“ビジネス仕様のAndroid”を現実にするセキュリティ機能と、その限界：鍵は「Android for Work」

「Android」のセキュリティ機能は、「iOS」に比べると遠く及ばない。しかし「Android for Work」の機能やデュアルペルソナ技術などを利用することで、IT部門はAndroid端末の保護を強化できる。

[Eddie Lockhart，TechTarget]

Android for Work《クリックで拡大》

　「Android」はオープンソースであり、さまざまな種類のデバイスに搭載されているという性質上、本質的にセキュリティ対策が難しい。

　Appleのみがコントロールを握り、Apple独自の端末のみに搭載されているプロプライエタリOSの「iOS」は、Androidとは違う。AndroidはSamsung ElectronicsやHTC、Google他多数のメーカーのハードウェアに搭載されていて、それぞれが異なる基準やアプローチでモバイル端末を開発している。結果として、違うベンダーのAndroid端末に、同じものは2つとして存在しない。つまり、それぞれの種類の端末を保護する手段も異なる。

併せて読みたいお勧め記事

「Android for Work」について詳しく知る

• 「Androidなんて仕事で使えない」といえない時代が来た
• 「Android for Work」の正式発表でAndroidは本当の“ビジネスOS”となるか
• 5分で分かる「Android for Work」、ビジネス仕様のAndroid端末を作るには

実は難しい、BYOD

• 「社員の7割は私物スマホで会社データにアクセス」という現実の受け止め方
• 専門家に聞く、一向に楽にならないBYOD管理への対策

　だが幸い、GoogleのAndroidのセキュリティ対策に関して全ての希望が失われたわけではない。Androidには、組織の対策を手助けするセキュリティ機能がある程度は組み込まれている。Googleが提供する企業向けのBYOD支援サービス「Android for Work」では、企業データを守るためのネイティブのデュアルペルソナ機能が導入された。以下に組織がAndroidの防御強化に利用できるモバイルセキュリティ対策を紹介する。

Androidに組み込まれたセキュリティ機能の活用

　LinuxベースのOSであるAndroidには、ファイルシステムパーミッションと暗号化が組み込まれている。このパーミッションにより、IT部門は組織のファイルシステムにデバイスがアクセスできる領域を制限できる。暗号化ではパスワードとカーネルレベルの高度暗号化標準（AES）アルゴリズムを利用して、OSの特定部分には許可されたアプリしかアクセスできないようにする。セキュリティ強化型のLinuxではカーネル層で定めた特定のルールにアプリを従わせることによって、この概念を1段階引き上げている。

　RSA暗号、デジタル署名標準認証、暗号化ハッシュ機能、Secure Socket Layer/HTTP over SSL（HTTPS）を利用すれば、モバイルセキュリティはさらに強化できる。

デュアルペルソナ技術による業務用データと個人データの切り離し

　「デュアルペルソナ」（“二重人格”の意味）技術は基本的に、1台のデバイスを2つの領域に分割して1つは仕事用、もう1つは私用とする。私用の方はユーザーの領域だ。IT部門ではコントロールできず、アプリやデータを見ることさえできない。一方、仕事用の領域は全てIT部門のものになる。管理者が完全な権限を握ってセキュリティポリシーの徹底やアプリのインストールを行い、データが許可された領域から出ないよう保護する。Android端末では、デュアルペルソナは「仕事用プロファイル（Work Profile）」という形態を取る。これはAndroid for Workの中の機能で、ユーザーのために別の仕事用プロファイルを作成する。IT部門は遠隔操作でデバイスを消去する権限も与えられ、ユーザーは自分の私用データが消去される心配をしなくて済む。

　Android端末はOSが断片化している性質上、全ての端末がデュアルペルソナ技術に対応しているわけではない。例えば一部メーカーの端末は、デュアルペルソナを機能させるために必要な暗号化に対応していない。結果としてデュアルペルソナ機能は、IT部門がユーザーのために調達する会社所有の端末でこそ、最も活躍する。

Android for Workの有効活用

　Android for Workはさまざまなサービスを集約してモバイルセキュリティの強化を図り、IT部門で端末の保護や制御ができるようにしている。デュアルペルソナ機能の他、仕事用プロファイルを利用してコンテナ化によって私用アプリが仕事用アプリを侵害するリスクを取り除くことができ、ユーザーが自分の端末上でネイティブに実行するアプリに対してIT部門が不安を抱かずに済む。

　Android for Workでは、「Googleドライブ」などの業務用アプリにユーザーがアクセスして、モバイル端末上の暗号化された環境でビジネス文書の作業ができる。IT部門はセキュリティアップグレードの導入を含めたアプリの更新を自ら実施でき、ユーザーの許可を得たりユーザーに操作してもらったりする必要はない。

ただしAndroidはiOSではない

　Google Androidのセキュリティは、仕事では使えないという理由で相当の批判を浴びてきた。IT部門のためにそれなりのセキュリティ機能と管理機能も用意されているが、そうした批判の一部には、特にiOSと比べた場合に根拠がある。例えばAndroidは、5.0以降のバージョンでAES-256ビット暗号に対応した。だがユーザーが自分で出荷時の状態に戻すだけで、暗号化は無効にできる。しかも一部ブランドのAndroid端末は暗号化のサポートさえしていない。これに対してiOSでは暗号化を無効にすることはできない。

　データのコントロールにも問題がある。確かに管理されている端末ではどのデータがどこへ行くかを管理者が制御できる。だが管理されていない端末に流出したデータに対して管理者の権限は及ばない。一方、Appleが提供する「Managed Open In」ではIT部門がデータそのものに規制をかけることができ、ユーザーがそのデータへのアクセスに使うアプリを制限して、モバイルセキュリティを高めている。