AirWatch MEM 機能について

免責事項• 本資料に記載された内容は情報の提供のみを⽬的としたもので、

正式なVMwareのテストやレビューを受けておりません。内容についてできる限り正確を期すよう努めてはおりますが、いかなる明⽰または暗黙の保証も責任も負いかねます。本資料の情報は、使⽤先の責任において使⽤されるべきものであることを、あらかじめご了承ください。

• この⽂書に記載された製品の仕様ならびに動作に関しては、各社ともにこれらを予告なく改変する場合があります。他のメディア等に無断で転載する事はご遠慮ください。

• 本資料の著作権はヴイエムウェア株式会社 にあります。⾮営利⽬的の個⼈利⽤の場合において、⾃由に使⽤してもかまいませんが、営利⽬的の使⽤は禁⽌させていただきます。

• なお、本⽂中にある製品名は各社の商標または登録商標です。

2

改訂履歴

3

⽇付 バージョン 変更点 担当者2016/6/21 1.0 初版作成 佐川2016/9/9 1.1 細部の修正 佐川2017/3/28 1.2 免責事項の追加

細部の修正佐川

MEM(Mobile Eメール Management)とは

Eメールアプリの種類と設定の配布

Eメールアプリのセキュリティ

Eメールのアクセスコントロール

Eメールアプリの種類と設定の配布

メールクライアントの種類

ネイティブ Eメールクライアント• OS標準搭載のメールクライアント• 直感的なネイティブユーザエクスペリエンス• コアのセキュリティと DLP 機能• 追加コストなし、サードパーティ製アプリ不要

AirWatch Inbox• AirWatch提供のメールクライアント• ActiveSyncプロトコルに対応• iOS 7.0+、Android 4.0+、Win 8.1/RT+• メール本文のコピーアンドペーストをはじめとしたアプリレベルでのDLP機能

• コンテナ化したアプリが企業メールを隔離• 直感的なネイティブ同様のエクスペリエンス

VMware Boxer• AirWatch Inbox の後継• ActiveSyncプロトコルに対応• ACE対応アプリ• 直感的なネイティブ同様のエクスペリエンス• メール本文のコピーアンドペーストをはじめとしたアプリレベルでのDLP機能

Eメール設定の配布プロファイル

ExchangeActiveSyncペイロードプロファイル

Eメールペイロード

Eメール設定の配布 – VMware BoxerAppConfig対応アプリの VMware Boxerは[Eメール設定]より設定を⾏うEメールの設定はプロファイルは使⽤しない

Eメールアプリのセキュリティ

VMware Boxer セキュリティ機能個⼈アカウント

ユーザーによる個⼈アカウントの追加の制御

コピー/貼り付け本⽂のコピー/ペーストの制御

ハイパーリンクメール本⽂のすべてのハイパーリンクを

AirWatchブラウザで開くように制限 共有メールの添付ファイルの扱いの制御

プレビューのみ：他のアプリではオープンできないホワイトリスト：指定したアプリのみオープンできる

制限なし：すべてのアプリでオープンできる

VMware Boxer セキュリティ機能- ハイパーリンク

メール本⽂のURLはAirWatch Browserで開くことを強制する

AirWatch Browserがインストールされていない場合はインストールを求める

VMware Boxer セキュリティ機能- コピー/ペースト

コピー/貼り付けを禁⽌している時にその操作を⾏うと禁⽌されている旨のメッセージが表⽰される

アカウントの追加をしようとすると、管理者により禁⽌されている旨のメッセージが表⽰される

AirWatch ユースケース(MAM,MEM) – セキュリティと利便性を実現するメールアプリの社内導⼊

課題：セキュリティと利便性を両⽴できるメールアプリが必要・ネイティブメールではセキュリティが不安・セキュリティ重視では操作性に懸念・両⽴できるアプリを探している

解決策：VMwareBoxerの利⽤・メール本⽂のコピー/貼り付けを禁⽌・ネイティブメール相当の操作性・添付ファイルのオープンイン先の限定利便性と操作性の両⽴を実現

AirWatch を選択した理由：

VMware Boxerで安全にメールを利⽤

添付ファイルをタップするとContent Lockerのみで開くことができる

URL をタップすると必ずAirWatch Browserが開く

アプリレベルでDLP制御ができないものへは業務データを渡さない

・アプリ間の密接な連携・操作性に優れたアプリ・業務に必要なセキュアなアプリが豊富・アプリごとにきめ細かなDLP機能の制御が可能

利便性と操作性がともに向上

Eメールのアクセスコントロール

Eメールのアクセスコントロール• AirWatch では VMware Boxer, Inboxといったアプリ単位で DLP 機能を実装• さらに⼀歩踏み込んだ制御でセキュリティを確保するために必要なのがアクセスコントロール– 例）会社⽀給のデバイスからのみ Eメールの利⽤を許可する– ネイティブメールからのメール受信を禁⽌する– 侵害状態のデバイスからのメール受信を禁⽌する

MDM,MAMでもある程度のセキュリティは確保できるがもう⼀箇所チェックポイントを設けることで

さらに⼀歩踏み込んだセキュリティを確保できる

AirWatch ではその踏み込んだセキュリティ対策実現のために⼆つの⼿法を⽤意している

EメールのアクセスコントロールSEG

(Secure Email Gateway)プロキシモデル

直接統合

AirWatchで設定した制御をメールサーバーへ送り設定

デバイスの状態をSEGでチェック

デバイスの状態チェックをメールサーバーで実施

メールサーバーの種類と管理機能

主な機能

プロキシ PowerShell Google

Microsoft Exchange

2003/2007/2010/2013

IBM Domino、Lotus Notes 併

用

Novell GroupWise (EAS 使用)

Exchange 2010/2013

Office 365

Google Apps for

Work

SSL セキュリティを強制 ✓ ✓ ✓ ✓ ✓ ✓

ワイヤレスでの Eメール構成* ✓ ✓ ✓ ✓ ✓ ✓

管理外デバイスによる Eメールアクセスをブロック ✓ ✓ ✓ ✓ ✓ ✓

既存の管理外デバイスを検出 ✓ ✓ ✓ ✓ ✓ 該当なし

カスタマイズできる Eメールアクセス順守ポリシ ✓ ✓ ✓ ✓ ✓ ✓

証明書統合と失効 ✓ ☐ ☐ ✓ 該当なし

該当なし

順守ポリシー

⾏える制御はEメール/順守ポリシーで⽤意されている

画⾯右は PowerShell統合の場合の順守ポリシー画⾯

これは「管理デバイスの順守」を有効化する場合の例

SEG連携とPowerShell連携との順守ポリシーの差異

PowerShell連携で実現

SEG連携で実現

AirWatch ユースケース(MEM) –O365の利⽤とEメールのセキュリティの両⽴

課題：O365のメールを使⽤したいが個⼈所有のデバイスからは利⽤させたくない・どのデバイスからでもメールが受信できてしまう・ネイティブメールの利⽤は禁⽌したい・追加コスト無しでセキュリティを向上したい・オンプレのサーバーの運⽤はしたくない

解決策：AirWatchとO365の連携で実現・AirWatchとO365とPowerShell連携・オンプレミスにサーバー不要・アクセスコントロールポリシーの設定が可能クラウド完結で、メールの利⽤とデバイス、アプリに基づいたアクセスコントロールを実現

AirWatch を選択した理由：

AirWatchで順守ポリシーを設定すると、必要な設定がO365へPowerShellで送られる

• ネイティブメール禁⽌• VMwareBoxerは許可• 会社⽀給のデバイスの

み許可VMware Boxerはメールが受信できる

ネイティブメールはメール受信できない

会社⽀給デバイス

個⼈所有デバイス

個⼈所有デバイスはそもそも禁⽌

・追加サーバ不要でセキュリティを確保できる構成のサポート・様々な順守ポリシーの提供・SaaSアーキテクチャのため導⼊が容易

オンプレへのサーバー投資なしでよりセキュアなメール環境を実現