XenMobileのセキュリティ 第5回

この内容をPDFで読む

XenMobileのセキュリティ ホワイトペーパー

第4回はこちら

その他のセキュリティ機能

IT自動化

データの遠隔消去

データ紛失を防止する安全策として、離れた場所にあるデバイスのデータを遠隔的に消去することができます。

次のようなさまざまなレベルの消去を行うことができます。

  • 選択的消去(企業データの消去)
  • 全消去(デバイスのリセット)
  • コンテナの消去

また、消去には次のようないろいろな実行方法があります。

  • 管理者が実行(コンソールでの役割の承認が必要)
  • ユーザーが自主的に実行
  • 自動的に実行(後述の自動処理機能を使用)
  • Webサービスから、他の処理の一部として実行

アプリケーション実行防止

XenMobileでは、サポート対象のプラットフォームであれば、承認されたアプリケーションやプロセスのホワイトリストやブラックリストへの登録を行えます。この機能によって、してはいけないタスクのインストールと実行を両方とも防止できます。

たとえば、一般向けのアプリケーションストアにはアクセスできないようにしたり、ゲームなどのアプリケーションの利用を制限したりすることができます。単に設定の変更を禁止することもできます。

この機能は、クライアントに搭載されるタスク監視機能によって実現されます。ユーザーに権限が与えられていないすべての操作を禁止することができます。

Webサービス

今日の企業には統合するポイントが必要になるため、XenMobileにはRESTベースのさまざまなWebインターフェイスが実装されています。そのため、ユーザーの作成、管理作業、情報資産や目録の読み取りなどを行うサービスを利用して、シンプルな自動化と運用を実現できます。これらの呼び出しは、XMDMサーバーへのSSLによって安全に保護されます。この手法は、シトリックスのサービス提供パートナーとの協業によって、課金の統合や統一ポータルからのアクセスを実現するときの、大きな差別化要因にもなっています。

自動処理

どのようなソリューションでも、問題が起きたときに、自動的にユーザーやセキュリティ管理者への通知と保護を行う機能が必要です。この機能は、デバイスやユーザーの状態が変化したときに、何らかの処理を行うエンジンと見なすことができます。

自動処理の代表的な例として、ユーザーが退職した(ADから登録抹消された)ときの、デバイスの選択的消去や全消去があります。

そのようなときに、IT部門の規約に従って登録抹消の処理を自動的に実行し、セキュリティを保つことができます。

この処理では、該当するユーザーの企業システムへのアクセス権の剥奪だけでなく、企業アプリケーション、follow meデータ(クラウドストレージ)、クラウドシステム(SFDCなど)、SSO証明書などの消去も必要になります。

これらの処理をまとめて実行できれば、通知、利用禁止、ユーザーの非正規ユーザーリストへの登録、デバイスの消去を一度に完了できます。企業はこのような柔軟性を享受できます。

監査機能

XenMobileでは、業界で定評のある制御機能を使って、SIEM(Security Information and Event Management)データが管理されます。サーバー活動の監査証跡を行えるだけでなく、アクセス時刻、IPアドレス、デバイスの情報といった重要なユーザー情報をゲートウェイコンポーネントから収集できます。

NetScaler
さまざまな監査証跡情報がNetScalerアプライアンスに記録されます。この情報はログ収集用の外部サーバーにも送信されます。

XMDM
監査証跡情報が中央のXMDMデータベースで保管されます。シトリックスのXMDMには、管理作業などのためにあらかじめ定義された、ユーザーの情報、アクティビティの情報、タイムスタンプなどの監査証跡レポートが用意されています。監査証跡情報は、(初期設定では)データベースに永久に保管されます。サーバーのさまざまなレベルのログが記録され、障害探索時に必要になった場合は、主に詳細ログを使用します。ログファイルにはデータは記録されませんが、ユーザーの情報(ログオン時のユーザーIDなど)は記録されます(ただし、パスワード情報は記録されません)。脱獄、管理できないデバイス、位置制限違反、位置情報無効といった、デバイスについてのさまざまなポリシー違反を定義して、自動アラートを生成できます。アプリケーション、デバイス、ユーザーのログインイベントが、すべて監査ログに記録されます。参考、警告、エラーといった、いろいろなレベルの、そしてモジュールごとのログ/監査をすべて設定できます。この情報にはSNMPを介してアクセスできます。

App Controller
さまざまな監査証跡情報がApp Controllerアプライアンスに記録されます。この情報はログ収集用の外部サーバーにも送信されます。

サービス妨害攻撃からの保護

NetScaler
すべてのログオン入力フィールドが、セキュリティの標準的な脅威から保護されます。悪意のあるクライアントからの一般的なDDoS保護機能があります。

XMDM
標準的なセキュリティ侵入試験により、既知の攻撃ベクトルがないことが確認されています。NetScaler経由のアプリケーションファイアウォール機能も使用できます。

Citrix Receiver
シトリックスのSDLの一般的な規定により、実行時ツール、ファジーライブラリなどのさまざまな手段を使って、配備段階でバッファオーバーランを検出することが定められています。

Worxモバイルアプリケーション
Worxアプリケーションについては、NetScalerや、Exchangeのようなその他の企業リソースから渡されるデータに対する、明示的な入力チェックや健全性チェックは行われません。サーバーから渡されるストリームが正当なものだと見なされます。

PKIの統合と配布

XDMでは、インターネットによる登録を介してMicrosoft、Entrust、RSAのような外部の証明書サービス機関に証明書を要求し、証明書に基づくWiFi、VPN、Exchange ActiveSyncプロファイルの認証を行えます。これにより、デバイスからネットワークリソースへのアクセスの制御と認証を行い、企業のセキュリティとコンプライアンスの要件を満たしているアクセスだけを許可できます。証明書は、ユーザーがIDやパスワードなどの入力を行わずにネットワークリソースへのアクセスを行えるようにする手段になります。また、第2認証手段としても利用できます。

この機能は、クライアントとして振る舞い、登録デバイスの所有者の代わりに証明書を要求するか、またはSCEP(Simple Certificate Enrollment Protocol)を使ってCAと直接通信するようにデバイスを設定することで実現できます。

セキュリティと使いやすさの兼ね合いの観点から、証明書の削除や更新も行うことができます。