エンタープライズ・アプリのためのセキュリティー・モデルの選択
セキュリティー・モデルおよび開発モデルは、組織で使用するアプリのタイプによって異なります。
以下のガイドラインを使用すると、エンタープライズ・アプリに使用するアプリ・セキュリティーのタイプを決定する際に役立ちます。
アプリ・ラッピングもアプリ SDK もなく、アプリが MDM によって管理されるだけの場合
デプロイするアプリに機密データが含まれておらず、アプリのデータ漏えいの心配がない場合、ラップまたはアプリ SDK による構築は不要です。 MaaS360®からデバイスにアプリをプッシュできます。 MaaS360 には、MDM によって管理されるアプリのための以下のセキュリティー・メカニズムが用意されています。
- 「アプリ・カタログ」 からアプリをインストールします。
- アプリをリモート側でアンインストールします
- デバイスがコンプライアンス非準拠になった場合に、アプリを自動アンインストールします (例えば、デバイスがジェイルブレイクまたは root 化され、パスコードまたはその他のポリシーに従わない場合)
- アプリのバックアップを防いだり、アプリ・データの暗号化バックアップを強制したりします
- iOS 上のアプリの管理ステータスを強制し、ご使用のアプリから別の管理対象アプリへのデータ・エクスポートを iOS 内のみに制限します (MDM でプッシュおよび管理)
ご使用のアプリがこれらの制御によって管理されている場合、アプリに対するアプリ・ラッピングもアプリ SDK も必要ありません。
アプリ・ラッピング
以下のいずれかまたはすべてのシナリオがご使用の環境に当てはまる場合、アプリ・ラッピングを使用します。
- アプリに機密データが含まれていて、アプリのデータ漏えいからこのデータを保護する必要がある場合。
- ローカルのデバイス上でアプリ・データの暗号化を適用する必要がある場合。
- インターネットから利用できない企業ネットワーク上の内部リソースにアプリからアクセスする必要がある場合。 ( MaaS360 ラッパーおよび Mobile Enterprise Gateway (MEG) のアプリは、内部サーバーと通信できます。)
- ユーザー名、 URL、メールアドレスなどのアプリ構成パラメータを渡して MaaS360でアプリを構成したい。
- デバイスが社内ポリシーに準拠しない場合にアプリの使用を制限する必要があり、アプリを削除することを選択できない場合 (MDM によって管理されているアプリなど)。
- ラップされるすべてのアプリのロックを解除するために同じコンテナー・パスワードまたは PIN を適用する必要がある場合。
アプリ SDK
アプリ SDK にはアプリ・ラッピングと同じ機能のセットの他に、いくつかの追加機能が含まれています。 以下のシナリオのうち 1 つがご使用の環境に当てはまる場合、アプリ SDK を使用します。
- MaaS360 アプリからユーザー名、ドメイン、ユーザー E メールなどの情報を抽出する必要があります。
- セキュリティー・イベント (例えばデバイス・コンプライアンス・イベント) のコールバックを実装し、アプリ・データの処理方法をカスタマイズする場合。
- IBM® MaaS360 Mailからアプリからメールを送信したい。
- IBM MaaS360 ブラウザでアプリからのリンクを開きたい。
- IBM MaaS360 エディターでアプリからドキュメントを開きたい。
セキュリティー機能の比較表
| 機能名 | 機能の説明 | メリット | iOS ネイティブ SDK | iOS Cordova SDK | Android ネイティブ SDK | Android Cordova SDK | iOS ラッピング ** | Android ラッピング ** |
|---|---|---|---|---|---|---|---|---|
| ユーザー情報およびデバイス情報の取得 | SDK がデバイス UDID、 MaaS360 デバイス ID、ユーザー名、アクセス・グループ、E メール・アドレス、コンプライアンス・ステータス、およびコンプライアンス違反の理由 (該当する場合) を含むデバイスとユーザーに関する情報を取得できるようにします。 | ユーザーおよびデバイスに関する固有 ID の詳細情報を提供します。 | はい | はい | はい | はい | 該当なし | 該当なし |
| シングル・サインオン。 アプリ全体でのアクセス制御 | 同じ開発者によって作成されたすべてのアプリにアクセスするための単一の PIN をユーザーが使用できるようにします。 | ユーザーは単一のコンテナー PIN でサインオンし、ログイン時間が経過するまでログインしたままになります。 | はい | はい | はい | はい | はい | はい |
| ユーザー・カスタム属性のサポート | ユーザー・レベルのカスタム属性を定義してアプリに伝搬することを可能にします。 | 企業はアプリ全体にわたって使用されるユーザー用のカスタム属性を定義します。 | はい (注 A ) |
はい (注 A ) |
はい | はい | ||
| 共有デバイスのサポート | ユーザーがサインインしたときだけユーザーがアプリにアクセスすることを許可し、ユーザーがサインアウトしたときにユーザーがアプリにアクセスできないようにします。 | 複数のユーザーが単一デバイスを共有するときにデータを確実に保護します。 | はい (注 B ) |
はい (注 B ) |
はい | はい | はい |
| 機能名 | 機能の説明 | メリット | iOS ネイティブ SDK | iOS Cordova SDK | Android ネイティブ SDK | Android Cordova SDK | iOS ラッピング ** | Android ラッピング ** |
|---|---|---|---|---|---|---|---|---|
| コンプライアンスの適用 | ユーザーおよびデバイスのコンプライアンス用のポリシーをセットアップし、非準拠デバイスに対するアプリへの制限を強制します。 | ユーザーおよびデバイスのコンプライアンス・イベントを検出し、アプリへのユーザー・アクセスをブロックするなどの、アプリへの制限を自動的に強制します。 | はい | はい | はい | はい (注 C ) |
はい (注 D ) |
はい |
| 位置および時間ベースのポリシー | アプリの使用に関する位置および時間の境界を定義します。 | 時間および位置に基づき、アプリにアクセスするユーザーを許可またはブロックします。 | はい | はい | はい | |||
| ジェイルブレイクへのアクセスの制限 | ジェイルブレイク・デバイスを検出し、アプリへのユーザー・アクセスを制限します。 これらの API はアプリ SDK によって自動的に強制されるか、実装するアプリのために SDK がこれらのイベントに対してデリゲート・コールバックを行います。 | ジェイルブレイクを検出し、ユーザーによるアプリへのアクセスを即時に制限します。 | はい | はい | はい | はい (注 C ) |
はい | はい |
| 長期にわたる非アクティブ期間後のアクセスの制限 | これらの API はアプリ SDK によって自動的に強制されるか、実装するアプリのために SDK がこれらのイベントに対してデリゲート・コールバックを行います。 | 指定されたログイン期間が過ぎた後でアプリに対して認証を強制します。 | はい | はい | はい | はい | はい | はい |
| セレクティブ・ワイプへのアクセスの制限 | これらの API はアプリ SDK によって自動的に強制されるか、実装するアプリのために SDK がこれらのイベントに対してデリゲート・コールバックを行います。 | アプリ内の企業データを保護または削除するために管理者がセレクティブ・ワイプを開始したときにアラートを送信します。 | はい | はい | はい | はい (注 C ) |
はい | はい |
| 機能名 | 機能の説明 | メリット | iOS ネイティブ SDK | iOS Cordova SDK | Android ネイティブ SDK | Android Cordova SDK | iOS ラッピング ** | Android ラッピング ** |
|---|---|---|---|---|---|---|---|---|
| Data at Rest (保存されたデータ) の暗号化 | 保存されたアプリ・データに対して最大限のセキュリティーを強制します。 | セキュリティーを高めるためにアプリ・データを暗号化します。 アプリ用のメタデータ、アプリ・データベース、およびアプリ用に使用されているすべてのファイルを暗号化します。 | はい | はい (注 E ) |
はい | はい (注 F ) |
はい | はい |
| 高度な暗号化処理 | コンテナー PIN を使用するアプリを暗号化します。 | 暗号化のための鍵の取り扱いをさらに簡素化します。 | はい | はい | はい | はい | はい | |
| MaaS360 を使用した暗号化されたアプリ間データ転送 | 中間者攻撃の可能性なしに、 MaaS360 とアプリ間のデータを安全に暗号化して転送します。 | MaaS360 とデバイス上のアプリとの間で転送中のデータを暗号化します。 | はい | はい | はい | はい | はい | |
| 切り取り、コピー、または貼り付けの制限 | コンテナー化されたアプリのセット内でのみ、切り取り、コピー、貼り付けを許可します。 | ユーザーがコンテナー内部から個人用アプリに文書をコピーまたは貼り付けすることを制限します。 | はい | はい | はい | はい (注 G ) |
はい | はい |
| スクリーン・ショットの制限 | ユーザーによるデバイスの画面キャプチャーの実行を制限します。 | 画面キャプチャーによる漏えいから機密データを保護します。 | 該当なし (注 H ) |
該当なし | はい | はい (注 J ) |
該当なし (注 H ) |
はい |
| カメラまたはギャラリーからのインポートの制限 | ユーザーがカメラを使用したり、ギャラリーからアプリにイメージをインポートしたりすることを制限します。 | 個人用のイメージおよびデータから業務用アプリを隔離します。 | はい | はい | はい | |||
| SD カードからのインポートの制限 | ユーザーがコンテンツを SD カードからアプリにインポートすることを制限します。 | SD カードに保管されている外部のコンテンツから業務用アプリを隔離します。 | 該当なし | 該当なし | はい | |||
| ファイルのインポートの制限 | 他のアプリからコンテナー化されたアプリへのファイルのインポートを制限します。 | ユーザーが業務に関係のない文書をコンテナー化されたアプリにインポートすることを防ぎます。 | はい | はい | はい | |||
| コンテナーがロックされている場合の通知のフィルター | コンテナーがロックされているときにアプリからの通知メッセージを禁止し、データ漏えいを防ぎます。 | コンテナーがロックされている場合に機密性の高い通知メッセージが画面に表示されることをブロックします。 これらの通知は、ユーザーがコンテナーのロックを解除すると表示されます。 | はい | はい | はい | |||
| 許可されたアプリのセットからのファイル・インポートを許可 | ポリシーで定義されているように、許可されたアプリの選択リストからファイルをインポートできるようにします。 | 選択リスト内にある信頼できるアプリからコンテナー化されたアプリへの文書のインポートをユーザーに許可します。 | はい | はい | ||||
| ファイルのエクスポートの制限 | ファイルのエクスポートを、許可されたアプリのみに制限します。 (このアクションを処理するための対話コントローラーは SDK から別途提供されます。) |
ファイルの漏えいを防止し、許可およびコンテナー化された一連のアプリケーションでファイルを開くことができます。 ユーザーは別のアプリにファイルをエクスポートできません。 | はい | はい | はい | はい (注 J ) |
はい | はい |
| 印刷の制限 | 有効化した場合は、ファイルの印刷を制限します。 | 印刷によるデータの漏えいを防ぎます。 ユーザーは、ラップされるアプリから印刷できません。 | はい | はい | はい | はい | はい | はい |
| 証明書のピン留め | トラステッド CA パブリック証明書が、アプリによってピン留めされた証明書と一致することを検証します。 | 不正な証明書からアプリを保護します。 | はい | はい | はい |
| 機能名 | 機能の説明 | メリット | iOS ネイティブ SDK | iOS Cordova SDK | Android ネイティブ SDK | Android Cordova SDK | iOS ラッピング ** | Android ラッピング ** |
|---|---|---|---|---|---|---|---|---|
| アプリ別 VPN | 企業ファイアウォールの向こう側にあるリソースにアクセスするためのアプリ向けゲートウェイ・アクセスを確立します。 | デバイス・レベルの VPN を使用せずにアプリ・レベルのイントラネット・アクセスを提供します。 Data in Motion (流れているデータ) を暗号化します。 企業アプリのみがゲートウェイ経由でデータをフェッチし、すべての個人用アプリはインターネットに直接アクセスするため、VPN トラフィックが減少します。 | はい | はい | はい | はい | はい | はい |
| アプリ別 VPN のための地域ゲートウェイのサポート | ユーザーの地理的位置に基づいて、アプリごとの VPN 用に地域の MaaS360 ゲートウェイを使用します。 | ネットワーク待ち時間が削減されるため、ユーザーはデータに素早くアクセスできます。 | はい | はい | はい | はい | はい | はい |
| 社内ネットワーク検出 | 直接アクセスを使用し、企業ネットワーク内のアプリ別 VPN をスキップします。 | ユーザーは企業ネットワーク内にいながら、企業リソースへの直接アクセスを通じてデータに素早くアクセスできます。 | はい | はい | はい | はい | ||
| 直接ゲートウェイのための ID 証明書 | SSL ネゴシエーション中にロード・バランサーによる ID 証明書の検証を可能にします。 | ロード・バランサーによる直接ゲートウェイ・セットアップを使用して、デバイスからの ID 証明書を検証します。 | はい | はい | はい |
| 機能名 | 機能の説明 | メリット | iOS ネイティブ SDK | iOS Cordova SDK | Android ネイティブ SDK | Android Cordova SDK | iOS ラッピング ** | Android ラッピング ** |
|---|---|---|---|---|---|---|---|---|
| アプリケーションの構成 | 必須の入力データを持つ構成ファイルが MaaS360 から渡されて安全にアプリに配信されます。 | アプリが事前構成されているため、ユーザー・エクスペリエンスが向上します。 | はい | はい | はい | はい | 該当なし | 該当なし |
| アプリの認証性 | アプリが MaaS360 コンテナーにアクセスする前に、アプリの署名を検証します。 | 改ざんされたアプリや有害なアプリがコンテナーへのアクセス権を取得しないようにします。 | はい | はい | はい |
| 機能名 | 機能の説明 | メリット | iOS ネイティブ SDK | iOS Cordova SDK | Android ネイティブ SDK | Android Cordova SDK | iOS ラッピング ** | Android ラッピング ** |
|---|---|---|---|---|---|---|---|---|
| MaaS360 E メールの送信 | IBM MaaS360 Mail を介して電子メールを送信するために使用されるインタラクションコントローラを提供します。 | IBM MaaS360 Mailを使って、ユーザーがアプリからメールを送信できるようにしましょう。 | はい | はい | はい | はい | 該当なし | 該当なし |
| Secure Viewer での文書の直接オープン | 開発者が Secure Viewer で文書を直接開くためのオプションを提供します (Android にはビューアーが提供されていないため)。 | 開発者が MaaS360 SDK を使用するアプリ内で文書ビューを簡単に提供できるようにします。 | 該当なし | 該当なし | はい | はい | 該当なし | はい |
| MaaS360 アプリでの文書の保存 | ユーザーが MaaS360 アプリに文書を安全に保存できるようにするための対話コントローラーをアプリに提供します。 | ユーザーは、任意のアプリからコンテナーの My Docs セクションに文書を保存できます。 | はい | はい | はい | はい | 該当なし | 該当なし |
| IBM MaaS360 ブラウザでリンクを開く | IBM MaaS360 ブラウザでアプリからのリンクを開けるようにする。 | デバイスレベルのVPNなしで、イントラネット・サイトを含むアプリ内のURLを開くには、 IBM MaaS360 Browserに誘導される。 | はい | はい | はい | はい | ||
| MaaS360 資料 を参照します。 | アプリの相互作用コントローラーを提供して、ユーザーが MaaS360 Docsから安全に文書を参照できるようにします。 | ユーザーは、任意のアプリから MaaS360 Docs 内の文書を安全に参照できます。 | はい | はい | はい | |||
| IBM MaaS360 エディターで文書を編集する | ユーザが IBM MaaS360 Editor で安全にドキュメントを編集できるように、アプリのインタラクションコントローラを提供します。 SDK はエディターへの文書の転送を処理し、編集が完了したときにエディターからの文書の受け取りを処理します。 | IBM MaaS360 Editor を使って、コンテナ内で直接文書を編集できるようにする。 | はい | はい | はい | はい | はい |
| 注 | 説明 |
|---|---|
| A | アプリの構成により使用可能 |
| B (B) | アプリの再構成が必要 |
| C (C) | MaaS360 アプリによるセレクティブ・ワイプ・アクションのみ。 デリゲート・コールバックなし。 |
| D (D) | セレクティブ・ワイプ・イベントについてのみ |
| E | iOS によって提供される。 Worklightによって暗号化された JSON データベース。 |
| F | MaaS360によって暗号化されたファイルとテキスト。 Worklightによって暗号化された JSON データベース。 |
| G | MaaS360WLDroidGap クラスの拡張による |
| H | MDM の使用により使用可能 |
| J | MaaS360WLDroidGap クラスの拡張による |
| N/A | 可能でないか、OS により利用不可 |
| ** | iOS Cordova ベースのアプリ向けのラッピング・サポートは SDK 統合アプリと同等ですが、Android Cordova ベースのアプリについてはラッピングが現在サポートされていません。 |