はじめに
メッセージングアプリケーション「シグナル」ついて
シグナルというアプリがある
プライバシー保護を徹底化したメッセージングアプリケーションときく
運営者や管理者、途中で経由するすべてのサーバ所有者のいずれも、会話内容を盗聴することは出来ない仕組みになっているそうだ
東洋経済オンラインによると「シグナル」は強盗事件で多用されているとのこと
「闇バイト」による強盗事件で指示役と実行役らとの間で「シグナル(Signal)」と呼ばれるアメリカの通信アプリが多用されている
本来はプライバシー保護機能による有用性を実現した素晴らしいアプリなのだろう
- 商業利用等の他の組織に利用されないための個人データ漏えい防止
- ジャーナリストや人権団体でのコミュニケーション
- 独裁国家における反体制派の秘密情報を安全にやりとり
一方で、犯罪者やテロリスト組織がシグナルを悪用しているケースがあるというのは悲しいかぎりだ
社員のシグナル利用を阻止することはできるのか
個人的にシグナルを利用するのはよい。良いか悪いかは実際のところ使い方に依存するものの、あくまでもプライベート利用であり第三者が関知することではない
しかし、企業から社員へ業務利用のため貸与しているPCスマホのシグナル利用は不要ではないだろうか。企業情報の漏えいといった悪意ある行動、社員がよからぬ事態に巻き込まる可能性を危惧する場合もあるかもしれない
今回は社給デバイスでの社員のシグナル利用を阻止する方法を紹介する。ITの力を借りて社給デバイスからのシグナル利用禁止を実現してみようと思う
前提として
- 紹介する方法は、Microsoft IntuneやMicrosoft Defender for Endpoint(以下MDE)を使用したものである。そのためいくつかの前提条件をクリアしておく必要がある
- 条件クリアが難しい場合は他の実現方法もあるのでそれらを検討していただきたい
①管理対象となるPCスマホは、MDEのライセンス割当がなされ、MDEへのオンボーディングがなされていること
Microsoft Defender管理画面のデバイスインベントリで、「オンボードされました」の状態であればよい
②Microsoft IntuneとMDEが接続されていること
接続の状態が「有効」であればよい
③管理対象となるPCスマホがMicrosoft Intuneに参加もくしくは登録されていること
デバイスのIntune登録や参加の方法については、Microsoft公式ドキュメントを参考にされたい
シグナルへのアクセス遮断措置の設定
会社支給のPCスマホからのシグナルへのアクセスを遮断を実現するMDEの設定を記載する
「遮断」のでもよいが、IT管理者の運用観点から以下の要件も合わせて考えてみたい
- なぜ遮断されたのかを利用者に知らせる
- 誰が遮断されたのかを管理者に知らせる
なお、詳細な設定内容やトラブルシューティングについてはMicrosoft公式ドキュメントを参考にされたい
①MDE管理画面から、「設定」>「エンドポイント」とクリック
②「エンドポイント」メニュー画面から、「ルール」>「指標」とクリック
- 右画面の「URL/ドメイン」の「+アイテムの追加」をクリック
③インジケーターの追加
- URL/ドメイン:signal.org (シグナルのドメイン全体を対象)
- タイトルや説明は、他の運用者がみてもわかるような記載がよいと思われる
- 有効期限は期限設定も可能だが、ここでは「無制限」にしておく
- 設定後「次へ」をクリック
- 処理:ブロックの実行
- 遮断するため「ブロックの実行」を選択したが、「警告」だと注意表示のあと利用者の意思でアクセス可能となる
- 設定後「次へ」をクリック
- アラートの詳細であるが、この設定にしないといけないという決まりはなく組織に応じた設定でよい
- 筆者の運用ケースにおける記載は以下のとおり。アラート生成にしておくと管理者への通知が可能であり、一定期間ではあるものの履歴に残るので便利ではある
- 設定後に「次へ」をクリック
- 「組織の範囲」は設定はできずデフォルト設定(組織内のすべてのデバイス)となる
- グループ設定等の範囲指定ができればよいと思うのだが、現状は不可である
- 範囲設定が必要な場合は別の手段を講じる必要がある
- 設定後、「次へ」をクリック
- 「サマリー」で内容を確認後、問題なければ「送信」をクリックして設定完了
⑤「エンドポイント」メニュー画面に戻って設定がされていることを確認しておくとよい
利用者がシグナルにアクセスを試みるとどのようになるのか
利用者のシグナルへのアクセスはブロックされる
さて、設定が完了したので、実際にシグナルへのアクセスが遮断されるか検証を行ってみる
①windows PCの場合
- アクセス遮断されると同時に「このコンテンツはIT管理者がブロックしています」が表示される
- これで利用者はシグナルへのアクセス遮断は管理者によるものと知ることができる
②mac PCの場合
- アクセス遮断される同時に「このコンテンツはIT管理者がブロックしています」が表示される
- これで利用者はシグナルへのアクセス遮断は管理者によるものと知ることができる
③iPhoneやAndroidの場合
- アクセス遮断される同時に「このWebサイトはお客様の組織のよってブロックされています」と表示される
- これで利用者はシグナルへのアクセス遮断は管理者によるものと知ることができる
- iPhoneやandroidの場合、シグナルのアプリをダウンロードすること自体は可能である
- しかし、利用しようとすると接続がブロックされる
- 同様に「このWebサイトはお客様の組織のよってブロックされています」と表示されるため、利用者は状況を理解することが可能である
管理者は利用者のシグナルへのアクセスをどのように知りえるのか
管理者は利用者のシグナルへのアクセスを検知できる
ただし、以下に記載するのはwindowsPCとmacPCの場合のみである。iPhoneやAndroidの場合はそれができない。なぜできないのか、仕様によるものなのかは未だ調査中である
①メール通知
- 予めMDEでアラート検知時のメール通知設定をしておくと以下のようなメールがくる
②MDEインシデント/アラート通知
- 利用者のシグナルへのアクセスは、MDEにインシデントとしてあがってくる
- より詳細の情報も知ることができる
- いつ
- どの利用者が
- どのデバイスが
- どこへアクセスしてブロックされたのか
おわりに
企業管理デバイスにおける利用者のシグナルへのアクセス遮断と検知について紹介したが、いかがだったろうか
筆者自身このような設定検証についての紹介をするのは初めてであり、難解な点や不手際についてはどうかお許しいただきたい。また記載の間違いや内容についての質問あれば当サイトの問い合わせから連絡いただけると有難い
今ケースでは「シグナル」を悪者扱い(冒頭に記載したように使う側が悪なら悪となる)にしてしまったが、こういった手法を援用することで、シャドーIT防止を目的とした他のアプリやサイトアクセスの遮断や注意喚起をするのもよいかもしれない
コメント