MDM と OSS：多種多様なプラットフォームとデバイスのための osquery とは？

How open-source MDM solutions simplify cross-platform device management

2024/11/01 HelpNetSecurity — 先日に Help Net Security が公開した、Fleet の CEO である Mike McNeil へのインタビューは、管理されていないモバイル・デバイスがもたらすセキュリティ・リスクについて警告するものだ。それに加えて、モバイル・デバイス管理 (MDM：Mobile Device Management) ソリューションにより、それらのリスクに対処する方法も述べている。さらに、彼が語っているのは、MDM に対する従業員の抵抗感／オープンソースの透明性が信頼を構築する方法／遠隔地のデバイス管理に関する洞察／MDM テクノロジーの今後の展望などである。

管理されていないモバイル・デバイスの、最大の脅威とは？ それらのリスクを MDM が軽減する方法は？

管理されていないデバイスから、そして、完全に管理されたワークステーションから、同じデータにアクセスするケースが多々ある。たとえば、電子メールや、Slack のようなコミュニケーション・プラットフォーム、そして CRM の顧客情報などのケースが挙げられる。MDM は保証するのは、それらのデバイスが、組織のセキュリティ基準を満たすように設定されていることである。さらに、管理者を支援することで、疑念や悪意への対応を、適切に実施できるようにしている。

管理されていないモバイル・デバイスにより、機密情報への不正アクセスやデータ漏洩といった、重大な脅威をもたらされる。したがって、MDM ソリューションを介してセキュリティ・ポリシーを徹底し、デバイスのセキュリティ準拠を保証することで、それらのリスクを軽減していくことになる。オープンソースとして提供される、複数のクロス・プラットフォーム MDM があるが、それらは包括的なアプローチを提供し、管理を簡素化し、潜在的な侵害から企業データを保護するように設計されている。

MDM に抵抗する従業員たちの理由とは？ それらの課題を克服する方法は？

一部の従業員は、自身が使用するコンピュータにインストールされた、何かに対して不安を感じるだろう。彼らは、IT 部門に監視されていると疑い、秘密裏に行われる “修正” がコンピュータを遅くしていると疑う。

つまり、従業員のプライバシーと企業のデータを保護するために必要とされる境界線を、MDM が超えてしまうところに最大の抵抗感があり、また、煩わしく感じられてしまうのだ。それらの課題を認識している Apple と Google は、個人のプライバシー保護と企業によるデータ管理を両立させる管理フレームワークを、最近になって MDM プロバイダーに提供し始めている。

Fleet はオープンソースであり、すべての企業のすべての従業員が、自分のマシン上で実行されているソースコードを、デバイス登録ソフトウェアに至るまで確認できるようにしている。その一方で、Signal Messenger を使用するジャーナリストたちのような、ソースコードを実際に確認することのない人々であっても、Fleet に機密性の高い作業を任せられる。

こうした透明性により、責任のなすりつけ合いが減り、新たな信頼関係が生まれる。

Facebook 共同創業者である Zach が、同社のセキュリティ・チームを管理していたとき、彼が探し出そうとしていたのは、社内の PC やサーバからセキュリティ関連の情報を簡単に引き出すための方法だった。いまから 10年前の、osquery が開発される以前には、収集したいデータに応じて、異なるプログラミング言語を使用する必要があり、対象となるプラットフォームに応じて、つまり Linux／macOS／Windows ごとに、データ収集の方式に多少の違いがあった。そのため、データ収集用のカスタム・スクリプトを書き、そのメンテナンスも必要となっていた。

言うまでもなく、そこに費やされる労力は膨大なものとなる。そのため、それぞれの企業におけるエンジニアたちは、データ収集スクリプトを交換し合うようになった。やがて、それらのスクリプトは、Fleet のデバイス登録ソフトウェアである osquery となった。

オープンソース・ソフトウェアとしてリリースされた osquery は、何百万ものデバイスに展開され、大小様々な企業で広く使用されている。たとえば、Crowdstrike などの著名なセキュリティ・ソフトウェアのソースコードにも、osquery は組み込まれている。

各種の OS や IoT といった多様性の問題に、MDM ソリューションが対応する方式は？

ほとんどの MDM ソリューションは、特定のハードウェア／ソフトウェアのプラットフォーム管理を目的として設計されているため、デバイスの多様性という課題に効果的に対応できない。したがって、デバイス・エコシステム全体をカバーする企業には、複数のソリューションを併用せざるを得ないという課題が生じる。

その一方で、オープンソースの MDM ソリューションでは、各種の OS／Device タイプに適応できる、柔軟なモジュール式アーキテクチャが提供される。つまり、オープン・スタンダードと拡張可能な API により、モバイル／サーバ／IoT エンドポイントなどをカバーする、クロス・プラットフォームでの互換性が確保される。統一された管理インターフェースにより、プラットフォームの複雑性が抽象化され、多様なデバイスをカバーする一貫した管理が提供される。そして、デバイスのサポート範囲は、オープンソース・コミュニティとの連携により拡大していく。これらのアプローチが、へトロジニアスな環境における IT チームの管理を簡素化し、特化せざるを得ないソリューションの必要性を減らす。

リモート・デバイスを管理するために、どのような戦略を立てるべきだろうか？

効果的な MDM 戦略を採用する企業が、最初に把握する必要があるのは、自社のデバイスの全体像である。脆弱性管理／パッチの展開／ゼロトラスト・ネットワーク・アクセスなどの、主要なセキュリティ対策をサポートするためには、ほぼリアルタイムで更新されるインベントリを維持することが重要である。

効果的な MDM ソリューションでは、低帯域幅環境用の軽量エージェントの作成と、多様なエコシステムに対応するプラットフォーム非依存のポリシーの実装により、遠隔地でのデバイス管理が強化される。 カスタム・スクリプトやモジュール・コンポーネントを使用する企業は、それぞれの特業務上の要求に合わせて管理ワークフローをカスタマイズし、多様な環境をカバーするシームレスな統合を確保できる。

このアプローチにより、各種のネットワーク条件に対応する一貫した管理が達成され、多様なデバイスの管理が簡素化され、センタライズされるリソースへの負担を最小限に抑えながら、重要なアップデートを迅速に展開できる。

今後の数年間における MDM の機能の大幅な強化は？ 新技術やプロトコルはあるか？

MDM は、すべてのソリューション・プロバイダーが利用できるフレームワークである。このフレームワークに追加される新しい機能は、すべてのプロバイダーにおける統合が可能なものであるため、MDM のコア機能をベースにした公平な競争条件が確保される。最も興味深いのは、基本機能を超えるレベルで、深化したデバイスの洞察や、強化された機能、管理を簡素化するツールなどを提供するソリューションである。最先端のソリューションは、さらに一歩進み、自動化と GitOps により、企業における効率的な規模の拡大を可能にする。

いくつかの最先端の企業が、MDM 機能の大幅な強化を約束している。また、AI と ML が予測することで、メンテナンスと最適化も改善される。つまり、相互運用性とセキュリティを拡張するためには、これまで以上にオープン・スタンダードが重要になる。こうしたスタンダードとして挙げられるものには、パスワードレス認証のための FIDO2／ユーザー・プロビジョニングの自動化のための SCIM／安全な API アクセス用の OAuth 2.0／ID レイヤーとしての OpenID Connect などがある。

osquery のようなオープンソース・ツールは、複雑な管理タスクを簡素化し、サービス・プロバイダーが残したギャップを埋めるのに役立っている。これらの進歩が、MDM ソリューションに統合されると、基本的なデバイス管理を超えるレベルでの機能拡張の可能性が生じ、洞察力が深化するだけではなく、優れたユーザー・エクスペリエンスや、アジャイルな管理なども実現していくだろう。

Apple は ACME (Automatic Certificate Management Environment) プロトコルも支持しており、Smallstep や Fleet などの企業は、それを実現するために機能を統合している。

訳していて、とても面白く、また、勉強になる記事でした。そして思い出したのは、2024/10/25 の「GRC ツールの価格設定は不明瞭？ ４つのカテゴリーへの理解が重要 – Gartner」という記事です。この記事には、Disruptor GRC ベンダーを説明する項目があり、なるほどと思ったのですが、それと同じことが MDM にも起こり始めている感じがします。ひょっとすると、セキュリティ・ツール全般における、大きな流れなのかもしれません。よろしければ、MDM で検索も、ご参照ください。