企業が一括導入するスマートフォンの法人市場では、iPhoneやAndroid(アンドロイド)端末よりも、BlackBerry(ブラックベリー)やWindows Mobile端末に一日の長がある。法人市場に強いNTTドコモは、両方の製品を提供中だ。BlackBerry端末が法人市場で熱心なファンを持つのは、自社アドレスでメールを送受信できることが大きな理由。驚くほどきめ細かなセキュリティポリシーの設定もできるので、システム管理者の評価も高い。一方Windows Mobile端末は、多くの企業が導入している米マイクロソフトのメール/グループウエアサーバーを活用するだけで、ある程度まで紛失対策ができて便利だ。端末のカメラを使えなくするなど、セキュリティ対策を強化できる製品も用意されている。

 BlackBerryとWindows Mobileは、今日本で出ているスマートフォンのなかでは歴史が長い部類に入る。いずれも企業利用に力を入れており、OSの開発元が紛失対策や情報漏えい対策のできる端末管理システムを提供している。Windows Mobileは、早くからセキュリティソフトが販売されているのも特徴だ。

【BlackBerry】 無防備なメール用端末はリスク大

2010年7月発売の「ドコモ スマートフォン BlackBerry Bold 9700」
2010年7月発売の「ドコモ スマートフォン BlackBerry Bold 9700」

 BlackBerryはカナダのリサーチ・イン・モーション(RIM)が開発・販売するスマートフォンのソリューションである。端末と搭載OS、端末管理システムのほか、企業内ネットワークからメールやスケジュールを端末に配信するサービスまで、RIMが1社で提供する[注1]。

 特徴は、オフィスの自席にいるのと同様に、どこででも自社ドメインのアドレスによるメールの送受信やグループウエアのスケジュール確認ができること。メールサーバーにメッセージが届いたりグループウエアサーバーにスケジュールが登録されたりすると、BlackBerry端末で受信操作をしなくてもほぼリアルタイムで届く。これらの情報が自動的に“プッシュ”されてくるのだ。それゆえ、セキュリティの観点からは、無防備でBlackBerry端末を盗まれると一大事である。このためBlackBerryには、紛失・盗難対策となる機能が組み込まれている。

 サードパーティーは、BlackBerry端末で動作するアプリケーションを開発し自由に配布できる。そのなかには悪意のあるアプリケーションがあり得るが、BlackBerry端末は会社が使用を認めていないアプリケーションが端末機能を利用することを制限できるようになっている。

企業は「BES」を選択するべき

 BlackBerryのサービスにはBES(ベズ、BlackBerry Enterprise Solution)とBIS(ビズ、BlackBerry Internet Service)[注2]があり、両者は確保できるセキュリティのレベルに差がある。

 紛失対策や攻撃対策を重視して業務利用するならば、企業向けであるBESを選択したい。BlackBerry端末の搭載機能をきめ細かく管理して、紛失対策を取れるからだ。

 図1は、BESを利用する場合のネットワーク構成である。企業の拠点には、「BlackBerry Enterprise Server」を設置する。これはBlackBerry端末にメールやスケジュールのデータを送り出すサーバー。メールサーバーやグループウエアサーバーからデータを取得し、RIMが運営する中継設備経由でBlackBerry端末にプッシュする。その際、データは圧縮・暗号化される。

図1●BlackBerryの特徴的なセキュリティ対策「ITポリシー」
図1●BlackBerryの特徴的なセキュリティ対策「ITポリシー」
管理者が「ITポリシー」というデータに、リモートワイプの実行条件などのセキュリティポリシーを設定すると、それが端末にプッシュ配信され強制的に適用される。
[画像のクリックで拡大表示]

きめ細かい制御が可能な「ITポリシー」

 BlackBerry Enterprise Server で特徴的なのは、「ITポリシー」という管理データを端末に送り付け、強制的に適用させられること。

 このITポリシーは、BlackBerry端末が搭載している機能を細かいレベルで使用可/使用不可にできる。「3回パスワードを間違えたらリモートワイプ(遠隔からのデータ消去)を実行」「3時間端末のロックが解除されなかったらリモートワイプを実行」などの条件を設定できる。「BESでは、ITポリシーに約470の設定項目があります」(リサーチ・イン・モーション・ジャパン 法人営業部の長澤信也テクニカル・アカウント・マネージャー)

図2●「ITポリシー」を使って、BlackBerry端末の機能ごとに使用可/使用不可を設定
図2●「ITポリシー」を使って、BlackBerry端末の機能ごとに使用可/使用不可を設定
すべてのアプリケーションに共通するITポリシーと、特定のアプリケーションを対象にしたITポリシーを設定し、優先順位を付けて適用することができる。
[画像のクリックで拡大表示]

 さらにITポリシーは、複数作成して優先順位を付けて適用したり、特定のアプリケーションだけを対象にして適用したりできる。これを使うと、社員が不用意に悪質な、もしくは悪用可能なアプリケーションをインストールしてしまっても、被害を最小限にできる。

 設定としては、「BlackBerry端末のインターネット接続機能を利用禁止にする」「会社が認めた業務システムにアクセスするアプリケーションは、インターネット接続を許可する」というITポリシーを用意して、前者より後者を優先する設定にしておく(図2)。