[編集長対談] 「使いきり」仮想スマートデバイス環境がもたらす高いセキュリティ水準～日立ソリューションズと米Remotiumによる新しいモバイルセキュリティ製品

株式会社日立ソリューションズが、米Remotium社のスマートデバイス仮想化基盤をもとに新たに提供するモバイルプラットフォーム構築ソリューションは、従来のいわゆるBYODソリューションとは一線を画す。

BYODか会社支給かに関わらず、これまでスマートフォンの使用状況を会社が詳細に把握することは困難だったが、このソリューションによって初めて、会社がスマートフォンの状況を的確に把握することができるようになる。それはちょうど、法人向けアンチウイルスソフトに搭載される、社内状況を把握できる管理システムをスマートデバイスに適用したようなイメージだった。

Remotium（リモーティアム）は、企業内に仮想スマートデバイスを構築し、ユーザは自分のデバイスから仮想スマートデバイスにリモートアクセスする感覚で利用する。このとき、ユーザのデバイスはシンクライアント端末のように動作するため、デバイス側にデータは残らない。

これまで企業がノートPCなどで実施していたセキュリティポリシーもほぼそのまま適用できるはずだ。ユーザが機種変更をした場合も何ら問題はない。

これはつまり、企業支給のデバイスでも、これまでと同じセキュリティを確保できることを意味する。また、起動するアプリや通信は常に監視でき、管理者は全社員のデバイスを把握できる。もちろんオンプレミスの環境にシステムを構築することも可能で、もはやBYODという言葉に収まらないソリューションといえる。

ほとんどの企業が求める要件を満たすだろうし、この恩恵は企業や組織にとっては小さくないだろう。

今回筆者は、米Remotium社の共同創業者兼 CEO である Sinan Eren氏と対談する機会を得て、その機能、製品開発秘話、日本市場での展開に関する彼の話を聞くことができた。

――BYODなど、企業の業務において個人所有のスマートフォンを使用する場合、どんなことが課題でしょうか。

多くの企業のCIOに話を聞くと、MDMやMAMはいろいろ問題があると言われます。その理由は、バイパスする手段がたくさんあるためです。例えば、BYODとシャドーITを組み合わせることで企業のポリシーを回避して機密情報を簡単に持ち出せます。また、ジェイルブレイクによってApp Store以外の場所から不正なアプリをインストールすることで、企業の情報が漏えいする危険性などもあります。

――日本人は便利さを重視するので、端末を買い換えてもそのまま使えることはメリットだと思います。それはもともとコンセプトとしてあったのでしょうか？

デバイスの外に仮想環境を持つため、デバイスを変更しても同じように使えます。また、複数のデバイスを使用しても同一の環境にアクセスできます。そこにフォーカスしてではなく、結果として可能になったことです。

――現在、日本の企業はBYODにもクラウドにも消極的です。それをクリアするためのポイントとなることは何でしょう？

モバイルを活用する上での問題点はエンドポイントにあります。BYODだけでなく企業が端末を支給する場合でも同じ問題が存在します。私たちのソリューションの中心はデータの確実な保護です。

BYODは基本的に個人所有のスマートフォンを業務に活用するという意味がありますが、このソリューションでは企業が端末を支給する場合にも活用できます。
また、いまご覧いただいたデモはAmazonのクラウド上で動かしていますが、企業内にオンプレミスで構築することもできます。こういった柔軟性があるため、クラウドに難色を示す企業も利用可能です。

――私はこういう製品を拝見すると、どうしても、攻撃するための方法を考えてしまうのですが、たとえばアクセスコントロールの面や、通信の盗聴、Android OSの脆弱性を悪用される可能性はありませんか？

このソリューションでは、通信は独自のプロトコルを使用し、SSLで暗号化しています。また、認証には多要素認証をサポートしています。デバイス認証に加え、企業内のユーザディレクトリによる認証基盤、つまりActive DirectoryやLDAPも活用できます。さらにGoogleなど一般的な認証トークンも利用できますし、GPSを用いた利用場所の制限や、特定のWiFiのみ使用可能にすることもできます。もちろん、これらを併用することも可能です。

また、ユーザディレクトリによる認証に加え、アプリケーションを起動する際にもパスコードの入力が必要です。このパスコードはユーザが設定できますし、パスワードポリシーも規定できます。さらに、アプリケーションの動作を常に監視していますので、不審な動きは振る舞いベースでの検知が可能です。クライアントサイドのジェイルブレイクやルート化も検知できます。

――ということは、アンチウイルスを入れる必要もないわけですね。アクセス回線が細い場合や、ネットワークのない場所ではどうなりますか？

おっしゃる通り、管理者側ですべてコントロールできますので、アンチウイルスは基本的に不要です。アクセス回線が細い場合でも、ネットワークの状況にあわせて最適な表示を選択できます。残念ながら、ネットワークのない場所では利用できません。

――Man in the Middleによる攻撃は可能でしょうか？

すべてサンドボックス上で動いていますので、Man in the Middleは不可能です。

――個人端末を禁止していた会社がこのソリューションによって可能になったケースはありますか？

まだ事例そのものが少なく、米国で1件、日本で1件という状況です。事例はこれから出てくると思います。現状では会社支給端末とBYODがあまり分かれていませんが、このソリューションによってBYODが増えることを期待しています。

――このソリューションを見ていると、なんだかもう、無理して「BYOD」と呼ぶ必要がないような気がしますね。非常に良くできているソリューションだと思います。しかも、今までになかったジャンルだと思うので、新しい名前を付けるべきだと思います。

確かに、こういったソリューションは今までありませんでした。近い競合はいくつもありますが、この技術は他にありません。Remotiumでは「Virtual Mobile Platform」や「Virtual Mobile Infrastructure」と呼んでいます。

――そもそもこのソリューションを作ろうと思ったきっかけは何でしょう？

私はセキュリティ関連の企業でリサーチの仕事をしていました。その時の経験からわかったのは、優れたチームにかかれば、「6カ月あればどんなデバイスでもハッキングできる」ということです。それは最も堅牢と言われるiOSにおいても同じであると。私たちの行動原理の基本にあるのは優れた研究者が十分な時間をかければ、あらゆるセキュリティソリューションは破ることができるということです。Appleはセキュリティに対してかなりのコストをかけていますが、ジェイルブレイクのコミュニティは十分に時間をかけてそれを破ることができます。

また、現在は攻撃者が先行していて、守る側は防戦一方という現状があります。私たちは、現状ではすべてのセキュリティシステムは破られるという結論に至ったわけです。その前提において、セキュリティを保つためには、使いきりのコンピュータ環境を作らないとダメだと考えました。一度、ユーザが利用した環境を捨てることで悪用されなくなります。例えば、注射針は一度使うと捨てますよね。それと同じコンセプトで、コンピューティングリソースを提供します。必要なときにユーザのコンピュータ利用環境を作成し、ユーザの利用が終わった時点で捨ててしまえば、セキュリティを保てるというコンセプトです。

――日本でのパートナーに日立ソリューションズを選んだ理由は何でしょう？

Remotiumはまず米国で活動して、ファーストカスタマーを獲得しました。そのカスタマーはデータセキュリティに関して厳しい基準を持っています。それは日本の企業のものと非常に似かよっていると感じ、日本市場へフォーカスしようと考えました。その上で、日本においては日立ソリューションズは最も知名度があり、顧客から信用される企業であり、センシティブな情報を扱う日本企業にリーチするのに最適なパートナーだと考えて協業することにしました。

――日本市場への意気込みを教えてください。

日本は様々な領域において技術的に優れた国ですが、クラウドやモバイルといった特定の部分は、まだうまくいっていないユニークなマーケットだと思います。そこに新たなモバイルのソリューションを提供することで、ビジネス的なチャンスがある、また、企業のモバイル導入を手助けができるのではないかと思っています。データを端末に持たず、利用した仮想スマートデバイス環境を使い捨てにするという不変のメッセージは情報の安全性に対する内外の要求の大きい日本企業にもわかりやすいと思いますし、それにより日本の企業も我々のテクノロジーのメリットを理解し、モバイルを導入してくれると信じています。

――ありがとうございました。