従業員がroot化した「危険なAndroidデバイス」を検出するには：Androidデバイスの「root化」対策【前編】

業務に「Android」デバイスを利用する際、従業員が不正に管理者権限を取得する「root化」は懸念すべき事項だ。root化による脅威を未然に防ぐための対策とは。

[Sean Michael Kerner，TechTarget] PC用表示関連情報

LINE

Hatena

なぜroot化は危険なのか

併せて読みたいお薦め記事

スマートフォン安全利用のこつ

　Androidはさまざまなメーカーや開発者が自由にデバイスやアプリケーションを開発、提供できるため、エンドユーザーも公式アプリケーションストア以外の場所からアプリケーションを入手することが比較的に容易だ。とはいえ、Androidデバイスのメーカーはセキュリティを高めるために、検証済みの正規OSを搭載した状態でデバイスを出荷する。

　だが、エンドユーザーがroot権限を取得すると、メーカーが用意したセキュリティや動作制約を回避できてしまう。これはエンドユーザーにとってはデバイス使用の自由度が高まるという利点があるが、代償としてリスクも生じる。保護されていないAndroidデバイスが企業システムに接続したり企業データにアクセスしたりすれば、マルウェア感染やデータ流出の危険性が高まる。

　こうした自体を防ぐために、企業は「エンタープライズモビリティ管理」（EMM）ツールを利用して、root化されたAndroidデバイスを検出、修正する必要がある。

EMMでroot化を検出する方法

　企業は、EMMツールに登録されたAndroidデバイスの中から、以下に示す複数の方法でroot化されたデバイスを特定できる。

root化ツールの有無をチェックする
- EMMツールは、「Magisk」や「SuperSU」などのroot権限取得用アプリケーションがデバイス内にあるかどうかを検査できる。システムファイルの権限が不正に変更された痕跡も探すことが可能だ。
鍵の検証
- Androidデバイスメーカーが提供する正規OSは、公式な開発元が開発したことを証明するために、「リリースキー」という鍵を使ってデジタル署名される。一方で、root化されたOSなどの非公式OSでは、リリースキーの代わりに開発用のサンプル鍵である「テストキー」が用いられる。EMMはこれらの鍵の違いを識別できる。
Play Integrity APIによる検証
- Googleの「Play Integrity API」は、デバイスの安全性を検証するためのAPI（アプリケーションプログラミングインタフェース）だ。EMMとPlay Integrity APIを連携させることで、デバイスが修正またはroot化されたOSを実行しているかどうかを確認できる。

　EMMツールは、root化されたAndroidデバイスを特定した後、自動で対処するための機能を備えている。例えば、企業は自社のセキュリティやコンプライアンスのポリシーに沿った要件を設定し、ポリシーに違反したデバイスを管理対象から外したり、社内システムへのアクセスをブロックしたりできる。

EMMツールの設定方法

　大半のEMMツールには、root化を検出し対処するための機能がある。以下ではEMMツールを使って、root化されたデバイスを検出、対処するための設定方法を説明する。

ステップ1．コンプライアンスポリシーを作成する

　まず、どのような状態のデバイスをポリシー違反と見なすかを定義するためのポリシーを作成する。ここで、「root化されたAndroidデバイスは非準拠である」というルールを設定する。

ステップ2．コンプライアンスポリシーを割り当てる

　コンプライアンスポリシーを作成した後、割り当てるユーザーグループまたはデバイスグループを決める。こうすることで、EMMツールは指定されたデバイスについて、root化されていないかどうかを断続的に分析する。

ステップ3．条件付きアクセスを設定する

　EMMツールがルールに違反した疑いがあるデバイスを検出した際、自動的に実施するアクションを定義する。「ルール非準拠のデバイスからは、業務アプリケーションや社内システムへのアクセスをブロックする」といったルールを設定できる。これによって、IT管理者が常に監視していなくても、root化されたデバイスは自動的にネットワークから隔離され、企業の情報資産を保護できるようになる。

　後編は、EMMツールを使わずに、root化されたAndroidデバイスを検出する方法を紹介する。