EPISODE 02

リモートワーク基盤構築の記録

Fire HD 10のセキュリティ対策を考える

すっかり気に入っているAmazon Fire HD 10だけど、仕事にも使おうとするとやっぱり気になるのがセキュリティ対策。端末の設定でストレージを暗号化したりパスワードを設定したりするのは当然として、万が一の盗難や紛失時のことも考慮して、リモートでのWipe(初期化)と簡単なデバイス管理のポリシーくらいはできるようにしておきたい。

本当はMDMなどのツールを使った方がベストなのだろうけど、Fire HDに対応したMDMは限られるしアプリの配信や位置情報の取得などを使う想定もないので、今回はAmazon WorkMailのモバイルデバイス管理機能を使ってみることにした。とはいっても、いわゆるExchangeでサポートされているデバイスの管理機能を使うだけ。

WorkMailを利用している前提であれば、設定方法は非常に簡単。おそらくExchangeサーバや法人用のOffice365を使っていれば同じことができるはず。

設定を行うにはAWSのマネージメントコンソールのWorkMailからポリシーを設定する。

設定できるポリシーは以下のとおりで、一般的なMDMと比べると制限できるポリシーは少ない。

・デバイスストレージの暗号化を強制する

・ SDカードの暗号化を強制する

・パスワードの設定を強制する

・簡単なパスワードを許可する

・パスワードの最小桁数

・パスワードに数字以外の文字列を強制する

・誤ったパスワードを許可する回数

・パスワードの有効期限

・スクリーンロックまでの時間

・パスワードの履歴を許可する回数

適当に任意のポリシーを編集して保存すればOK

次にFIre HD 10のメールアプリからWorkMailの設定情報を入力すると上記で設定したポリシーがデバイスに適用される。

適用した時点でデバイスのポリシーが満たされていないときは、手動でポリシーを満たしたパラメータを入力する必要がある。(パスワードポリシーを6桁以上に強制しているのに4桁しか設定していない場合など)

端末をワイプするときには、AWSのマネージメントコンソールからWorkMailのモバイルタブからワイプするデバイスを選択し、Wipe Deviceアイコンをクリックする。

警告ダイアログが表示されたら「Wipe」をクリックする。

Fire HD 10はLTE接続でインターネットに常時接続されている訳ではないので、ワイプが実行されるのは次回インターネットに接続されWorkMailと同期された時点。

この辺はスマートフォンやiPadのLTEモデルなどと違ってセキュリティ的には弱くなるのは課題。ただ悪意のある他人に触られても、デバイスのストレージは暗号化されているし、パスワード入力を突破されたとしても、インターネットに接続されればワイプがかかり、ストレージは初期化されるので、何も対策しないよりは安心して利用できる。

仕事も遊びもAmazon中心で完全にベンダーロックインされてしまうような気がするけど、コストも運用も楽になればそれはそれで快適なのかもしれない。