導入事例：金融機関の安全なモバイルアクセス環境と安心のサポート体制を構築

ニューノーマル時代の働き方に対応するために、モバイルデバイスの導入を進める企業が増えています。それに伴い、企業はサイバー攻撃や情報漏えいを抑止するエンドポイントセキュリティを強化する必要があります。ここでは「VMware Workspace ONE^® UEM(以下、Workspace ONE UEM)」を導入したある金融機関の事例から、モバイルワークにおける業務課題をどのように解決したのかを紹介します。

ゼロトラストセキュリティは「エンドポイント」の確実な管理から

モバイルデバイスやクラウドサービスの普及、そしてテレワークをはじめとしたニューノーマル時代の到来によって、働き方が変わると同時にITアーキテクチャにも変化が起きています。オフィス内で仕事をするという前提が崩れ、自宅を含むさまざまな場所で業務ができるICT環境が必要とされるようになりました。ネットワークやセキュリティの観点では、従来型のファイアウォールにより社内と社外を分割する境界型防御から社内社外を問わず企業リソースにアクセスすることを前提とし、全てのアクセスの正当性を検証する「ゼロトラスト」アーキテクチャでのICT環境を整備することが急務となっています。

ゼロトラストアーキテクチャの環境を構成するにあたり、エンドポイントであるPCやモバイルデバイスを会社の管理下に置き、会社がコントロールするデバイスだけを業務に利用できるようにすることは「基本中の基本」といえます。

ソフトバンクではエンドポイントを管理するソリューションとして、Workspace ONE UEMを提供しています。MDM（モバイルデバイス管理）、MAM（モバイルアプリケーション管理）、MCM（モバイルコンテンツ管理）などの機能を統合したプラットフォームで、エンドポイントの統合的な管理を実現するものです。

以下、実際にソフトバンクの支援でWorkspace ONE UEMを導入したある金融機関の事例から、近年のリモートワークに伴うセキュリティ課題と同社がとった対策を見ていきましょう。

私用デバイスからのMicrosoft 365へのアクセスを制限したい

この金融機関は、1,500人規模の従業員数を擁し、全国に数十近くの拠点を抱えています。金融業界は、当然ながら高いセキュリティが求められる業界です。同社では近年、コミュニケーション基盤にどこからでもアクセス可能なMicrosoft 365を導入していましたが、社内での業務を前提としていたため、社給端末も各人1台のPCのみでした。

しかし、2020年4月頃から新型コロナウイルス感染症が拡大。在宅勤務可能な環境を急ピッチで整えることとなりました。それに伴い、同社が求めた主なセキュリティ要件は次の通りでした。

• 私用デバイスなど自社が認めてないデバイスからは、Microsoft 365をはじめとするクラウドサービスへのアクセスを制限すること。

• 情報漏えいのリスクを抑えるため、フリーWi-Fiなど自社が許可していないWi-Fiとの接続を制限すること。

• SNSやゲームなどの許可しないアプリのインストールを制限すること。

こうした要件を受けてソフトバンクでは、iPhone、iPadとWorkspace ONE UEMなどを提案しました。これらのデバイスは同社の要望でもありましたが、ソフトバンクとしてもセキュリティ要件を踏まえて精査しました。

Workspace ONE UEMとの組み合わせによって同社のニーズを満たせることはもちろん、Androidのような機種依存性によるライフサイクルマネジメントの課題が少ないことも採用の理由となりました。

金融機関が施したモバイルデバイスの管理設定

この金融機関では、Workspace ONE UEMを導入後、必要な設定を行ってきました。まずMicrosoft 365との接続制限については、デバイスに証明書を配布し、証明書のないデバイスからのアクセスはMicrosoft 365側が受け付けないよう設定しています。これによって、私用デバイスなど自社の管理下にないデバイスからのアクセスを制限できます。

Workspace ONE UEMによってMicrosoft 365へ適切なデバイスからアクセス可能に

Wi-Fiへのアクセス制御については、Workspace ONE UEMでプロファイルを配布し、Wi-Fiホワイトリストを設定します。これにより、ホワイトリストに記載されているアクセスポイントとのみ接続可能となります。

アプリのインストール制限については、Workspace ONE UEMの機能でApp Storeアプリを使用できなくすると同時に、Workspace ONE UEMのカタログ機能で、自社が認めたアプリを選んでダウンロードできる仕組みを提供。Officeやブラウザ、自社オリジナルのアプリなどを利用できるようにしています。

Wi-Fiプロファイルやアプリは、ユーザの属性や部門によって変更したいケースもあります。そのコントロールは組織が大きくなるほど複雑になることから、Workspace ONE UEMのような大規模運用にも柔軟に対応できるMDM・MAMが力を発揮します。

導入から運用サポートまでの一括サポート

こうしてこの金融機関では、安全なモバイルアクセス環境の構築を実現しました。ソフトバンクでは、Workspace ONE UEMだけでなくデバイスとネットワークも一括して提供し、導入設計から構築、展開、サポートまで一貫して対応を行っています。提案にあたっては、デバイスをどのように活用したいのかという背景を理解したうえで、閉域ネットワークなどを含む同企業のICT環境全体の構成を踏まえて、エンジニアが設計を行っています。

また、ユーザサポートに関しても多くのお客さまから高い評価をいただいています。ユーザに何らかのトラブルが発生したとき、情報システム部など社内の窓口で一次対応を受け付けることが一般的でしょう。そこから問題を切り分けて、通信キャリア、デバイスメーカー、MDMベンダなど各社に問い合わせることになりますが、これでは問題解決までに時間がかかってしまいます。

それに対してソフトバンクでは、問い合わせの窓口を一元化しているため、どのような問題にもワンストップで対応することができます。

さらにこの窓口は、ヘルプデスクの代行対応も可能です。ソフトバンクが、管理者だけでなく社員から直接連絡を受け付け、操作方法の質問や故障などのあらゆる事態に対応します。例えばデバイス紛失時には、Workspace ONE UEMの機能でデータのリモートワイプ（遠隔消去）を実施します。さらにレンタル端末の場合は、通信キャリアであることを活かしてソフトバンクが回線停止までを一気通貫で行い、不正利用を防ぐことも可能です。また、代替機を指定場所に直接送付することもできます。今回ご紹介した金融機関もこのヘルプデスクサービスを利用しています。

このように一般的なシステムインテグレーターでは手の届かない運用サポートや、回線、デバイスの供給体制によって、情報システム部門の負担を大幅に減らすことができるのもソフトバンクの強みです。

ソフトバンクは単なる製品の販売にとどまらず、長年培ったノウハウとソフトバンクが持つ総合力を合わせることで、設計・構築・導入・運用に至るまでデバイスのライフサイクルマネジメントをトータルでサポートします。