Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
LifeTouch L (2014/1発表)
セキュリティ機能設定ガイド
2015年 4月
Page 2 © NEC Corporation 2014- 2015
▌ LifeTouch Lで対応しているセキュリティ機能一覧 3▌ セキュリティ機能詳細 9
「設定」画面 10 「ポリシー設定」画面 11エンドポイントセキュリティ セキュリティポリシー設定アプリ 12 パスワードポリシー設定 13 ローカルワイプ 15 SDカード暗号化 17 SDカード暗号鍵のインポート/エクスポート機能 23 アプリインストール制御 27 アプリアンインストール制御 30 利用可能デバイス制限 35 アプリケーション実行制御 36 操作ログ管理機能 37 ネットワーク利用制御 40 DHCPv6機能搭載/MDL version設定機能 46ネットワーク保全 無線LAN暗号化 46 IEEE802.1x(RADIUS認証) 48 VPN (Virtual Private Network) 50 プロキシ設定 52
目 次
Page 3 © NEC Corporation 2014- 2015
①エンドポイントセキュリティ
LifeTouch Lでは、以下のセキュリティに対応しています。① エンドポイントセキュリティ :端末紛失による情報漏えい防止、不正利用防止② ネットワーク保全 :安全にネットワークへ接続③ マルチユーザー管理 :複数ユーザーが端末を安全に共有するための管理
不正利用防止• セキュリティ管理者設定• 利用可能デバイスアプリ制限
無線の安全接続• 無線LAN暗号化
社外からの安全接続• VPN対応
不正アクセスの防止• IEEE802.1x• プロキシ設定• ネットワーク利用制限
(IPアドレスフィルタ)
②ネットワーク保全
LifeTouch Lで対応しているセキュリティ機能
不正アプリ対策• アプリインストール制御• 利用可能アプリ制限
紛失対策
• ユーザー管理• アプリ起動制限• オートログイン機能
③マルチユーザー管理
耐タンパ対策• Flash ディスク暗号化• microSDカード暗号化
Page 4 © NEC Corporation 2014- 2015
①エンドポイントセキュリティ (1/3)
項目 概要
共通 ポリシー設定専用アプリ搭載セキュリティーポリシー設定を行うための専用アプリをプリイン。本アプリを利用して各種セキュリティー設定内容の参照、設定が可能。設定はセキュリティー管理者権限にて保護。
紛失対策 パスワードポリシー設定 スクリーンロック解除用パスワードの設定を促すことや、桁数、文字数、英数混在、有効期限などパスワードのルールを設定することで、安易なパスワード利用を防止。
ローカルワイプ あらかじめ設定された回数を超えてパスワード入力を失敗した場合、内蔵データとmicroSDカード領域のデータを消去。端末データの流出を防止。
SDカード暗号化 microSDカードのデータを暗号化し、microSDカードからのデータ流出を防止。
SDカード暗号鍵のインポート/エクスポート機能
SDカード暗号鍵のインポート(バックアップ)/エクスポート(リストア)機能。
不正アプリ対策 アプリインストール制御 端末へのアプリのインストールを制限可能。業務に関係ない目的での端末の利用を防止。全禁止、提供元不明アプリ、要求するパーミッション指定による禁止。
アプリアンインストール制御 ウィルス対策アプリなど、アンインストールを抑制したいアプリのアンインストールを防止。全禁止、特定アプリの禁止。
不正利用防止 システムアップデート制御 メジャーアップデートなど基本ソフトのアップデートを不可とする。
セキュリティ管理者権限 セキュリティ設定を管理者のパスワードで保護することで、利用者による不正な設定変更を防止。
Page 5 © NEC Corporation 2014- 2015
項目 概要
不正利用防止 利用可能デバイス制限 会社が利用禁止している機能を制限し、利用者の不正利用を防止。(カメラ、Wi-Fi、Bluetooth®、USBデバッグ、USBデータ転送(MTP/PTP/USB-MSC)、スクリーンショット、外部SD)。
アプリケーション実行制御 搭載アプリの実行を制限することで利用不可とする。
操作ログ管理機能 端末の利用ログを収集することで、利用者端末の不正利用調査や、障害発生時の原因調査に利用可能。取得ログ(ロック解除履歴, microSDカード接続履歴,起動履歴,インストール履歴、日付と時刻変更、Webアクセスログ、USB接続履歴、Bluetooth®接続履歴)。
初期化禁止機能 端末初期化を禁止し、意図しないアプリ、データ消去を防止。
リカバリーモード利用防止 リカバリーモードへの移行を防止しています。(ユーザ非公開のパスワードにより防止)
①エンドポイントセキュリティ (2/3)
Page 6 © NEC Corporation 2014- 2015
項目 概要
不正サイトアクセスの防止
ネットワーク利用制御(パーソナルファイヤーウォール)
利用者が認めていないネットワーク通信や意図しないネットワークからのアクセスを防止。許可リストまたは禁止リストによる設定が可能(IPアドレス、サービス、ICMP、アプリケーション)。設定のインポート/エクスポートが可能。
社外からの安全接続
VPN対応(Virtual Private Network)
社外からインターネット経由で、社内ネットワークに安全に接続。Android™標準のVPN機能に対応。
リモート制御 DM-Lite連携 独自拡張機能の設定を可能とするAPIの追加。
①エンドポイントセキュリティ (3/3)
Page 7 © NEC Corporation 2014- 2015
②ネットワーク保全
項目 概要
無線の安全接続
無線LAN暗号化→暗号化設定された無線アクセスポイントとの接続
・WEP・WPA (TKIP/AES) / WPA2 PSK (AES)
IEEE802.1x (RADIUS認証)→無線LANを使い、安全に社内イントラネットに接続するためのID/Password認証や、証明書に対応。
サーバから、登録された端末か確認ができる。
不正接続の防止
プロキシ設定→ 無線LANネットワークごとに設定可能。プロキシ設定はブラウザのみで使用可能。
社外からの安全接続
VPN対応(Virtual Private Network)→社外からインターネットを経由し、社内のゲートウェイへ接続し、機器認証した後、社内LANへ接続する。
・PPTP・L2TP/IPSec PSK・L2TP/IPSec RSA・IPSec Xauth PSK・IPSec Xauth RSA・IPSec Hybrid RSA
※上記機能は、ネットワーク内部のサーバまたは、他のシステムとの連携により実現する機能となります。端末単独で動作するものではありません。
Page 8 © NEC Corporation 2014- 2015
③マルチユーザー管理
概要
マルチユーザー管理
ユーザー管理→ユーザを登録し、ログイン認証を行う。
ユーザID+ユーザパスワードでの認証が可能。
Page 9 © NEC Corporation 2014- 2015
セキュリティ機能 詳細
ここでは、LifeTouch L に搭載されているセキュリティ機能の詳細と設定方法を説明しています。
※ ガイド内で使用されている画面について、ファームウェアのバージョン、モデル、設定内容によって、画面の内容が異なる場合があります。
Page 10 © NEC Corporation 2014- 2015
以降のページでは、各機能の設定手順を「設定」画面、又は、「ポリシー設定」画面から説明しています。
ホームから、各設定画面までの操作手順は以下の通りとなります。
■「設定」画面の表示手順
各機能の設定前に ①「設定」画面
「設定」を選択ランチャーを選択「設定」画面
Page 11 © NEC Corporation 2014- 2015
■[ポリシー設定]画面の表示手順
ポリシー設定を行なう場合は、以下の手順で管理者モードをONにする必要が
あります。
各機能の設定前に ②「ポリシー設定」画面
ランチャーを選択 「ポリシー設定」 を選択
「ポリシー設定」 使用可能
ダイアログで「有効にする」を選択
「管理者モード」 をONにする
「管理者パスワード」 を入力し「OK」をタップする
Page 12 © NEC Corporation 2014- 2015
▌ 端末のセキュリティー設定向けの専用アプリケーションを用意しました。
▌ ポリシーの変更ができる特権ユーザとして、セキュリティー管理者権限の設定が可能です。
▌ ポリシー設定は管理者のパスワードで保護することで、利用者による不正な設定変更を防止しています。
セキュリティポリシー設定アプリ
エンドポイントセキュリティ
機能項目 機能概要
① インストール アプリの追加インストール/搭載アプリのアンインストール制限の設定
② システムアップデート システムアップデート制限の設定
③ パスワード パスワードの強制や、桁数、文字数、英数混在、有効期限などのパスワードに関するポリシーの設定
④ デバイス、アプリ 端末のデバイス、および搭載アプリケーションの実行制限の設定
⑤ ログ 端末の各種操作ログの収集設定
⑥ ネットワーク IPフィルター設定などパーソナルファイヤーウォール機能の設定
⑦ 暗号化 タブレットの暗号化、microSDカードの暗号化設定、および暗号鍵のバックアップ
⑧ 初期化 データ/設定の初期化を一般ユーザに許可するか否かの設定
⑨ 管理者モード 管理者モードのON/OFF切換え
Page 13 © NEC Corporation 2014- 2015
▌ パスワードによるスクリーンロックで、第三者による利用を防止します。
▌ スクリーンロック時のパスワードの設定を促すことや、桁数、文字数、英数混在、有効期限などのパスワードのルールを管理者が設定することで、安易なパスワードの利用を防ぐことができます。
▌ 管理者設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
(スクリーンロック時のパスワードを設定すると、利用者はスクリーンロック時の解除方法を「パスワードなし」に勝手に変更することはできません。)
パスワードポリシー設定 概要
エンドポイントセキュリティ
Page 14 © NEC Corporation 2014- 2015
設定項目 設定値
① パスワードの設定 必要/不要
② パスワードに英数字を含める 必要/不要
③ パスワードに含める複合文字の最小桁数を指定(#$%&・・・の最小数)
制限無し/1/2/3/4(文字)
④ パスワードの許容失敗回数を指定→失敗回数を超えた場合には端末内データ消去(ローカルワイプ)
5/7/10(回)/制限なし
⑤ パスワードの最小桁数を指定 4/6/8/10/16(文字以上)
⑥ スクリーンロックまでのアイドル時間(分)を指定 2/5/10/15(分)/制限なし
⑦ パスワードの有効期限(日)を指定 15/30/60/120(日)/制限なし
⑧ 過去に使用したパスワードの再利用を許さない履歴数 制限なし/1/3/5(個)
パスワードポリシー設定 項目
エンドポイントセキュリティ
Page 15 © NEC Corporation 2014- 2015
▌ あらかじめ設定された回数を超えてパスワード入力を失敗した場合、内蔵データとmicroSDカード領域のデータを自動で消去し、端末データの流出を防ぎます。
▌ 失敗回数は、パスワードポリシー設定により【5回、7回、10回】、なし(ローカルワイプしない)から選択できます。
▌ 設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
パスワード入力
パスワード入力
パスワード入力
パスワード入力
不一致
不一致
不一致
不一致 ・・・・・・・
誤り許容回数は、設定により可変(5回、7回、10回)。なし(ローカルワイプしない)も可能
ワイプ実行データ消去
ローカルワイプ 概要
エンドポイントセキュリティ
Page 16 © NEC Corporation 2014- 2015
▌ 例・パスワードを10回間違えたら、ローカルワイプを実行する。
・パスワードは8文字以上で英数字を含まないパスワードは認めないものとする。
▌ 設定手順
[管理者モード] をONにする
・[パスワード] をONにする・[英数字または英字記号] をONにする
[パスワード] をタップする
[許可される失敗の数] をタップし、[10回] を選択する
[パスワード最少の長さ] をタップし、[8] を選択する
パスワードポリシー/ローカルワイプ 設定例
エンドポイントセキュリティ
Page 17 © NEC Corporation 2014- 2015
▌ microSDカードのデータを暗号化することで、microSDカードからのデータ流出を防ぎます。
▌ SDカード暗号化機能は、microSDカードの全体を対象として、microSDカード内のデータを暗号化する機能です。
▌ microSDカードへの書き込み・読み込み時にデータの暗号化および復号化が自動的に行われるため、暗号化システムの利用を意識することがなく、ユーザの操作には影響を与えません。
▌ 暗号化されたmicroSDカードは、他の端末からは参照できません。他のLifeTouch L端末で使用したい場合は、「SDカード暗号鍵のインポート/エクスポート」機能を使います。
SDカード暗号化 概要(1)
エンドポイントセキュリティ
Page 18 © NEC Corporation 2014- 2015
i
暗号/
復号
アプリ(ブラウザ)
アプリ
システム
暗号化したファイルは他の機器では読めない
PCで書き込んだ平文のmicroSDカードの読み込みも不可
• microSDカードへの書込は、暗号化を行う。
• 自分の暗号化したmicroSDカード内のファイルのみ読み取り可能
PC
PC
通常のLifeTouch L
• USB経由では、ストレージデバイスとして認識• microSDカード内のデータのやり取りが可能
※ファイルシステムよりも下のシステムで暗号化を行うため、プラットフォームやアプリに変更無く利用可能
USBデバッグが有効になっていると、データ抽出ができてしまいますので、利用可能デバイス・アプリ制限にて、「USBデバッグ」を禁止することを推奨します。
注意microSDカード
Dカード暗号鍵をンポートしたLifeTouch L
「SDカード暗号鍵のエクスポート/インポート」機能により、複数の端末で、暗号化されたmicroSDカードの使用が可能となる
別のmicroSDカードで、SDカード暗号鍵をインポートする
SDカード暗号化 概要(2)
エンドポイントセキュリティ
Page 19 © NEC Corporation 2014- 2015
PC L Touch L
• バックアップは、PCとLifeTouch LをUSB接続して実施。
セキュリティ確保のため、microSDカード暗号化した後、下記の場合にデータを読み出せなくなります。
• 「データの初期化」 をした場合• SDカード暗号化機能を解除した場合• 故障した場合 (本体データ保存領域に関わる場合)※メインボード交換、装置交換を含む
★端末を紛失時、第三者が本体のリセットや、暗号化機能を解除した装置により、暗号化したmicroSDカードのデータを扱えることを防止するためです。
microSDカード内のデータの定期的なバックアップをお願いします。
SDカード暗号化(補足情報)
エンドポイントセキュリティ
Page 20 © NEC Corporation 2014- 2015
「暗号化モード」を選択する
▌ 管理者が暗号化モードで使うことを強制する場合
①セキュリティポリシー設定アプリを起動し、管理者モードをONにします
②「暗号化」 で 「暗号化モード」 を選択します。
⇒一般ユーザーは暗号化モードを解除できなくなります。
「SDカードの利用モード」を選択する
「暗号化」を選択する
[管理者モード] をONにする
microSDカードを外しておく
管理者モードで[暗号化モード]→[通常モード]の変更を行った場合は、「ユーザー設定」で選択されているモードが有効になります。必ず「ユーザー設定」の表示を確認してください。
注意
SDカード暗号化 設定手順(暗号化モード設定(1))エンドポイントセキュリティ
Page 21 © NEC Corporation 2014- 2015
▌ ユーザーが暗号化モードの要否を自由に選択したい場合
①セキュリティポリシー設定アプリを起動し、管理者モードをONにします
②「暗号化」 の 「管理者ポリシー設定」 で 「通常モード」を選択します。
⇒一般ユーザーは「ユーザー設定」のメニューで暗号化モードを選択できます。
「通常モード」を選択する
「管理者ポリシー設定」の「SDカードの利用モード」
を選択する
「暗号化」を選択する
[管理者モード] をONにする
microSDカードを外しておく
[管理者モード] をOFFにする
「ユーザー設定」の「SDカードの利用モード」
を選択する
使いたいモードをを選択する
SDカード暗号化 設定手順(暗号化モード設定(2) )エンドポイントセキュリティ
Page 22 © NEC Corporation 2014- 2015
▌ microSDカードを暗号化する
① セキュリティポリシー設定アプリを起動し、 「暗号化」 で 「暗号化モード」 に設定します
② 設定アプリを起動し、microSDカードを挿入してからフォーマットします
・設定アプリを起動する・microSDカードを挿入する
「ユーザー設定」の「SDカードの利用モード」
を選択する
管理者が管理する場合
一般ユーザーが選ぶ場合
「暗号化モード」を選択する
「SDカード内のデータを消去」を選択する「ストレージ」
[管理者モード] をONにする
「管理者ポリシー設定」の「SDカードの利用モード」
を選択する
microSDカードが暗号化される
microSDカードを外しておく
SDカード暗号化 設定手順(暗号化)
エンドポイントセキュリティ
Page 23 © NEC Corporation 2014- 2015
▌ 端末内に格納されているSDカード暗号鍵を、microSDカードにエクスポートすることができます。エクスポートしたSDカード暗号鍵を他のLifeTouch L端末にインポートすることで、暗号化されたmicroSDカードを共有することができます。
▌ 本機能は、管理者パスワードで保護され、利用者は勝手に利用することはできません。
▌ microSDカードに保存する際、鍵の盗難、悪用を防ぐためパスワードで暗号化し、鍵を端末にインポート格納する際には、保存した際のパスワードを要求します。
SDカード暗号鍵のインポート/エクスポート機能 概要
エンドポイントセキュリティ
Page 24 © NEC Corporation 2014- 2015
▌ エクスポート手順
① セキュリティポリシー設定で、「SDカードの利用モード」を「通常モード」に設定します。
② 暗号化されていないmicroSDカードを端末に挿入し、マウントします。
③ 管理者モードをONにし、「SDカード暗号鍵のバックアップ」を選択し、パスワードを決定します。
⇒microSDカード内に鍵がバックアップされます。
「通常モード」を選択する
「SDカードの利用モード」を選択する
暗号化されていないmicroSDカードを端末へ挿入する
「暗号化」を選択する
[管理者モード] をONにする
microSDカードを外しておく
「SDカード暗号鍵のバックアップ」を選択する
鍵のインポート/エクスポート機能 設定手順(エクスポート(1))エンドポイントセキュリティ
Page 25 © NEC Corporation 2014- 2015
microSDカードに、暗号鍵が保存されるパスワードを入力しOK をタップする
鍵のインポート/エクスポート機能 設定手順(エクスポート(2))エンドポイントセキュリティ
Page 26 © NEC Corporation 2014- 2015
▌ インポート手順
① セキュリティポリシー設定アプリを起動し、「SDカードの利用モード」を「通常モード」に設定します。
② 暗号鍵の入ったmicroSDカードを端末に挿入し、マウントします。
③ 管理者モードをONにし、「SDカード暗号鍵のリストア」を選択し、パスワードを入力します。
⇒microSDカード内の鍵が、端末へインポートされます。 「通常モード」を選択する
「SDカードの利用モード」を選択する
暗号鍵の入ったmicroSDカードを端末へ挿入する
「暗号化」を選択する[管理者モード] を
ONにする
microSDカードを外しておく
「SDカード暗号鍵のリストア」を選択する
バックアップ時に入力したパスワードを指定する
鍵のインポート/エクスポート機能 設定手順(インポート)
エンドポイントセキュリティ
Page 27 © NEC Corporation 2014- 2015
▌ 端末へのアプリの追加インストールを制限し、業務に関係ない目的での端末の利用を防ぎます。
▌ 追加インストール禁止の設定を行った場合は、本機での追加アプリインストールはできません。
▌ インストール操作自体を禁止にすることに加え、パーミッションを指定した禁止設定が可能です。
▌ 本設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
設定項目 設定値
全てのアプリ 許可/禁止
提供元不明アプリ(Google Play™
経由で入手したアプリ以外)
許可/禁止
パーミッションによる禁止 禁止したいパーミッションを一覧から選択
アプリインストール制御 概要
エンドポイントセキュリティ
Page 28 © NEC Corporation 2014- 2015
▌ 全てのアプリのインストールを禁止する
① セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
② 「インストール禁止」メニューの「全てのアプリ」にチェックを入れます
[インストール] を選択する
[インストール禁止] の[全てのアプリ] にチェックを入れる
▌ Google Play 以外からのインストールを禁止する
① セキュリティポリシー設定アプリを起動し、
「管理者モード」をONにします
② 「インストール禁止」メニューの
「提供元不明アプリ」にチェックを入れます[インストール禁止] の[提供元不明アプリ]に チェックを入れる
アプリインストール制御 設定手順(1)
エンドポイントセキュリティ
[管理者モード] をONにする
Page 29 © NEC Corporation 2014- 2015
▌ パーミッションを指定してインストールを禁止する
① セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
② 「インストール禁止」メニューの「パーミッションによる禁止」を選択します
③ 禁止するパーミッションを選択し、「パーミッションによる禁止」にチェックを入れます
[インストール禁止] の[パーミッションによる禁止]
を選択する[禁止するパーミッションを選択]
を選択する
[パーミッションによる禁止]にチェックを入れる
インストール禁止する
パーミッションを選択する
インストール禁止するパーミッションにチェックを入れる
必要であれば、前画面に戻って同様の手順で
別のパーミッションを選択する
設定が完了したら「パーミッションによる禁止」画面に戻る
アプリインストール制御 設定手順(2)
エンドポイントセキュリティ
Page 30 © NEC Corporation 2014- 2015
▌ ウイルス対策やMDMなどの必要なアプリのアンインストールを防止することが可能です。
▌ 管理に必要なアプリを利用者が不正にアンインストールする事や、業務に必要なアプリを利用者があやまってアンインストールする事を防止します。
▌ 全てのアプリを禁止すること、およびパッケージ名を指定することで特定のアプリのアンインストールを禁止することが出来ます。
▌ 禁止するアプリリストをファイルから読み込むことも可能です。
▌ 本設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
設定項目 設定値
全てのアプリ 許可/禁止
特定のアプリ 禁止 (禁止アプリリストを作成する)
アプリアンインストール制御 概要
エンドポイントセキュリティ
Page 31 © NEC Corporation 2014- 2015
▌ 全てのアプリのアンインストールを禁止する
① セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
② 「アンインストール禁止」メニューの「全てのアプリ」にチェックを入れます
[管理者モード] をONにする
アプリアンインストール制御 設定手順(全てのアプリ)
エンドポイントセキュリティ
[アンインストール禁止] の[全てのアプリ] にチェックを入れる
[インストール] を選択する
Page 32 © NEC Corporation 2014- 2015
▌ 特定のアプリのアンインストールを禁止する (直接入力)
① セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
② 「アンインストール禁止」メニューの「特定のアプリ」を選択します
③ 手動で対象のアプリリストのパッケージ名を入力します
[管理者モード] をONにする
[インストール] を選択する [アンインストール禁止] の
[特定のアプリ] を選択する
[アプリリストの確認/編集]を選択する
・対象アプリのパッケージ名を入力する・複数指定する場合は、改行して入力する
[OK] をタップする [特定アプリのアンインストールを禁
止] にチェックを入れる
アプリアンインストール制御 設定手順(特定のアプリを直接入力する)
エンドポイントセキュリティ
Page 33 © NEC Corporation 2014- 2015
▌ 特定のアプリのアンインストールを禁止する (設定ファイル使用)
① アンインストール禁止アプリリストの設定ファイルを作成し、microSDカードに格納します
② セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
③ 「アンインストール禁止」メニューの「特定のアプリ」を選択します
④ アプリリスト設定ファイルを読み込み、設定します
■ 設定ファイル格納方法
① microSDカードのルートに 「install_uninstall」 ディレクトリを作成します
② 下記形式のXMLファイル 「import_list.xml」 を作成し、①のディレクトリ内へ格納します
<settings><group name="SettingsIUC">
<block><value name="uninstall_sel" type="string">black</value><value name="uninstall_list" type="string">
com.nec.sample.app1com.nec.sample.app2
</value></block>
</group></settings>
アンインストールを禁止したいアプリのパッケージ名を記載する
import_list.xml赤字部分のみ編集する
アプリアンインストール制御 設定手順(設定ファイルで登録する(1))エンドポイントセキュリティ
Page 34 © NEC Corporation 2014- 2015
[管理者モード] をONにする
[インストール] を選択する [アンインストール禁止] の
[特定のアプリ] を選択する
[アプリリストをファイルから読み込む]を選択する
[OK] をタップする
[特定アプリのアンインストールを禁止]にチェックを入れる
/install_uninstall/import_list.xmlが格納されたmicroSDカードを
端末へ挿入する
アプリアンインストール制御 設定手順(設定ファイルで登録する(2))エンドポイントセキュリティ
Page 35 © NEC Corporation 2014- 2015
▌ カメラやBluetooth®、無線LANなど、会社が利用禁止している機能を制限し、利用
者の不正利用を防ぎます。
[利用制限可能なデバイス]・カメラ・無線LAN
・Bluetooth®・USBデバッグ・スクリーンショット・外部SDカード・USBデータ転送
(MTP,PTP,MSC)
▌ 本設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
① [管理者モード] をONにする
③ 利用禁止したい機能にチェックを入れる
② [デバイス、アプリ] を選択する
利用可能デバイス制限
エンドポイントセキュリティ
Page 36 © NEC Corporation 2014- 2015
▌ 一部のプリインストールアプリの実行を制限することができます。
▌ 本設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
① [管理者モード] をONにする
③ 利用禁止したいアプリにチェックを入れる
② [デバイス、アプリ] を選択する
アプリケーション実行制御
エンドポイントセキュリティ
Page 37 © NEC Corporation 2014- 2015
▌ 端末の利用ログを収集することで、利用者による端末の不正利用の調査や、障害発生時の原因調査に利用可能です。
▌ ユーザの操作ログ毎に取得する/しないを選択できます。
▌ 本設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
取得可能なログ情報
ロック解除 端末パスワードのアンロック日時
SDカード接続履歴 microSDカードの脱着日時
起動 シャットダウン状態から起動した日時
インストール アプリのインストール日時
日付と時刻変更 日付変更の日時
WEBアクセス 接続したURLと日時
USB接続履歴 接続した日時
Bluetooth®接続履歴 接続した日時
操作ログ管理機能 概要
エンドポイントセキュリティ
Page 38 © NEC Corporation 2014- 2015
▌ 取得したいログを設定する
① セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
② 「ログ」 メニューの 「取得するログを選択」 を選択します
[取得するログを選択]を選択する
[ログ] を選択する
[管理者モード] をONにする
取得したいログにチェックを入れる
前の画面に戻る
[ログ取得]にチェックを入れる
操作ログ管理機能 設定手順(1)
エンドポイントセキュリティ
Page 39 © NEC Corporation 2014- 2015
▌ 採取したログをmicroSDカードに保存する
① microSDカードを挿入します
② セキュリティポリシー設定アプリを起動し、「管理者モード」をONにします
③ 「ログ」 メニューの 「取得するログを選択」 を選択します
[ログ保存]を選択する
[ログ] を選択する
[管理者モード] をONにする
操作ログ管理機能 設定手順(2)
エンドポイントセキュリティ
Page 40 © NEC Corporation 2014- 2015
▌ 送信・受信されるネットワークパケットを監視し、通信の許可・拒否を行なうものです。接続を許可/遮断するIPアドレスを指定することで、指定以外のIPアドレスへの接続を禁止し、不正な通信の発生を防止します。
▌ 設定できる条件:「種別」 「方向」 「プロトコル」 「送信元IPアドレス」 「送信元ポート番号」「宛先IPアドレス」 「宛先ポート番号」等の指定が可能です。
▌ 本設定は、管理者パスワードで保護され、利用者は勝手に変更することはできません。
ネットワーク利用制御(パーソナルファイヤーウォール (1))エンドポイントセキュリティ
Page 41 © NEC Corporation 2014- 2015
パーソナルファイヤーウォール機能は、端末側の設定情報として機能します。ポート番号指定による設定は、自端末がサーバになる場合に公開するポートに制約をつける機能をサポートします。外部サーバで提供される通信ポートを用いた制限ではありません。
▌ カーネルレベルのパケットフィルタ機能で入出力パケットを一つひとつチェックします。
受信を許可(ホワイトリスト)するパケット
受信拒否(ブラックリスト)するパケット
▌ ユーザが意図しないネットワークとの通信を防止します。 ローカルでしか動かないアプリケーションの通信を遮断 (マルウェア対策) 端末から外部への情報漏えいを防ぐことで個人情報の漏洩に有効
設定できる項目
PEER接続先(IPアドレス相当)条件によるフィルタ意図したネットワークとの通信を許可(white list)、および意図したネットワークの遮断(Black list)の指定が可能
TCPUDPICMP
端末のサービスを条件としたフィルタサービス単位(TCP、UDPの待ち受けポートなど)での通信を制御する際に利用TCPフィルタやICMPフィルタなど各種サービスに依存したフィルタ
ARP
アプリケーション単位を条件としたフィルタ意図したアプリのみ通信を許可する(white list)、および意図したいアプリによる端末からネットワークへ情報が送信されるのを遮断(black list)指定ができます。
統計情報 フィルタにて廃棄されたパケット数に関するサマリ収集します。
設定のインポート/エクスポート設定をテキストファイル形式でmicroSDカードからインポート/エクスポートすることが可能です。
ネットワーク利用制御(パーソナルファイヤーウォール(2))エンドポイントセキュリティ
Page 42 © NEC Corporation 2014- 2015
▌ 設定例①
社内ネットワーク(192.168.1.0/24) との通信のみを許可し、社外アクセス禁止とする
▌ 設定手順
ポリシー設定アプリを起動
管理者モードにするため、スライドしてONにして管理者パスワードを入力
左側メニューから「ネットワーク」を選択
・エントリの作成
「PEER」を選択。
サブメニュー表示から「モードの選択」が「white list」になっていることを確認。
「ルールの追加」を選択、接続先に192.168.1.0/24を入力して「追加」をタップする。
「変更の確認と反映」を選択、内容を確認して問題が無いことを確認後、「反映」をタップ。
「編集の終了」を選択。
・エントリの有効化
「PEER」のスイッチをスライドしてONにしてエントリを有効にする。
・ファイヤーウォールの実行
「FireWall」のスイッチをスライドしてONにしてエントリを有効にする。
ネットワーク利用制御(パーソナルファイヤーウォール) 設定例①
エンドポイントセキュリティ
Page 43 © NEC Corporation 2014- 2015
▌ 設定例②
ブラウザとメーラのみに通信を許し、他のアプリの通信を禁止する。
▌ 設定手順
ポリシー設定アプリを起動
管理者モードにするため、スライドしてONにして管理者パスワードを入力
左側メニューから「ネットワーク」を選択
・エントリの作成
「APP」を選択。
サブメニュー表示から「モードの選択」が「white list」になっていることを確認。
「ルールの追加」を選択、アプリケーションリストからブラウザを選択し「追加」をタップする。
「ルールの追加」を選択、アプリケーションリストからメールを選択し「追加」をタップする。
「変更の確認と反映」を選択、内容を確認して問題が無いことを確認後、「反映」をタップ。
「編集の終了」を選択。
・エントリの有効化
「APP」のスイッチをスライドしてONにしてエントリを有効にする。
・ファイヤーウォールの実行
「FireWall」のスイッチをスライドしてONにしてエントリを有効にする。
ネットワーク利用制御(パーソナルファイヤーウォール) 設定例②
エンドポイントセキュリティ
Page 44 © NEC Corporation 2014- 2015
▌ 設定例③ブラウザアプリの通信を禁止する。
▌ 設定手順ポリシー設定アプリを起動
管理者モードにするため、スライドしてONにして管理者パスワードを入力
左側メニューから「ネットワーク」を選択
・エントリの作成
「APP」を選択。
サブメニュー表示から「モードの選択」で「black list」を選択する。
「ルールの追加」を選択、アプリケーションリストからブラウザを選択し「追加」をタップする。
「変更の確認と反映」を選択、内容を確認して問題が無いことを確認後、「反映」をタップ。
「編集の終了」を選択。
・エントリの有効化
「APP」のスイッチをスライドしてONにしてエントリを有効にする。
・ファイヤーウォールの実行
「FireWall」のスイッチをスライドしてONにしてエントリを有効にする。
※ 本設定は通信のみを禁止します。アプリ実行自体を禁止する場合は「アプリケーション実行制御」機能を
ご利用下さい。
ネットワーク利用制御(パーソナルファイヤーウォール) 設定例③
エンドポイントセキュリティ
Page 45 © NEC Corporation 2014- 2015
▌ 設定例④通信しないはずのアプリを導入したつもりだが、マルウェア感染などによる情報流出が心配。
通信しないようにして利用したい。
▌ 設定手順ポリシー設定アプリを起動
管理者モードにするため、スライドしてONにして管理者パスワードを入力
左側メニューから「ネットワーク」を選択
・エントリの作成
「APP」を選択。
サブメニュー表示から「モードの選択」で「black list」を選択する。
「ルールの追加」を選択、アプリケーションリストから該当アプリを選択し「追加」をタップする。
「変更の確認と反映」を選択、内容を確認して問題が無いことを確認後、「反映」をタップ。
「編集の終了」を選択。
・エントリの有効化
「APP」のスイッチをスライドしてONにしてエントリを有効にする。
・ファイヤーウォールの実行
「FireWall」のスイッチをスライドしてONにしてエントリを有効にする。
※実際に通信を試みたかどうかは、ネットワーク→統計情報を参照することで確認することができます。
ネットワーク利用制御(パーソナルファイヤーウォール) 設定例④
エンドポイントセキュリティ
Page 46 © NEC Corporation 2014- 2015
無線LAN暗号化
ネットワーク保全
無線LAN
パスワードや証明書による認証により、セキュアな接続を行う。 ルータ
セキュリティの種類
なし(Open)
WEP
WPA (TKIP/AES)
WPA2 PSK(AES)
社内無線LANアクセスポイントとの接続時に、無線LANの通信を暗号化し、第三者への情報漏えいを防止します。
暗号化方式は下記の通りです。
社内各種サービス
社内イントラネット
Page 47 © NEC Corporation 2014- 2015
無線LAN暗号化 設定方法
ネットワーク保全
SSIDステルス設定の場合は、SSIDが無線アクセスポイントリストには表示されないので、ネットワーク管理者から指定されたSSIDを入力。
暗号化方式は自動判別
アクセスポイントがSSIDステルス設定の場合
暗号化方式設定(「セキュリティ」)
▐ 設定 > 無線とネットワーク > Wi-Fi
アクセスポイントに設定してあるパスワードを入力し、「接続」を選択
Wi-Fiを「ON」に設定
接続するSSIDを選択
「+」を選択
Page 48 © NEC Corporation 2014- 2015
IEEE802.1x(RADIUS認証)
ネットワーク保全
WLAN
IUS認証
社内各種サービス
IEEE802.1xによる安全な通信
パスワードや、証明書による認証により、セキュアな接続を行う。
証明
証明書の無い不正端末ID/Passwordの一致しない端末
インターネット
企業内でイントラネットへ安全に接続するため、IEEE802.1xに対応しています。 Android 標準機能を利用しています。この機能を利用するには、社内にRADIUSなどの認証サーバーが必要です。対応方式は以下の通りです。
対応方式
PEAP(GTC/MS-CHAPv2)
TLS
TTLS(PAP/GTC/MS-CHAPMS-CHAPv2)
Page 49 © NEC Corporation 2014- 2015
IEEE802.1x(RADIUS認証)対応 設定方法
ネットワーク保全
電子証明書のインポート
▐ (無線LAN設定時) 設定 > 無線とネットワーク> Wi-Fi
パスワードを入力して、内蔵SD領域から認証ファイルをインストール
あらかじめ、内蔵SD領域に証明書を格納しておく必要あり。
▐ (証明書導入) 設定 > セキュリティ > 内部ストレージからインストール
必要項目を設定し、保存「セキュリティ」の「802.1xEAP」を選択
Page 50 © NEC Corporation 2014- 2015
VPN (Virtual Private Network)
ネットワーク保全
インターネット
外出先から、インターネットを介しVPNで会社に接続することで、端末が社内のイントラネットに直接接続されているのと同じ環境を提供します。(インターネットVPN)
VPNの方式としては様々ありますが、LifeTouch Lでは以下のVPNに対応しています。• PPTP, L2TP/IPSec PSK, L2TP/IPSec RSA, IPSec Xauth PSK, IPSec Xauth RSA, IPSec
Hybrid RSA この機能を利用するためには、接続するVPNゲートウェイが必要です。
VPN
社内イントラネット接続と同じ環境
VPNゲートウエイ
メール グループウェア
ポータル
社内リソースにアクセス 社内イントラネット
VPNゲートウェイ必要
Page 51 © NEC Corporation 2014- 2015
VPN (Virtual Private Network)設定方法(プラットフォーム標準PPTP)
ネットワーク保全
▐ 設定 > 無線とネットワーク > VPN > VPNの追加
▌利用時
ユーザ名やパスワードを入力し、「接続」を選択※VPNにより異なる
接続したらホーム画面へ。利用したいアプリを実行
接続するVPNを選択
「OK」を選択し、画面の指示に従って、PINまたはパスワードを設定する
必要項目を入力し「保存」を選択
追加される
Page 52 © NEC Corporation 2014- 2015
イン
プロキシアドレスおよびポートの設定により、プロキシサーバ経由でのインターネットアクセスに対応します。
プロキシの有効/無効、例外サーバの設定が可能です。プロキシ機能は、標準ブラウザでのみ有効です。ほかのアプリケーションでは利用できま
せん。
社内Webサーバ
○○(株)
△△ゲーム情報
○○社のページはアクセス許可
イントラネット内のサーバは例外として登録することで、閲覧可能
○○社Webページ
Webページ
△△ゲーム情報のページはアクセス禁止
プロキシで接続防御しているWebページは表示不可
△△ゲーム情報へ接続
○○社Webページに接続
ネットワーク保全
プロキシ設定
Page 53 © NEC Corporation 2014- 2015
▐ 設定 > 無線とネットワーク > Wi-Fi
プロキシはネットワーク毎に設定するため、「ネットワークを追加」もしくは、接続するネットワークを選択しネットワーク設定のダイアログを表示する。
①必要項目を入力
②「保存」を選択
「詳細オプションを表示」を選択
「手動」を選択
ネットワーク保全
プロキシ設定 設定方法
Page 54 © NEC Corporation 2014- 2015
SD、microSDは、SDアソシエーションの商標です。Bluetooth® は、Bluetooth SIG, Inc. の所有であり、NECはライセンスに基づきこのマー
クを使用しています。Wi-Fiは、Wi-Fi Alliance®の登録商標です。Windows®、Windows Server®、Microsoft® Exchangeは、米国Microsoft
Corporation の米国およびその他の国における商標または登録商標です。Google および Google ロゴ、Android 、Google Play、Google マップ、Google マップロ
ゴ、Google +、Google +ロゴ、Google ドライブ、Google ドライブロゴ、Google Chrome 、Google Chrome ロゴ、Google カレンダー、Google カレンダーロゴは、Google Inc. の商標または登録商標です。本ガイドのシステム名、製品名、会社名、及びロゴは、各社の商標または登録商標です。本ガイドに掲載された製品の色は、実際のものと多少異なることがあります。また、改良
のため予告なしに仕様・デザインを変更することがありますのでご了承ください。
LifeTouch L (2014年1月発表)
セキュリティ機能設定ガイド第三版 2015年4月©NEC Corporation 2014-2015日本電気株式会社の許可なく複製・改変などを行うことはできません。
日本電気株式会社〒108-8001 東京都港区芝五丁目7-1(NEC本社ビル)