昨日は不可能でしたが、今日は必要です。リモートで作業を開始し、漏れを引き起こさないようにするにはどうすればよいですか？

一夜にして、リモートワークは一般的かつ必要な形式になりました。 すべては新型コロナウイルス感染症（COVID-19）のせいだ。 感染を防ぐための新たな対策が日々登場しています。 オフィスでは検温が行われており、大企業を含む一部の企業はダウンタイムや病気休暇による損失を減らすために従業員をリモートワークに移行させている。 この意味で、分散したチームでの作業経験を持つ IT 部門は勝者です。

私たち科学研究所 SOKB では、数年前からモバイル デバイスから企業データへのリモート アクセスを組織しており、リモートワークが簡単な問題ではないことを認識しています。 以下では、当社のソリューションが従業員のモバイル デバイスの安全な管理にどのように役立つか、またこれがリモート ワークにとって重要である理由について説明します。

従業員がリモートで働くには何が必要ですか?

本格的な作業のためにリモート アクセスを提供する必要がある典型的なサービス セットは、通信サービス (電子メール、インスタント メッセンジャー)、Web リソース (サービス デスクやプロジェクト管理システムなどのさまざまなポータル)、およびファイルです。 (電子文書管理システム、バージョン管理など)。

コロナウイルスとの戦いが終わるまで安全保障の脅威が待っているとは期待できません。 リモートで作業する場合、パンデミック下であっても従わなければならない安全ルールがあります。

ビジネス上重要な情報を、従業員が個人のスマートフォンで落ち着いて読んで処理できるように、単純に個人の電子メールに送信することはできません。 スマートフォンを紛失したり、情報を盗むアプリケーションがインストールされたりする可能性があり、最終的には同じウイルスのせいで、家で座っている子供たちがスマートフォンをプレイする可能性があります。 したがって、従業員が扱うデータが重要であればあるほど、より適切に保護する必要があります。 また、モバイル デバイスの保護は、固定デバイスの保護と同等である必要があります。

ウイルス対策と VPN だけでは十分ではないのはなぜですか?

Windows OS を実行している据え置き型ワークステーションおよびラップトップの場合、ウイルス対策ソフトウェアをインストールすることは正当な必要な対策です。 しかし、モバイル デバイスの場合は、常にそうとは限りません。

Apple デバイスのアーキテクチャにより、アプリケーション間の通信が妨げられます。 これにより、感染したソフトウェアがもたらす影響の範囲が制限されます。電子メール クライアントの脆弱性が悪用された場合、アクションはその電子メール クライアントを超えて実行できなくなります。 同時に、このポリシーはウイルス対策の有効性を低下させます。 メールで受信したファイルを自動で確認することができなくなります。

Android プラットフォームでは、ウイルスとウイルス対策の両方にさらなる可能性が秘められています。 しかし、便宜性の問題は依然として生じます。 アプリ ストアからマルウェアをインストールするには、多くの権限を手動で付与する必要があります。 攻撃者は、アプリケーションにすべてを許可するユーザーからのみアクセス権を取得します。 実際には、ユーザーが未知のソースからアプリケーションをインストールすることを禁止すれば、自由にインストールできる有料アプリケーションの「丸薬」によって企業秘密が機密から「扱われ」ないようにするだけで十分です。 しかし、この対策はウイルス対策や VPN の機能を超えています。

さらに、VPN やウイルス対策はユーザーの行動を制御できなくなります。 論理的には、(紛失に対する保護として) ユーザー デバイスに少なくともパスワードを設定する必要があります。 しかし、パスワードの存在とその信頼性はユーザーの意識にのみ依存しており、企業がそれに影響を与えることはできません。

もちろん行政的な方法もあります。 たとえば、デバイスにパスワードがないこと、信頼できないソースからのアプリケーションのインストールなどについて、従業員が個人的に責任を負うことになる内部文書です。リモートで勤務する前に、すべての従業員にこれらの点を含む変更された職務記述書に署名するよう強制することもできます。 。 しかし、正直に言って、企業はこれらの指示が実際にどのように実施されるかを確認することはできません。 彼女は主要プロセスを緊急に再構築することに忙しくなる一方、従業員は、導入されたポリシーにもかかわらず、機密文書を個人用の Google ドライブにコピーし、リンク経由で文書にアクセスできるようになります。これは、文書で共同作業する方が便利だからです。

したがって、オフィスの突然のリモートワークは会社の安定性を試すものです。

エンタープライズモビリティ管理

情報セキュリティの観点から見ると、モバイル デバイスは脅威であり、セキュリティ システムの潜在的なギャップです。 EMM (エンタープライズ モビリティ管理) クラスのソリューションは、このギャップを埋めるように設計されています。 

エンタープライズ モビリティ管理 (EMM) には、デバイス (MDM、モバイル デバイス管理)、そのアプリケーション (MAM、モバイル アプリケーション管理)、およびコンテンツ (MCM、モバイル コンテンツ管理) を管理する機能が含まれています。

MDM は必要な「杖」です。 MDM 機能を使用すると、管理者はデバイスを紛失した場合にデバイスをリセットまたはブロックしたり、パスワードの有無や複雑さ、デバッグ機能の禁止、APK からのアプリケーションのインストールなどのセキュリティ ポリシーを構成したりできます。これらの基本機能はすべてのモバイル デバイスでサポートされています。メーカーもプラットフォームも。 カスタム リカバリのインストールを禁止するなど、より微妙な設定は、特定のメーカーのデバイスでのみ利用できます。

MAM と MCM は、アクセスを提供するアプリケーションとサービスの形の「ニンジン」です。 十分な MDM セキュリティを導入すると、モバイル デバイスにインストールされたアプリを使用して企業リソースへの安全なリモート アクセスを提供できます。

一見すると、アプリケーション管理は純粋に IT タスクであり、「アプリケーションのインストール、アプリケーションの構成、アプリケーションの新しいバージョンへの更新、または以前のバージョンへのロールバック」などの基本的な操作に集約されるように思えます。 実はここにもセキュリティがあるんです。 デバイス上で操作に必要なアプリケーションをインストールして設定するだけでなく、企業データが個人の Dropbox や Yandex.Disk にアップロードされないように保護する必要もあります。

企業と個人を分離するために、最新の EMM システムでは、企業アプリケーションとそのデータ用のコンテナーをデバイス上に作成することが提案されています。 ユーザーはコンテナからデータを不正に削除できないため、セキュリティ サービスはモバイル デバイスの「個人的」使用を禁止する必要はありません。 逆に、これはビジネスにとって有益です。 ユーザーが自分のデバイスを理解すればするほど、仕事ツールをより効果的に使用できるようになります。

IT タスクの話に戻りましょう。 EMM なしでは解決できないタスクが XNUMX つあります。それは、アプリケーションのバージョンをロールバックすることと、アプリケーションのバージョンをリモートで構成することです。 アプリケーションの新しいバージョンがユーザーに合わない場合、つまり重大なエラーがある場合、または単に不便な場合には、ロールバックが必要です。 Google Play および App Store のアプリケーションの場合、ロールバックはできません。ストアでは常に最新バージョンのアプリケーションのみが入手可能です。 活発な内部開発により、ほぼ毎日バージョンがリリースされる可能性がありますが、すべてのバージョンが安定しているとは限りません。

リモート アプリケーション構成は EMM なしで実装できます。 たとえば、サーバー アドレスごとにアプリケーションの異なるビルドを作成したり、後で手動で変更できるように設定を含むファイルを電話機のパブリック メモリに保存したりできます。 これらすべてが発生しますが、ベストプラクティスとは言いがたいです。 次に、Apple と Google は、この問題を解決するための標準化されたアプローチを提供しています。 開発者は必要なメカニズムを一度埋め込むだけで、アプリケーションは任意の EMM を構成できるようになります。

動物園を買いました！

すべてのモバイル デバイスのユースケースが同じように作成されるわけではありません。 ユーザーのカテゴリーが異なればタスクも異なり、それぞれの方法で解決する必要があります。 開発者と金融業者は、扱うデータの機密性が異なるため、特定のアプリケーションのセットと、場合によってはセキュリティ ポリシーのセットを必要とします。

モバイル デバイスのモデルやメーカーの数を制限できるとは限りません。 一方で、さまざまなメーカーの Android の違いや、さまざまな対角の画面にモバイル UI を表示する機能を理解するよりも、モバイル デバイスの企業標準を作成する方がコストがかからないことがわかりました。 一方で、パンデミックの最中に企業デバイスを購入することはより困難になり、企業は個人デバイスの使用を許可する必要があります。 ロシアの状況は、西側の EMM ソリューションでサポートされていない国内モバイル プラットフォームの存在によってさらに悪化しています。 

これらすべてにより、エンタープライズ モビリティを管理するための XNUMX つの集中ソリューションではなく、EMM、MDM、MAM システムの雑多な動物園が運用され、それぞれが独自のルールに従って独自のスタッフによって保守されるという事実が生じます。

ロシアの特徴は何ですか？

ロシアには、他の国と同様、情報保護に関する国内法があり、疫学的な状況に応じて変更されることはありません。 したがって、政府情報システム (GIS) は、セキュリティ要件に従って認定されたセキュリティ対策を使用する必要があります。 この要件を満たすには、GIS データにアクセスするデバイスは、SafePhone 製品を含む認定された EMM ソリューションによって管理される必要があります。

長くてわかりにくいですか？ あまり

EMM のようなエンタープライズ グレードのツールは、実装に時間がかかり、実稼働前に長い時間がかかることがよくあります。 今はそんなことをする時間がありません。ウイルスによる制限が急速に導入されているため、リモートワークに適応する時間がありません。 

さまざまな規模の企業に SafePhone を導入するための多くのプロジェクトを実施してきた私たちの経験では、ローカルに導入した場合でも、ソリューションは 1 週間で立ち上げることができます (契約への同意と署名にかかる時間はカウントしません)。 導入後2～XNUMX日で一般従業員も利用できるようになる。 はい、製品を柔軟に構成するには管理者のトレーニングが必要ですが、トレーニングはシステムの運用開始と並行して実施できます。

お客様のインフラストラクチャへのインストールに時間を無駄にしないために、当社は SafePhone を使用してモバイル デバイスをリモート管理するためのクラウド SaaS サービスをお客様に提供しています。 さらに、このサービスは、GIS および個人データ情報システムの最大要件を満たすことが認定された自社のデータセンターから提供されます。

コロナウイルスとの戦いへの貢献として、SOKB研究所は中小企業を無料でサーバーに接続しています セーフフォン リモートで働く従業員の安全な業務を確保するため。

出所： habr.com