバイル デバイスの電源を入れて、仕事に取りかかるだけでよいのです。
その陰には、仮想オフィスの安全性と安定性を確保するという困難な作業に立ち向かっている IT プロフェッショナルがいます。IT プロフェッショナルの視点から見ると、どのモバイル デバイスでもネットワーク セキュリティの漏洩やデータ盗難といったマイナス面があります。モバイル デバイスの展開を構築する際によりセキュリティで保護されたものにすることは重要ですが、シームレスで直感的なユーザー エクスペリエンスを提供することともバランスを取る必要があります。
Microsoft® Windows Mobile® 6 とその前身である Messaging and Security Feature Pack (MSFP) が適用された Windows Mobile 5.0 には、企業インフラストラクチャをセキュリティで保護するための多くの機能が含まれていて、ユーザーは難しい操作や手間のかかる操作を最低限だけ行えば済みます。メッセージング プラットフォームとして Microsoft Exchange Server を使用すると、使用できるセキュリティ オプションがさらに多くなります。この記事では、会社のモバイル デバイスを保護するための基盤として、Windows Mobile、Exchange Server、およびネットワーク セキュリティのベスト プラクティスを使用する方法について説明します。
モバイル通信アーキテクチャ
モバイル展開を計画またはアップグレードするときには、考慮すべき 3 つの層があります。それらは、デバイス、メッセージ サーバー、およびネットワークです (図 1 参照)。デバイス レベルの主要な課題には、デバイスに対して承認されたアクセスのみを許可することと、デバイス上に許可されていないアプリケーションをインストールしないことが含まれます。Windows Mobile では、PIN 認証とパスワード保護、デバイスのタイムアウト ロック、デバイスのメモリが失われたか盗まれた場合にローカルまたはリモートのいずれかでメモリの "ワイプ" または消去を行う機能を使用して、デバイス自体に対する承認されていないアクセスを防ぐことができます。通信チャネルおよびリムーバブル記憶域のデータの暗号化がサポートされています。ウイルスやスパイウェアなどの許可されていないアプリケーションのインストールや、デバイスの重要な部分へのアクセスを防ぐことも重要です。管理の役割定義、アプリケーションのアクセス層、コード署名の設定、セキュリティ設定、およびセキュリティ証明書を組み合わせると、デバイスレベルの保護を実現するのに役立ちます。
図 1** モバイル通信の層 **
次のセキュリティ層は、Service Pack 2 (SP2) を適用した Exchange Server 2003 や Exchange Server 2007 などのメッセージング サーバーです。この層には、メッセージ セキュリティ (デバイス間でメッセージを安全に転送するために使用されるテクノロジ) および Exchange ActiveSync® 経由で行うメッセージ サーバーとモバイル デバイス間のやり取りが含まれます。Windows Mobile デバイスの使用時に Exchange Server は必須ではありませんが、Exchange を使用すると、コスト、スケーラビリティ、パフォーマンス、管理においてメリットがあります。
デバイスレベルとメッセージング サーバーのセキュリティに対して優れた方法を使用することは重要ですが、ネットワーク層を保護することも重要です。ベスト プラクティスに従って企業ネットワークを構成し、強力なセキュリティ プロトコルを実装することで、1 つ以上のモバイル デバイスが侵害された場合でもネットワークが損害を受けないようにすることができます。
デバイス上のセキュリティ ポリシー
セキュリティ侵害からの保護で最も重要なのは、Windows Mobile 搭載デバイス自体です。Windows Mobile オペレーティング システムには、認証、メモリ カードの暗号化、仮想プライベート ネットワーク (VPN)、Wi-Fi の暗号化、および Secure Sockets Layer (SSL) の各サービスをサポートする、デバイスレベルのさまざまなセキュリティ サービスが用意されています。デバイスレベルのセキュリティには、デバイスおよびデバイス データへのアクセス権を持っているユーザーの管理、デバイス上で実行できるアプリケーションの制御、およびデバイス間でデータを転送する方法の確立が含まれます。通常、管理者は MSFP が適用された Windows Mobile 5.0 と、Windows Mobile 6 の両方のセキュリティ ポリシーを非常に柔軟に設定して適用できます。
ユーザー アクセスは PIN 認証またはパスワード認証を使用して管理されます。デバイスは非アクティブな状態が一定期間続いた後や電源がオフになった後に自動的にロックするように設定できます。ロックされたデバイスを再び使用するには、ユーザーはデバイスのロックを解除する必要があります (図 2 参照)。ユーザー アクセス制御は具体的には、セキュリティ ポリシーを使用して設定します。セキュリティ ポリシーは、管理者のセキュリティ上の役割によって変わります。
図 2** パスワード ポリシーの設定 **
セキュリティ ポリシーではモバイル デバイスのセキュリティをグローバルなレベルで定義します (図 3 参照)。どのユーザーがセキュリティ ポリシーを設定および変更できるのかは、セキュリティ上の役割によって決まります。Manager (管理者) の役割は通常、モバイル オペレータ用に予約されていて、セキュリティ ポリシーの設定を完全に制御できます。Enterprise (エンタープライズ) の役割は、Exchange 管理者が構成した一部のデバイス ポリシーを管理するために Exchange で使用されます。デバイスの提供元との契約によっては、会社のセキュリティ ポリシーをカスタマイズできる場合があります。
Figure 3 モバイル デバイスのセキュリティ ポリシー
| ポリシー | モバイル デバイス |
| デバイスへの不正な侵入をブロックする | MSFP を適用した Windows Mobile 5.0ユーザーが毎回デバイスで認証を行って、デバイスのロックを解除するか、ユーザーがデスクトップで PIN を入力できるようにする必要があることを指定します。既定の役割 : Manager (管理者)、Enterprise (エンタープライズ)。 Windows Mobile 6ユーザー アクセス許可を付与または拒否して、リムーバブル記憶域メディアのモバイル暗号化設定を変更します。既定の役割 : Manager (管理者)、Enterprise (エンタープライズ)。 デバイス ロックがアクティブな場合に、ユーザーがデバイスへの接続時にデバイスに対して認証する必要があるかどうかを指定します。既定の役割 : Manager (管理者)、Enterprise (エンタープライズ)。 |
| デバイスの盗難または紛失時に重要なデータを保護する | MSFP を適用した Windows Mobile 5.0ユーザーは毎回デバイスで認証を行って、デバイスのロックを解除するか、ユーザーがデスクトップで PIN を入力できるようにする必要があることを指定します。既定の役割 : Manager (管理者)、Enterprise (エンタープライズ)。 MSFP を適用した Windows Mobile 5.0 および Windows Mobile 6デバイスでパスワードを構成する必要があるかどうかを指定します。ローカルとリモートのデバイス ワイプ設定を構成します。既定の役割 : Manager (管理者)、Enterprise (エンタープライズ)。 |
Windows Mobile で使用されるカスタマイズ可能な認証方法は、ローカル認証サブシステム (LASS) と連動するローカル認証プラグイン (LAP) によって制御されます。このテクノロジを使用すると、Exchange Server がデバイス構成をより細かなレベルで制御できます。たとえば、パスワードの長さや複雑さの要件を適用したり、単純な PIN 認証を有効にしたりします。
Windows Mobile 6 には Exchange Server 2007 を使用して構成される LAP 機能の拡張セットが用意されています。PIN パターンの認識 ("1111" や "1234" などの単純なパターンの使用を拒否するなど) を有効にしたり、パスワードや PIN の有効期限を構成したり、ユーザーが特定の条件に基づいて PIN のリセットを要求できるようにしたり、PIN やパスワードの履歴を保持しておいて、ユーザーが新しい PIN またはパスワードを作成するよう要求されたときに古い PIN やパスワードを再利用するのを防いだりすることができます。
デバイス上のデータを保護する
正しくない PIN またはパスワードが管理者によって設定された制限回数を超えて入力された場合、ローカル デバイス ワイプ機能によってデバイスがハード リセットされ、ユーザー認証の資格情報を含むデバイス メモリが消去されます。この制限は Exchange Server のセキュリティ ポリシーの一部として設定されます。正しくないエントリが 2 回入力されるたびに、デバイスはユーザーに、続行するには構造化されたキー文字列を入力するよう指示します (図 4 参照)。これにより、キーがランダムに押されても、デバイスが誤ってワイプされるのを防ぐことができます。Windows Mobile 6 と Exchange Server 2007 を使用していれば、メモリ カードをリモートからワイプすることも可能です。
図 4** PIN とパスワードの使用を適用 **
会社の重要なデータが保存されている 2 GB のメモリ カードをタクシーの中に忘れてきた場合、デバイスのロックダウンは役に立ちません。さいわい、Windows Mobile 6 を使用してこの問題に対処することもできます。Windows Mobile 6 を使用すると、メモリ カードのデータを暗号化して、メモリ カードに書き込んだデバイスだけがそのデータを読み取れるようにすることができます。Windows Mobile 6 のその他多数の拡張されたセキュリティ機能と同様に、Exchange Server 2007 を使用してモバイルでこのセキュリティ機能を提供することもできます。メモリ カードの暗号化は、ユーザーがほとんど意識することなく処理されます。Exchange Server 2007 では、ユーザーがメモリ カードの暗号化設定を変更できるようにするかどうかを管理者が選択できます。
アプリケーションを Windows Mobile デバイス上で実行できるかどうかは、Privileged (特権)、Normal (標準)、および Blocked (ブロック済み) という 3 レベルのアクセス許可に基づきます。Privileged (特権) レベルのアプリケーション (特権のある証明書ストアの証明書で署名されたもの) は、レジストリとシステム ファイルに書き込むことができ、証明書をインストールすることもできます。デスクトップ PC やサーバーと同様に、オペレーティング システム環境を変更できるアプリケーションほど、その環境が脅威にさらされるリスクが高くなります。一般的には、Privileged (特権) アクセスを持つアプリケーションの数を減らすことが推奨されます。多くのアプリケーション (特権のない証明書ストアの証明書で署名されているアプリケーションや、ユーザーが実行に同意した未署名のアプリケーション) は Normal (標準) レベルでのみ実行する必要があります。Normal (標準) レベルでは、アプリケーションを実行することはできますが、システム ファイルにアクセスすることはできません。Blocked (ブロック済み) アプリケーションは言うまでもなく、ブロックされています。不適切な設定やユーザー操作が原因で実行できません。
デバイスでは 1 層または 2 層のセキュリティ アクセスを構成できます。1 層のアクセス構成では、未署名のアプリケーションは Privileged (特権) アクセスを使用して実行されるか、ブロックされていて単に実行できないかのいずれかになります。2 層のアクセス構成の場合、ポリシーが正常に確認されるか、ユーザーがアプリケーションの実行を許可すれば、未署名のアプリケーションが Normal (標準) レベルで実行されます。デバイス設定によって異なりますが、ユーザーには未署名のアプリケーションを実行するかどうかを確認するメッセージが表示されます。
デジタル証明書 (個人、デバイス、およびアプリケーションの認証に最もよく使用される形式の 1 つ) は、デバイス レベル、サーバー レベル、およびネットワーク レベルでの Windows Mobile セキュリティの重要な部分です。Windows Mobile オペレーティング システムでは、複数の種類の証明書がデバイス上のさまざまな証明書ストアに格納されます。アプリケーションに関しては、どのアプリケーションをインストールして実行できるかは証明書によって決まります。Windows Mobile 実装のデバイスで、ユーザーによる確認を必要とせずにアプリケーションを実行するには、実行するアプリケーションが、Microsoft Mobile2Mobile プログラムによって承認されていることを示す証明書で署名されている必要があります。アプリケーションに付与されるアクセス許可レベルは、アプリケーションに関連付けられている証明書によって異なります。
ネットワーク認証の場合、各モバイル デバイスに、証明機関 (CA) から発行された多数の信頼されている商用目的のルート証明書が含まれています (図 5 参照)。メッセージング サーバー (Exchange Server など) では、デバイスのルート証明書の信頼性を確認してから、そのデバイスとの SSL 接続を確立します。会社がカスタム証明書を使用していると、購入した Windows Mobile 搭載デバイスにそれらの証明書をインストールすることができる場合や、新しい証明書を作成する必要のある場合があります。この機能については、この記事の「ネットワーク セキュリティ」で説明します。
図 5** デジタル証明書の管理 **
ActiveSync と Internet Explorer® Mobile では、SSL を使用して、デバイスと会社の Web サーバー間でのデータ転送をセキュリティで保護することができます。このことは、Microsoft Exchange データの同期、デバイスの構成、アプリケーションのダウンロードのどれを目的として接続が確立されている場合でも当てはまります。SSL では、128 ビットの RC4 暗号または 3DES 暗号を使用して通信チャネルを暗号化するので、外部からデータを読み取ることはできません。また、Windows Mobile は VPN もサポートしています。VPN は、パケットの暗号化を使用して、インターネット経由でサーバーにアクセスしているときに専用回線と同様のセキュリティを提供します。
Exchange Server のセキュリティ
Windows Mobile 搭載デバイスで Exchange Server が機能している必要はありませんが、2 つのシステムは密接に連携して、堅牢なエンド ツー エンドのメッセージングと生産性を備えたソリューションを提供するように設計されています。MSFP を適用した Windows Mobile 5.0 のリリース以降、ActiveSync は Windows Mobile デバイス設定のリモート管理を行えるように拡張されました。ActiveSync には、多くの Windows Mobile デバイス間のグローバルなセキュリティ設定を反映および適用するために、使いやすいうえに強力な手段が用意されています。
ActiveSync は IIS (Microsoft Windows Server 2003 のアプリケーションまたは Web サーバー コンポーネント) 上で動作します。IIS は、ActiveSync 自体をネットワーク経由で侵入してくる攻撃から保護するのに役立つ、組み込みのセキュリティを提供しています。Microsoft Office Outlook® Web Access (OWA) も IIS をベースにしているため、ActiveSync と OWA の両方に同一のセキュリティ証明書を使用できます。
ActiveSync を使用してエンタープライズ ポリシーを反映する場合、そのポリシーは次回デバイスと Exchange Server が同期されるときにデバイスに配信されます。ユーザーはその変更を受け入れる必要があります。そうしないと、サーバーに接続することを許可されません。大半のネットワークは、洗練されたセキュリティ ポリシーを受け入れることができないレガシ ハードウェアを含め、さまざまなデバイスに対応します。必要に応じて、レガシ ハードウェアなどの特定のデバイスをセキュリティ ポリシーの要件から除外して、それらのデバイスが引き続き接続できるようにすることが可能です。
Exchange Server 2003 SP2 と Exchange Server 2007 のセキュリティ ポリシー制御機能は少し異なります。Exchange Server 2003 SP2 では、パスワードの最低文字数を 4 ~ 18 文字に指定して、パスワードに数字と文字の両方を含めるように要求し、非アクティブな期間がどれくらい続いたらデバイス ロックを発生させるのかを設定できます。このバージョンの Exchange Server では、セキュリティ設定をデバイスにプッシュする頻度を設定したり、レガシ デバイスに対する前述の例外を許可することもできます。
Exchange Server 2007 リリースでは、ActiveSync モバイル デバイスの管理機能が拡張されていて、Exchange Server 2003 SP2 のすべての機能だけでなく、次の機能も含まれています。
- 単純なパスワード ("1234" や "1111" など) を許可または拒否する
- 添付ファイルのダウンロードを有効または無効にする
- メモリ カードの暗号化を要求する
- 添付ファイルの最大サイズを設定する
- ユーザーが OWA 経由でデバイス パスワードを回復できるようにする
- 汎用名前付け規則 (UNC) ファイルと Microsoft Windows SharePoint® Services (WSS) ファイルへのアクセスを有効にする
Exchange Server 2007 では、IT プロフェッショナルは、各ユーザーまたはデバイスに合わせてポリシーをカスタマイズしたり、ユーザー グループ用のポリシーを管理したり、特定のユーザーをセキュリティ ポリシーから完全に除外したりする作業が柔軟に行えます。
リモート アクセス ワイプ
前述のローカル デバイス ワイプに加えて、Exchange Server 2003 SP2、Exchange Server 2007、または OWA を使用すると Windows Mobile 搭載デバイスをリモートからワイプできます。同期時に実行されるリモート ワイプは、ActiveSync セキュリティ ポリシーを使用していない場合でも実行できます。リモート ワイプのハード リセットはデバイスから停止できません。データ、設定、およびセキュリティ キーは、ゼロが繰り返されると上書きされます。これにより、コア オペレーティング システムに含まれていないデータを回復するのが非常に困難になります。
ネットワーク セキュリティ
ネットワーク セキュリティは、モバイル セキュリティにとって、デバイス コンポーネントやメッセージング サーバー コンポーネントと同じくらい重要です。また、制御の中で最も明確であるモバイル インフラストラクチャの一部でもあります。1 つ以上のモバイル デバイスが侵害された場合でも、ベスト プラクティスに従って企業ネットワークを構成し、適切なセキュリティ プロトコルを実装することで、ネットワークが損害を受けないようにするのに役立ちます。
Windows Mobile はさまざまなネットワークの種類と適切に連携します。標準のインターネット セキュリティ プロトコルとファイアウォールを使用して、パフォーマンス、安定性、およびセキュリティのニーズに応じたソリューションを設計できます。
企業ネットワーク内にメッセージング サーバーが存在する場合、それらのメッセージング サーバーはインターネットと企業サーバー間のバッファとしての役割を果たすエッジ ファイアウォールを使用して保護できます。Microsoft Internet Security and Acceleration (ISA) Server 2004 または ISA Server 2006 は、両方ともこの目的に特化して設計された機能が備わっているので、すべての着信パケットを調査して、パケットの識別情報を特定してから Exchange サーバーに渡し、その後でインターネットを経由してクライアントに送信情報を返送します。
ISA Server を構成するには、SSL 暗号化を有効にし、Exchange Server トラフィック用の SSL Web リスニング ポートとしてポート 443 を指定する必要があります。このようにリスニング ポートを 1 つのポートに限定することによって、インターネットに対するリスクを最小限に抑えることができます。また、すべてのクライアントで、ActiveSync 経由の接続を行う前に、SSL リンクを確立する必要があります。
ISA Server は OWA のような Web アプリケーションのユーザーを事前認証して、未認証のユーザーがアプリケーション サーバーにアクセスするのを防ぐことができます。ISA Server 2006 は、Windows Mobile 搭載デバイスの SSL 終了ポイントとして機能することによって、ISA Server 2004 の SSL ブリッジ モデルを強化しています。これにより、ISA Server 2006 に依存してトラフィックを送受信するのではなく、Windows Mobile 搭載デバイスを Exchange サーバーで認証できます。このとき、Exchange サーバーと直接接続する必要はありません。また、ISA Server 2006 の推奨の場所が境界ネットワーク内なので、パブリック インターネット クラウドと Exchange Server フロント エンド間に新たな層のセキュリティが許可されます。
認証
基本的な認証方法は 2 つあり、基本認証と証明書ベースの認証のいずれかを選択できます。基本認証は標準であるユーザー名と対応するパスワード、つまり Windows Mobile クライアントと Exchange フロントエンド サーバー間の SSL ベースの接続を参照します。Exchange Server は認証する前にデバイス上の一致するルート証明書を検索するため、基本認証では証明書が必要です。Windows Mobile および IIS では、SSL に関連付けられたさまざまな暗号化方式を使用できます。
証明書ベースの認証は、MSFP を適用した Windows Mobile 5.0 と Windows Mobile 6 の両方で使用でき、SSL 基本認証ではなくトランスポート層セキュリティ (TLS) を使用します。TLS では、ルート証明書だけでなく、各ユーザーがパブリック キーと秘密キーを含む証明書を持っている必要があります。TLS はパスワードではなく暗号化キー (最大 2,048 ビット) を使用するため、このプロトコルでは強力な認証が提供されます。
Windows Mobile 6 で Desktop Enroll (デスクトップ登録) を使用してユーザー証明書を登録するには、証明書登録サーバーと同じドメインにあるデスクトップとデバイスをドッキングする必要があります。ユーザーはパスワードやスマート カードを始めとする方法を使用して登録を認証してから、デバイスをデスクトップ PC に接続します。その後、ユーザーはデスクトップから証明書システムにアクセスし、モバイル デバイスに証明書をインストールします。Desktop Enroll (デスクトップ登録) は、証明書の更新や、ActiveSync 認証証明書、SSL/TLS 認証証明書、802.1x Wi-Fi 証明書、または S/MIME デジタル署名証明書の配布など、Windows Mobile のさまざまなセキュリティ上の目的に役立ちます。
SSL などのセキュリティ プロトコルは、転送中のメッセージ データを保護しますが、Windows Mobile デバイスまたは Exchange サーバーに格納されたデータは暗号化しません。S/MIME は、お馴染みの MIME 電子メール標準というセキュリティ保護形式で、デジタル署名付きの電子メールや暗号化された電子メールをサポートします。これにより、SSL トランスポート層の暗号化の上に追加の保護層が提供されます。
まとめ
ソリューションを構成する多くの層のそれぞれに注目して、十分にセキュリティで保護されたインフラストラクチャを作成します。Windows Mobile、Exchange Server、およびマイクロソフトのネットワーク セキュリティ製品 (ISA Server など) は連携するので、モバイル インフラストラクチャを管理する際の負担が大幅に軽減されます。これにより、IT 部門の作業はいくらか楽になります。IT 部門はモバイル デバイスで生じたセキュリティ問題から生産性に焦点を移すことで、もっと多くのことを実現できます。
この記事の作成を支援してくださった Kathy Esser 氏、Katharine Holdsworth 氏、Sarah Norton 氏、および Chip Vollers 氏にお礼申し上げます。**
Matt Fontaine は BuzzBee Company のテクノロジ ライタです。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.