MobiControl

最強のセキュリティ対策

MobiControlは、端末の紛失や盗難に備えて、強力な対策を準備しています。

MobiControlの端末盗難対策


端末の紛失や盗難で、セキュリティに対するイベントが発生すると、 端末は自律的に対応するアクションを実行します。
セキュリティ・リスク・イベント
  • パスワードのチェック
    端末を一定時間使わないでいると、パスワード入力を要求する画面を表示します。
    この状態で、外部からUSBや無線LANや赤外線ビーム経由で端末にアクセスしても、端末からファイルを出力できなくなります。Exploreで端末のフォルダ/ファイル構造を見ることもできなくなります。
    ここで、正しいパスワードを入力すると、正常に運用を再開できます。 もし、ここで誤ったパスワードを数回入力すると、ファイル削除などのセキュリティ対応アクションを自ら 実行します。
    設定項目:パスワード入力画面を表示するに至るアイドル時間
    設定項目:誤ったパスワード入力回数
    設定項目:パスワードの複雑性条件
    パスワードの最低桁数、大文字小文字の区別をするか否か、特殊記号を含むべきか否かなどの パスワードの複雑性条件の設定ができます。
  • 管理サーバとの長期無通信
    端末は決められたスケジュールで自律的に管理サーバにアクセスしています。 また、ソースIPアドレスが一定範囲に ないと管理サーバにアクセスできないように設定できます。倉庫など構内でのみ使う端末に適用します。 端末を外部に持ち出すと、管理サーバにアクセスできません。
    端末は、管理サーバとの無通信状態が設定時間以上続くと、ファイル削除などのセキュリティ対応アクションを自ら実行します。
    設定項目:管理サーバとの無通信時間
  • センターからのリモート操作
    サポート担当者は、ショートメールを送ることで、端末から管理サーバへアクセスさせることができ、コンソールから 当該端末をリモート操作できるようになります。そして、各種のセキュリティ対応アクションを実行できます。

誤ったパスワードを設定値以上入力したり、端末を管理サーバに長期間アクセスさせないでいると、 下記のアクションの実行を指定できます。例えば、N回の誤ったパスワードで端末を管理サーバに強制接続とか、 M回の誤ったパスワード入力があればファイル削除などのアクションを実行させます。 X時間の無通信でメッセージ表示とか、Y時間の無通信が続くとファイル削除などのアクションの実行をさせます。

イベントに対応するアクション
  1. 端末画面にメッセージ表示
    端末への表示するメッセージには、「センターに電話ください。050-xxxx-yyyy」とか、「あとN回、誤ったパスワードを 入力すると、ファイルを削除します」などです。
    設定項目:メッセージ内容
  2. 管理サーバへのアクセスし、紛失懸念を報告
    端末が自動的に管理サーバにアクセスし、端末が紛失した可能性を報告します。
    報告を受けると管理サーバは、端末の入出力機能を停止します。 USB、ActiveSync、赤外線ビーム、無線LAN、ブルートゥースなどの入出力機能の停止。
    設定項目:管理サーバへアクセスするに至る、誤ったパスワードの入力回数
    設定項目:停止する入出力装置
  3. ファイルの削除
    全てのファイルの削除をします。この際予め設定してあるフォルダ(例外フォルダ)の中のファイルは削除されません。 削除されて困るプログラムのフォルダなどはこの例外フォルダとして指定しておきます。
    設定項目:例外フォルダ

設定項目の変更
  • 上記の設定項目は、端末単位または端末グループ単位で一括設定できます。
  • 上記の設定項目は、いつでも任意に変更できます。
    パスワードの複雑性条件の変更をすると、 端末には、パスワードの変更プロンプトが表示されます。
  • 各種設定値は、コンソールで変更でき、MobiControlサーバのデータベースに登録しておきます。 端末が管理サーバへスケジュールによりアクセスしてきたときに、自動的に、端末の設定を変更します。
管理センターからのリモート操作
詳しくは、リモート操作のページで説明しますが、センターの管理担当者は、広範囲なリモート監視と操作ができます。 セキュリティに関しては、上記の対応アクションの全てを実行できます。 それ以外に、ファイル削除の前に、定時のバックアップを終えてないファイルも管理サーバに強制バックアップすることもできます。

ファイルの暗号化
  • RAM、SDカードなどの記憶デバイス内のファイルを暗号化します。 フォルダ単位で暗号化対象を設定できます。 オンザフライ暗号方式です。
  • どのフォルダを暗号化するかの設定とその変更は、システム管理者が行います。 端末グループ単位で設定と変更ができます。 端末ユーザによる勝手な変更はできません。
  • システム管理者による変更は、通信回線を経由して、各端末で変更が実行されます。
  • 端末のファイルは、社内サーバに復号化されてバックアップされています。端末ユーザは、社内のPCでは 復号化されている当該ファイルを読み取ることができます。
  • 暗号化されたファイルは、その端末でないと復号化できません。暗号/復号キーは端末毎に異なります。
  • 端末を壊してしまった場合、SDカードの中身を、サポートセンターに送れば、復号化できます。 復号キーの複製をMobiControlのサーバに保存してあるからです。
  • 暗号/復号キーは、端末ユーザもサポート要員も知ることができません。
ブラックリスト・ホワイトリスト
  • ブラックリスト
    起動できないアプリケーションのリストを作成できます。アプリケーションが立ち上がってから使えなくする方法でなく、 起動そのものを抑止します。
  • ホワイトリスト
    起動できるアプリケーションのリストを作成できます。 指定したアプリケーション以外の起動を抑止します。マルウェアが入っても起動しません。
    業務アプリケーションを多くインストールすると、ホワイトリストの作成は困難な作業です。 必要なEXEファイルをリストに入れ忘れて、あるアプリケションの機能の一部が動かなくなったりします。 これを克服するために、MobiControlには、ホワイトリスト作成ツールが用意されています。 ブラックリストもホワイトリストも、端末または端末グループ単位で設定できます。また、いつでも、それを通信回線経由で変更できます。
オリジナル初期画面
導入企業独自の初期画面を設定するツールがあります。
  • オリジナル初期画面は、一種のラウンチャーです。
  • PCのデスクトップ画面と同じく、Windows Mobile/CEの画面にアプリケーションのアイコンが表示され、それをタップすることでアプリケーションを起動できます。
  • 指定URLのWebへのアクセスを目的とするブラウザをラウンチャー項目とできます。 この場合、ブラウザのアドレス欄を非表示とし、 ブラウザでは指定のURLへしかアクセスできないようにすることができます。
  • 他のアプリケーションへアクセスさせないために、Windows メニューの表示停止もできます。
  • コントロールパネルへのアクセスも停止できます。端末ユーザによるコントロールパネルの 設定変更を防止できます。
SSL
  • 管理サーバと端末だけでなく、 管理サーバと社内サーバ、管理サーバとサポートセンターのコンソールの間もSSL通信を 設定できます。
  • 管理サーバの運営をASP業者が行うこともあるからです。
  • Windows CE機との交信には、SSLは使えません。MobiControl独自のアルゴリズムで暗号通信を行います。
社内サーバへのアクセス防止
MobiControlを使うと、モバイル端末は、社内のサーバに直接アクセスすることなく、必要なファイルを入手できます。そのファイル内容はコントロールされた フォルダのファイルに限られます。

MobiControlは、米国のMobileVillage誌の読者投票で、 Enterprise Software: Mobile Security (AntiVirus & Firewall)部門で、 Gold賞を受賞しました。