シマンテックが2011年10月に買収したNukonaは、MDM(Mobile Device Management)による端末管理ではなく、アプリケーション保護というユニークなアプローチによって、モバイルデバイスの業務活用を実現する。元NukonaのCEOで、現在はシマンテック エンタープライズモビリティグループ プロダクトマネジメント担当シニアディレクターのクリス・ペレット氏に話を聞いた。
デバイス単位のMDMで実現できないこと
モバイルデバイスの業務利用が一般化し、自前のデバイスを業務に利用するBYOD(Bring Your Own Device)といった概念がもてはやされる一方、セキュリティの懸念から導入を懸念する企業も多い。マルウェア感染や情報漏えいのほか、端末自体の紛失もあり得る。これに対して多くのベンダーが展開しているのが、MDMによる端末管理のソリューションだ。MDMにより、モバイルデバイスにポリシーを配布し、エンドユーザーの利用をIT部門からコントロールするというものだ。
しかし、ペレット氏によるとMDMには限界があるという。「問題が事後対処的なこと、デバイス単位でポリシー適用しないといけないこと、エージェントを外せてしまうことなどだ」(ペレット氏)。同時に使いやすさとセキュリティのバランスを図るのも大きな課題だ。コンシューマーと情報システムでは、両者のギャップは大きいが、「ユーザーの生産性を損なわないこと。目に見えないようにセキュリティを確保すること」(ペレット氏)こそ重要だという。
これに対して生まれてきたのがアプリケーションにフォーカスしたMAM(Mobile Application Management)や情報自体を対象としたMIM(Mobile Information Management)というアプローチで、Nukonaの製品もこうした範囲をカバーする製品だ。
アプリケーションやコンテンツを「コンテナ化」
Nukonaの技術のコアは「隔離」である。アプリケーションやコンテンツと、それらをどのように利用するかを規定したポリシーを組み合わせた「コンテナ」を作成し、これをユーザーに対して配信する。iOSやAndroid、BlackBerryなどのモバイルアプリのほか、HTML5のWebアプリケーション、さまざまなコンテンツをコンテナ化できる。「管理者はアプリケーションロジックと独立して企業ごとのポリシーを設計できる。ソースコードへのアクセスも不要で、コンテナ内のふるまい、匿名コードのアクセス、暗号化の有無、IDでの認証、盗難への対応などを設定することが可能だ」(ペレット氏)。コンテナは専用のPolicy Managerから作成でき、使い慣れたアップストアからエンドユーザーに提供される。
コンテナというとややわかりにくい概念だが、ペレット氏は「アップラッピングやセキュアコンテナと表現している。サンドボックスだと中身は暗号化されないので、やや概念が異なる」と表現する。いずれにせよ、デバイス単位ではなく、アプリケーションやコンテンツ単位でコントロールを行なうというのはユニークなアプローチだ。コンテナ化されている限り、同じデバイスに個人用のアプリやデータが同居していても、両者は異なるセキュリティレベルで管理されている。
シマンテックは、買収したOdyssay SoftwareのMDMやベリサインの証明書やOTPなどのID管理製品と、このNukonaを組み合わせポストPC時代のセキュアなモバイルコンピューティングを実現するという戦略だ。ペレット氏は、「情報の機密性やポリシーにあわせて、異なる複数の層で対策を組み合わせるアプローチがとれる」と説明する。
ユーザー事例について聞くと、120カ国・2万ユーザーがいるドイツの会社では、すべてのAndroidデバイスにNukonaを導入したという。「ドイツの個人情報保護の法律があったため、その企業のIT部門は個人情報を管理するMDMを社員のデバイスに入れたがらなかった」(ペレット氏)という課題があったが、Nukonaを導入したことで、個人情報と企業情報をデバイス内で分離できた。統一したセキュリティポリシーを保った上で、個人所有のデバイスの持ち込みも可能になったという。
現状はサブスクリプションベースのライセンスになるため、オンプレミスでの導入が多いが、クラウドでの展開も可能。日本での導入は未定だが、BYODの機運に応える選択肢の1つとして注目したいところだ。