スマホやタブレットが業務端末として定着してきた昨今、モバイルデバイスをよりセキュアに、より快適に利用するための製品を提供するのがモバイルアイアンだ。同社のブライアン・フォスター氏に、モバイルやゼロトラストの重要性、そして現在取り組んでいるパスワードレスの取り組みについて聞いてみた。
モバイルの重要性を実感した東日本大震災のときの経験
2007年に創業されたモバイルアイアンはモバイルデバイス管理(MDM)のベンダーとしてスタート。2019年5月、同社はモバイルセキュリティやゼロトラストにフォーカスした方向性にリブランディングした。今回インタビューしたブライアン・フォスター氏は、そんな新生モバイルアイアンの製品戦略を担当している。
創業以来、企業におけるモバイルの利用価値はますます高まる一方だ。モバイルデバイスは常時利用がすでに前提となっており、電子決済やさまざまなアプリで、単なる電話やコンピューター以外の役割を果してくれる。「モバイルはすべての中心になっている。スマートフォンはユーザーのコンピューティングの起点であり、人々をつなげ、自分に必要な情報を集めるのに必要不可欠な存在だ」とフォスター氏は語る。
また、災害対策という観点からもモバイルは重要になる。実はフォスター氏は2011年の東日本大震災の時、都内のホテルで講演をしていたという。「地震の後、電話は使えなくなったが、Facebookやスマホのアプリを使って、家族や知人に無事を知らせることができた。地震で会社に行くことが困難になると、リモートで業務を推進することが重要になる」とフォスター氏は語る。東日本大震災からすでに8年を経ているが、政府が推進する働き方への施策やオリンピックなどを考えると、この東京でもモバイルワークが増えてくるはずだ。
つねに疑い、つねに確認する「ゼロトラスト」を当たり前に
一方で、モバイルワークを支える環境も大きく変化している。企業でのクラウド導入が進んだことで、あらゆる場所から業務システムにアクセスすることが可能になった。裏を返せば、社内LANではないネットワークから業務システムにアクセスできるようになり、コントロールも難しくなったわけだ。フォスター氏は、「企業がシステムやネットワークを所有しないという時代、どのように信頼性の高い環境を実現していくかがIT部門にとって大きな課題になる。脅威がネットワーク内にあることを前提とし、『つねに疑い、つねに確認する』というゼロトラストのポリシーが必要だ」と指摘する。
モバイルアイアンが考えるゼロトラストのアプローチは、「デバイスの確認」「ユーザー環境の明確化」「アプリの正当性をチェック」「ネットワークを確認」「脅威を検知して防御」という5つのポイントがある。
そのためモバイルアイアンでは、さまざまなデバイスにおいて、適切なアプリやプロファイル、ポリシーでプロビジョニングを行ない、ユーザー、デバイス、ネットワークだけでなく、時間、場所など適切かどうかを検知して、アクセスを許可するという。その上で、利用環境のコンテナ化と脅威の検知、データの保護などを実施。さらに運用においては適切なセキュリティポリシーを適用し、レベルをキープしていくという。
これらはモバイルアイアンが展開するゼロトラストプラットフォームに立脚している。数多くのOS、さまざまな場所や利用形態、契約形態での利用できるBYODプラットフォームである「MobileIron UEM」を基盤とし、デバイスとIDのセキュリティを確保する脅威検知と見える化を提供する「MobileIron Threat Defence」、ゼロサインオンなど新世代の認証とアクセスを実現する「MobileIron Access」の3つの製品によって構成される。「クラウドサービスの認証情報を持つIdP(Identity Provider)と異なり、われわれはデバイスの中まで見られる。どのようなアプリが入っているか? どの場所で使われているか? OSや脅威の情報など、いろいろな情報を確認できる」とフォスター氏は語る。
セキュリティインシデントの元となるパスワードをなくす
そして現在モバイルアイアンが取り組んでいるのが、パスワードのない世界だ。「パスワードはもはや邪悪な(Evil)な存在だ。現在、セキュリティインシデントの多くは、パスワードの漏えいから起こるものだし、ユーザー体験も低下させる。パスワードは一見すると必要なものに見えるが、実は危ないものだ」とフォスター氏は指摘する。
最近では指紋や顔認証など生体認証を搭載する機種も増えているため、スマートフォン自体が本人認証のために有力なツールになっているという。「オフィスに入るためのセキュリティバッチを忘れても、私はたぶん家には戻らないだろう。でも、スマートフォンを家に忘れたら、取りに帰る。でも、それくらい重要性が逆転してきている。実際、IDGの調査ではセキュリティリーダーの10人中9人が将来的にモバイルデバイスがIDになると予測している。これがモバイルアイアンのミッションだ」(フォスター氏)
具体的には生体情報を用いたシームレスな認証を実現するFIDO(Fast IDentity Online)アライアンスの技術に、独自の機能を組みあわせることでパスワードレスの世界を実現する。「シングルサインオン(SSO)は元々あるパスワードの入力を省力化するので、裏にはパスワードがある前提。しかし、ゼロサインオンはパスワード自体がないので、SSOへのマスターパスワードが漏えいする問題も発生しない」とフォスター氏はアピールする。実際、新入社員に配布するiPhoneをプロビジョニングし、パスワードを一切入力せずにアプリを利用するまでのオンボーディングの流れをデモで見せてくれた。
年末までに実装される「IDプルーフィング」と呼ばれる本人確認機能では、まずパスポートなどのIDと本人の顔写真をスマホで撮影し、両者を照合する。撮影したパスポートと本人の顔写真はこの照合が終了すると廃棄されるため、企業側がこれらの情報を保存できない。欧州のようにプライバシー情報に厳しい地域でも利用できる。
いったん本人確認が完了すれば、プロフィールに従ったアプリが自動的にデプロイされ、パスワード入力なしでSalesforceやG Suite、Outlookなどを利用できる。また、自宅の個人PCにはQRコードを表示し、スマホで撮影することで、自宅の住所と本人との照合が行なわれ、セキュアに業務アプリにアクセスできるという。「今は業務システムにセキュアにアクセスするためにスマホを使っているが、将来的にはドアや窓を開けるような鍵としても使えるのではないかと思う」とフォスター氏は将来的な展望を語る。