「iPhone」の“脱獄”はどう予防する？ 自社の事情に合わせた3つのリスク管理戦略：「ジェイルブレーク」に立ち向かう【後編】

業務に「iOS」デバイスを利用する企業は、セキュリティ機能の一部を解除する「ジェイルブレーク」の予防に取り組まなければならない。そのための具体的な対策を紹介する。

[Sean Michael Kerner，TechTarget]

　企業にとって、「iPhone」をはじめとしたAppleの「iOS」デバイスの一部のセキュリティ機能を解除する「ジェイルブレーク」（脱獄）は脅威だ。ジェイルブレークはマルウェア感染やデータ漏えいなどのリスクをもたらす。企業が自社のデバイス管理状況に応じて、効果的にジェイルブレークを未然に防ぐための対策を解説する。

管理方針別に見るジェイルブレーク「予防」のこつ

併せて読みたいお薦め記事

連載：「ジェイルブレーク」に立ち向かう

• 前編：iPhoneの“脱獄”を見抜くには？　危険な「セキュリティ解除」の検出方法
• 中編：“脱獄iPhone”を直すには？　「MDM」を使う場合と使わない場合の修正方法

iPhone安全利用のこつ

• MDMと併用すべき「MTD」とは？　「iPhone」を安全に使う手段を解説
• iPhone用「VPN」選びに迷ったらまず見ておきたい主要製品4選

アプローチ1．MDMによる企業所有デバイスへの対策

　モバイルデバイス管理（MDM）ツールで企業所有のデバイスを管理している場合、企業は以下の措置を取ることができる。

• デバイス利用規定の策定と徹底
  • 企業所有デバイスの利用に関する規定を策定し、その中でジェイルブレークがセキュリティポリシーに違反することを明示する。
• 監視モードの有効化
  • デバイスを監視モードで運用することで、より厳格な管理・制限機能を利用できるようになる。これによって、デバイスのセキュリティポリシー違反を防ぎやすくなる。
• ポリシー違反時の自動化設定
  • ほとんどのMDMツールは、ジェイルブレークされたデバイスを自動的に隔離したり、管理対象から外したりする機能を備えている。これらの機能を有効にすることで、セキュリティポリシー違反時の初期対処を自動化できる。

アプローチ2．BYODにおける対策

　「BYOD」（私物端末の業務利用）においては、従業員のプライバシーに配慮しつつセキュリティを確保するというバランスを取る必要がある。

• BYODポリシーの詳細化
  • 私物デバイスがアクセスできる業務データの範囲、ジェイルブレークの禁止の明確化、違反した場合の措置といった詳細な利用規定を策定し、従業員からの合意を得る。
• 従業員教育の強化
  • ジェイルブレークが従業員と自社にとってどのようなセキュリティリスクをもたらすかを文書で周知し、理解を促す。
• 「条件付きアクセス」の適用
  • デバイス全体をMDMの管理下に置かなくても、ジェイルブレークされたデバイスからの社内システムやクラウドサービスへのアクセスのみを拒否する「条件付きアクセス」を構成する。これによって、プライバシーとセキュリティの両立を図る。

アプローチ3．MDMツールを使わない企業での対策

　MDMツールを使用していない場合、使用する場合よりもセキュリティレベルは下がる。ただし以下の対策を組み合わせることでジェイルブレークのリスクを効果的に管理し、セキュリティを強化できる。

• セキュリティ製品の利用
  • 企業はファイアウォールやセキュアウェブゲートウェイなどを導入し、社内LANからジェイルブレーク関連のサイトへの通信をブロックする。
• 「アプリケーションラッピング」による保護
  • アプリケーションラッピングとは、アプリケーション自体にセキュリティ機能を追加して、デバイス内の隔離環境で稼働させる技術だ。セキュリティを確保しながら、アプリケーションを利用できるようにする。
  • 企業はアプリケーションラッピングツールを使用して、無許可のアプリケーションが企業システムにアクセスするのを防ぐ。