専門家コミュニティは、モバイルBYODデバイスからの企業および個人のメールを介したアクセス制限情報の漏洩のリスクについて真剣に懸念しています。 データ漏洩防止に関するほとんどすべての会議で、最も一般的なAndroidおよびiOSプラットフォームを実行するモバイルデバイスでの企業の電子メール制御の問題は、ほとんどの参加者に関連しています。
この問題に対処してみましょう。
もちろん、仕事用の個人用モバイルデバイスの積極的な使用、特に電子メールによる運用コミュニケーションのために、生産プロセスでの企業データの実際の使用を大幅に簡素化し、従業員の生産性、モビリティ、効率を向上させます。
この問題の解決策として、アプリケーションラッパークラスソリューションが市場で最もよく提供されます。モバイルデバイスの紛失コンテナテクノロジーは、モバイルデバイスが失われたときに情報を保護し、企業アプリケーションのすべての電子メール通信をVPNトンネルを介して組織のオフィスネットワークにリダイレクトできます。 DLPゲートウェイは、「コンテナ」メールのコンテンツを制御するために使用されます。 重要なIPの限られたセグメントに適用できるもう1つのオプションは、高価な「セキュアな電話」です。これは、本質的には、Androidの簡易バージョンに基づく専用のソフトウェアおよびハードウェアMDMソリューションです。 Androidモバイルデバイス用のDLPのようなエージェントを作成する試みも行われています。このエージェントでは、トラフィック制御が実際にダウンして、VPNトンネルにリダイレクトされます。 これらすべての企業の電子メール保護オプションに共通するのは、VPNトンネルを介してモバイルデバイスから受信したメールトラフィックを監視するためのDLPゲートウェイまたはサーバーの使用です。
モバイルパーソナルデバイスからのデータリークを防ぐソリューションのアーキテクチャに影響を与える重要な要因は、さまざまな理由により、最新のモバイルオペレーティングシステムがDLPエージェントの信頼できる動作を提供しないことです。 iOSプラットフォームはOSのカーネルへのアプリケーションへのアクセスを提供しませんが、Androidは反対にオープンプラットフォームです。つまり、すべてのユーザーは、簡単な手順でAndroidデバイスへの完全な管理アクセスを取得し、アプリケーション(この場合は仮想DLPエージェント、送信データの制御を無効にし、貴重な情報の漏洩を防ぎます。 最後に、組織によって提供された場合でも、個人用デバイスは常に個人用であることを忘れてはなりません。本質的に組織的および技術的な多くの制限があります。 アクセスの複雑さ、自動化された集中型展開の不可能性、ITサービスによる個人デバイスの管理制御の欠如などを考慮する必要があります。
多くの国内製品の企業ゲートウェイおよびVPNトンネルの背後にあるネットワーク中心のDLPソリューションは、メール通信を監視する機能によって制限されており、MAPIおよびLotusプロトコルについては完全に適用されません。 MAPIおよびLotusの場合、コンテンツ分析は送信時までのみ可能です。これには、DLPエージェントアーキテクチャの使用と、メールクライアントプロセスのアドレス空間でのネイティブコードの実装によるメッセージのインターセプトが必要です。
動的に発展している情報セキュリティのもう1つの分野は、作業環境およびアプリケーション用の仮想化ソリューションを使用して作成された無菌作業環境へのリモート接続を介した会社の情報資産へのアクセスの提供です。 AndroidおよびiOSデバイスでのメール通信のリークの防止に関しては、これは一般に企業サーバーへのリモートアクセス、特にターミナルセッションを介したオフィスメールへのアクセスを提供することによって達成されます。 同時に、各ターミナルセッションのメール通信の制御は、ターミナルサーバーで動作するDLPエージェントによって実行されます。 このモデルでは、企業メールを操作するための電子メールクライアントは仮想化アプリケーションとして公開されます。たとえば、Citrix XenApp環境では、ユーザーはAndroidおよびiOSモバイルデバイスを含む任意のデバイスから電子メールクライアントを操作でき、DLP制御は端末の企業仮想化環境に直接実装されますサーバー。 これを行うには、ユーザーまたは組織のIT部門がターミナルクライアント(Citrix Receiverなど)を個人用デバイスにインストールするか、HTML5をサポートするWebブラウザーを代わりに使用できます。
ユーザー側では、組織的な観点から、ターミナルセッションを介した電子メールクライアントへのアクセスモデルは非常に単純です-Citrix ReceiverはApp StoreとPlay Marketで入手でき、iOSおよびAndroidの任意のバージョンに問題なくインストールされ、企業への接続手順も提供されます仮想化アプリケーションとしてのメールクライアントは非常にコンパクトです。
説明されているモデルの最後の最も重要な部分は、仮想化環境でメール通信を制御するDLPシステムです。 DeviceLock DLPソフトウェアパッケージのエージェントは、ターミナルサーバーにインストールされると、仮想企業環境の各セッションのネットワーク通信のコンテキスト制御とコンテンツフィルタリングを提供します。 DeviceLock Virtual DLPテクノロジーを使用すると、Citrix XenAppで公開され、ターミナルセッションを通じてユーザーがアクセスするメールクライアントアプリケーションから直接電子メールメッセージをインターセプトし、リアルタイムでメッセージコンテキスト(添付ファイルの存在、メール識別子の検証)およびコンテンツ(コンテンツコンテンツ)を確認できます)このユーザーに指定されたDLPポリシーに準拠していることを示すメッセージと添付ファイル。 違反が発生した場合、制限されたアクセスデータの送信操作は、それらの漏洩を防ぐためにブロックされますが、適切なジャーナルエントリと添付ファイル付きの送信メッセージのシャドウコピーが作成され、ISインシデント管理手順の一部として処理するためにアラーム通知が生成されます。
仮想DLPは、トラフィックをVPNトンネルにリダイレクトする問題を解決し、まずDLPサーバーレベルでメール通信を分析するという点で、ユーザーがメールクライアントのデータではなく端末のグラフィカル表現にアクセスするという点で、上記のオプションとは異なりますセッション。 さらに、仮想DLPは、トラフィックが発生するポイントで監視機能が直接実行される場合、ネットワーク通信の監視にエージェント固有のオプションを使用します。 このようなアーキテクチャでのみ、MAPIなどのメールとインスタントメッセンジャー(Skypeのプライベートカンバセーションなど)の両方で、独自のプロトコルでデータを暗号化する前にデータをインターセプトできます。 さらに、クリップボードとリムーバブルドライブを介して送信されるデータの内容がリアルタイムでチェックされ、パーソナルデバイスからデスクトップまたはアプリケーションのターミナルセッションにリダイレクトされます。これは、メール制御よりもBYODデバイスからの企業データ漏洩に対する保護にとって重要です。 。
DeviceLock DLPを使用すると、すべての一般的なメールプロトコル(SMTP / SMTP over SSL、MAPI、IBM / Lotus Notes)を制御でき、モバイルデバイスに端末アクセス用のアプリケーションをインストールして構成する必要があるのはユーザーだけです。 さらに、DeviceLock Virtual DLPテクノロジーの使用により、Microsoft、Citrix、VMware、およびMicrosoftの仮想化およびターミナルアクセスプラットフォーム上に構築された仮想化ソリューション(BYOD、「ホームオフィス」、シンクライアント)を使用するさまざまなモデルで個人用モバイルデバイスを使用するためのさまざまなオプションを完全に制御できます。他のメーカーの-企業はメール通信だけでなく、一般的な企業の仮想化環境でもパーソナルセルデバイスに完全に制御できます udnikov、モバイル、ならびに全てのオペレーティングシステム上の他の遠隔装置を含みます。
注意:もちろん、小さな画面のスマートフォンで本格的なメールクライアントを操作することは完全に不可能であり、800x480の解像度で4インチの画面でOutlook、特に古いバージョンを使用することについて真剣に話すことは重要ではありません。 しかし、仮想化メールクライアントとして、さまざまなインターフェイス要素を使用した飽和の点で「コンパクト」なアプリケーションを使用する場合は、より大きな対角線の高品質画面を備えたデバイスを使用してください。状況は劇的に変化します。 繰り返しますが、組織的および技術的な側面を忘れないでください-職業別の従業員がメール通信へのモバイルアクセスを必要とする場合、タブレットまたはライトウルトラブックを提供してください。
この図に示すように、タブレットの画面では、本格的なOutlookでさえも実際に使用できます。
次の記事では、仮想DLPテクノロジーのターミナルセッションでのデータフローの制御がどのように機能するかについて詳しく説明する予定です。 連絡を取り合いましょう!