島田雄貴イー・アクセスの「3LM」ニュース

島田雄貴イー・アクセスによる「3LM」ニュースです(2011年9月)。~KDDIは8月下旬、同社のAndroid端末を利用する法人ユーザー向けのセキュリティ管理サービス「KDDI 3LM Security」の試験提供を開始した。元グーグル社員が創業した米3LMとの提携によって提供するこのサービスは、Android OSを改変し、通常のAndroid端末よりも細かな設定管理を実現できる点が最大の特徴だ。

KDDI 3LM Security

Androidのセキュリティ面での懸念が数多く指摘される中、ユニークなセキュリティ管理サービスが登場した。KDDIが8月下旬に試験サービスを開始、11月から正式スタートを予定する「KDDI 3LM Security」だ。

AndroidのセキュリティをBlackBerry並みに

KDDI 3LM Securityは、Android向けに数多く登場しているMDM(モバイル端末管理、スマートフォン管理)ソリューションと異なり、OS自体に改変を加え、標準のAndroidでは対応していない豊富なデバイス管理機能を備えた。例えばSDカードの暗号化や、カメラやFeliCaなどの利用制限、アプリケーションのリモート配信などが可能だ。このほか、3LM独自のVPN機能も持つ。KDDIの牧俊夫執行役員商品統括本部長は、「KDDI 3LM Securityを利用すれば、AndroidでBlackBerry以上のセキュリティを確保できる」と話す。ユーザー企業からの注目度も高く、既に「数十社からトライアルの引き合いがある」(KDDI プロダクト企画本部の渡邉真太郎ビジネスプロダクト企画部ビジネス商品企画2グループリーダー担当部長)という。

BlackBerryに似たネットワーク構成
VPN接続やExchange連携

KDDI 3LM Securityのネットワーク構成は、カナダRIM(リサーチ・イン・モーション)の「BlackBerry」に似ている。サービス提供プランは2タイプ。1つは企業内に専用サーバーを設置し、デバイス管理のほかVPN接続やExchange連携ができる「アドバンスドプラン(仮称)」。もう1つは、専用サーバーが不要なASP型サービスで、VPN接続などを省いた「ベーシックプラン(仮称)」である。

アンドロイドスマホ

アドバンスドプランの場合、必要なコンポーネントは管理サーバーである「3LMエンタープライズサーバー」、VPN接続用の「3LM VPNサービス」、KDDIのネットワーク上に設置した経路設定用の「3LMルーター」、そして3LMの機能を備えたAndroid端末(アンドロイドスマホ)である。現時点で対応する端末は、「SIRIUS α IS06」「G'zOne IS11CA」「EIS01PT」の3機種。2011年秋以降はKDDIの全Android端末に対応予定としている。

アプリケーションごとにアクセス

KDDIネットワーク上の3LMルーターが、BlackBerryの場合のRIMのネットワーク・オペレーション・センター(NOC)と同様に、企業内システムへの中継や、管理コマンドのプッシュ配信の役割を担う。BlackBerryと違うのは、KDDI 3LM Securityの場合、アプリケーションごとに端末(スマホ)から直接インターネットにアクセスするか、3LMルーターを経由して企業内へVPN接続するのかを柔軟に指定できること。BlackBerryは、すべてのトラフィックがRIMのNOCを通る。

パーミッションを管理者側に集中

KDDI 3LM Securityの豊富な管理機能は、OSを改変して、通常は利用者に委ねられるフレームワークのアプリケーションの実行権(パーミッション)を、IT管理者が操作する3LMエンタープライズサーバーに集中させることで実現する。

制御用API
一般的なMDMは、端末上に専用のエージェントソフトを常駐させて状態を管理する。ただしAndroidはアプリケーションで利用できるデバイス制御用APIが少ないため、管理できる機能が限られる。そこで、例えばエージェントがカメラを仮想的に起動していることにして、カメラの起動を制限するようなアプローチを取っている。また、OSを拡張して独自のデバイス制御用APIを追加する例もある。
OSを改変

KDDI 3LM Securityは、こうした一般的なMDMとは逆のアプローチで、デバイス制御用APIを使うのではなく、アプリケーションを動作させるAPIそのものを管理者が制御できるようにOSを改変。これで端末管理を実現する。例えば管理画面から機能制限するAPIを指定して、アプリケーションが扱う機能やアプリケーションそのものを制御することが可能だ。KDDI 3LM Securityは、元グーグル社員が創業した3LMだけあって、Androidの仕組みを最大限生かしている。

Googleが親会社の米モトローラ・モビリティを買収

3LMは米国では複数の携帯電話事業者とビジネスを進めているが、日本では当面KDDIに100%集中するという。ただし気になる動きもある。3LMの親会社である米モトローラ・モビリティがGoogleに買収されることになったからだ。今後の動き次第では、3LMが作り出した仕組みがAndroidセキュリティの標準になる可能性もあるだろう。

KDDI 3LM Securityの構成

企業内にサーバーを設置する「アドバンスドプラン(仮称)」の構成例。必要なコンポーネントは、管理サーバーである「3LMエンタープライズサーバー」、企業内システムにVPN接続するための「3LM VPNサービス」、KDDIのネットワーク上に設置した経路設定用の「3LMルーター」、そして3LMの機能を備えたAndroid端末である。プロビジョニング機能、端末管理機能、VPN機能の動作について説明を加えた。

一般的なMDMとは逆のアプローチ

一般的なMDMとは逆のアプローチを取るKDDI 3LM Security Androidはアプリケーションの実行権(パーミッション)がユーザーに委ねられているため、危険性が広がっている側面がある。KDDI 3LM Securityではアプリケーションの実行権をIT管理者側で一元管理することで、セキュアな環境を実現する。アプリケーション層からデバイス制限するアプローチを取る一般的なMDMとは逆のアプローチと言える。