Samsung KNOXとは

BYOD分野をターゲットにしたSamsungのセキュリティソリューション「KNOX」。そのユーザーと企業の両方を保護するための機能について。

KNOX-featured

携帯電話とデバイス技術に関連した製品の製造企業であるSamsungは、安全なAndroid環境を実現するためのソリューション、KNOXを開発しました。KNOXが目的とするのは、ITチームがBYOD(私物デバイスの持ち込み)の時代に対応する中で直面するセキュリティ上の数々の課題を解決することです。近年では、従業員や経営幹部までが、企業ネットワーク上での個人デバイスの使用を許可しろと求めているのです。

KNOXは、ハードウェアからアプリレベル、Androidのフレームワーク自体まですべてを強固にする、包括的なセキュリティソリューションだとうたわれています。ただ、KNOXの最も洗練された(そしておそらく最も需要のある)機能は、個人用と業務用でハードディスクを区切る手法でしょう。

次に来るのは通常のオペレーティングシステム内に存在する安全なAndroid環境、KNOXのコンテナー機能です。この保護されたサブのオペレーティングシステムには、独自のホーム画面、ランチャー、アプリケーション、ウィジェットが備わっています。データとアプリケーションはすべてコンテナー内に保存され、オペレーティングシステムの残りの部分からは完全に切り離されています。コンテナー内のどのアプリケーションやプロセスも、外部のプロセスとは通信できず、その逆も同様です。別の言い方をすれば、そこには通常のAndroid環境と保護された環境があり、ユーザーがコンテナー内のアプリケーションでコンテナー外のデータに対する読み取り専用アクセスを許可する特定の場合(外部の連絡先をコンテナー内から照会可能に設定するなど)を除き、その2つの環境が通信することはありません。

さらに、コンテナー内のファイルは256ビット鍵長のAES暗号化アルゴリズムを使用して暗号化されます。また、デバイスの仮想プライベートネットワークをアプリごとに設定、管理することもできます。

Samsungはまた、カスタマイズ可能なセキュアブート、TrustZoneベースのIntegrity Measurement Architecture(TIMA)、Security Enhancements for Androidという3つの新しい機能によって、Androidプラットフォームのセキュリティが大幅に向上するとしています。Samsungによれば、セキュアブートがKNOX対応デバイスの最初の防衛線となります。この機能は、署名付きの許可されたソフトウェアだけをデバイス上で実行できるようにするものです。TIMAはカーネルを監視します。簡単に言えば、このカーネルはほとんどすべてのオペレーティングシステムに欠かせないもので、デバイスのさまざまなパーツ間、またはデバイス上で動作するソフトウェアとの通信や処理をサポートします。TIMAはカーネルを監視して、すべてが正常に動作しているかを確認し、セキュリティ侵害があったり整合性に何らかの形で違反が認められたりした場合には、デバイスの電源を切ります。Security Enhancements for Androidは、特定のデータやアプリを隔離した領域に格納するもので、攻撃やセキュリティ侵害を受けた場合でも、その影響を最小限に抑えて、問題が隔離された部分への影響だけに留めます。

これらに加え、マルウェアなどによる外部からの侵入を懸念することなく従業員の個人用Androidデバイスを企業ネットワーク上に展開することを支援する、ITチーム向けに設計されたセキュリティ管理機能も、KNOXには搭載されています。

基本的に、Androidデバイス上でKNOXを実行することで、ユーザーや企業をデータ漏えいから保護できるでしょう。データ漏えいは多くの場合、安全な(つまり企業の)ネットワークからそれほど安全ではない(つまり個人の)ネットワークに重要な情報を転送するときに発生します。重要なのは、ユーザーが使い慣れたモバイルデバイスを業務で使用できるようにしながら、企業を外部の脅威から守るということです。KNOXは、必ずしも悪意のあるアプリケーションのダウンロードやマルウェアへの感染からユーザーを保護するものではありません。そのため、専用のモバイルセキュリティ製品は引き続き必要となるでしょう。

新しいものは何でもそうですが、Samsung KNOXがどれほど効果的かを判断するにはしばらく様子を見る必要があります。KNOXは書面上では間違いなくすばらしいとはいえ、登場から1年もたっていません。KNOXはここ6か月ほど、企業ユーザー向けにある程度限定的に提供されていましたが、9月になって、より幅広いユーザーが利用可能になりました。KNOXは、特に法人顧客だけを対象としている点でほかのBYODソリューションとは大きく異なります。実際に使う機会があったら、ぜひ感想をお聞かせください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?