■CommuniGate Pro v5.4.4のAndroid対応状況
 先日CommuniGate Proがv5.4.4となりExchange互換機能AirSyncの一部バグが更に修正されたということで問題のあったAndroid対応を検証したメモ。デバイス管理者登録周りは修正を確認。ただしPush設定時のワイプに問題が残る。

■動作確認した環境
1) Scientific Linux 5.7 x86(5.6から継続アップデート)
  Communigate Pro v5.4.4(v5.3系から継続アップデート)

■検証結果
1)Nexus One (Android2.3.6公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:正常手順で登録可能
 リモートワイプ:push設定で即時実行できず、間欠接続設定なら実行可能

2)Archos 80 G9(Android3.2.1公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:正常手順で登録可能
 リモートワイプ:push設定で即時実行できず、間欠接続設定なら実行可能に見えるがデータ残る

3)Galaxy Nexus (Android4.0.2公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:正常手順で登録可能
 リモートワイプ:push設定で即時実行できず、間欠接続設定なら実行可能

 今回はAndroidの各バージョンをひとつづつ実験してみた。残念ながら3.x系はリファレンスマシンが手持ちでないため、Archosで実験したが初期化部分がかなりカスタマイズされた仕様のためか案の定データが消えないという事態に。ワイプ操作自体は実行されているように見えるのでこれはArchosの仕様(通常ワイプでの消去範囲が異なる)による結果と思われる。

 CGP 5.4.4においてはデバイス管理者登録を促す部分の仕様が適切に修正されていることが確認できた。またPush設定以外(5分ごとに接続など)であればワイプも適切に実行できることが確認できた。Pushの場合セッションを切断する時点で端末に送信するコマンドが適切でないためリモートワイプが即時実行されない問題が残っているが、5.4.5で修正されるということなので楽しみに待ちたい。この修正が行われれば名実ともにAndroid対応を前提に利用してもらうことができるので嬉しい限り。注意しなければならないのは、Android端末でAirSync設定を行う場合Push設定ではAndroidの仕様で2分間隔でサーバ接続を行うため、バッテリーの少ない機種では稼働時間に影響を大きく及ぼす可能性があるということだ。2分間隔の設定は通常UIでは変更することができず、変更を強要するためにはrootedにして直接ファイル編集が必要になるため法人利用においては現実的ではない。採用機種とバッテリー動作状況を良く確認しながら設定を検討する必要がある。

 ちなみにメール利用においてはAndroid端末からWebUIを利用するというパターンも可能なのだが、HTMLベースはともかく、FlashベースのPronto!についてはAndroid端末で起動は可能なものの日本語入力が正しく動作しないことと画面解像度の問題で実用にならない。タブレットでは高解像度の端末が出てきているが、操作感も含めてPtonto!は現状オススメできないので、WebUIでBasicかSimplex辺りを利用することをオススメする(慣れは必要だが…)。

, , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Carrier IQのチェックをしたメモ
 いろいろと話題のCarrier IQですが、とりあえず手元の3G対応Android端末をチェックしてみたのでメモ。チェックツールはxdaからダウンロードしたLogging Test App v7。

■チェックした端末
・Nexus One(公式ROM 2.3.6)
・Galaxy Nexus GT-I9250(公式ROM 4.0.1)
・Galaxy Tab GT-P1000(P1000XXJPZ)
・001HT(公式ROM2.3.3)

■結果
 とりあえずCarrier IQはどれも発見されなかった。001HTのみHTCのログツールは当然のように発見された。いろいろログファイルがリストされて興味深かったが、Galaxy Nexusだけはツール自体がAndroid4.0に対応していないのか、一切検出されることがなかった。

 とりあえずCarrier IQの件を持ってAndroid終了は言い過ぎ。UK版SIMフリー端末や日本のHTC端末にも入ってはいないようなので、やはりUSの一部キャリア限定の話ということでAndroid全体の話ではないことが確認できた。

 障害解決のためユーザの行った操作の詳細な情報が欲しいということは、製品の不具合等でユーザ対応をした経験がある人なら誰しも思うことであろうから背景を理解できないわけではない。携帯に限らずPCも同様で、問題が発生した時にそれまでに行った操作を適切に説明できるユーザは極めて少ない(良く訓練されたテスターはそれが可能だったりするが)ため、ログが問題解決に非常に有効であることは否定できない。本当に必要且つ適切な運用ができると考えるならば、何のためにインストールされ、誰のために役に立ち、どうすればそれを有効/無効にできるのかをユーザに適切に説明すればよい。それをしないのはただの怠慢と受け取られても仕方ない。新築の家の全ての部屋に隠しカメラが仕掛けられていて、全ての行動が録画されていた事実を後から知らされた時に、それが住宅購入者の利便性向上のために必要なことだったからと言われても誰一人納得する人はいないだろう。携帯の全操作を把握できるというのは、それに近いことをやっているのだと事業者は理解する必要がある。本当にユーザにとって利便性のあることであるなら、適切な説明をすることでユーザは選択することができる(受け入れさせることが前提であってはいけない)。

 個人的にはロギングツールが携帯電話のパッケージに含まれていること自体には否定的ではないが、それには原則機能が無効化されている前提で、必要な際に有効にするか無効のままにするかが自身で選択できる必要があると考える。AppleやMSはOSの標準機能としてアプリケーションがエラーになった際にレポートを送信するかどうか選択させるようにしているが、そうした解決方法が既に浸透しているにも関わらず、Carreir IQをこっそり潜ませるようなやり方をした一部キャリアは責められて然るべきなのかもしれないと思う。

,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (2 投票, 平均値/最大値: 5.00 / 5)
Loading...

■CommuniGate Pro v5.4.2のAndroid対応状況
 先日CommuniGate Proがv5.4.2となりExchange互換機能AirSyncの一部バグが修正されたということで問題のあったAndroid対応を検証したメモ。確かに修正は確認できたが非常に微妙な感じ。更なる改善を願うところ。

■動作確認した環境
1) Scientific Linux 5.7 x86(5.6から継続アップデート)
  Communigate Pro v5.4.2(v5.3系から継続アップデート)

2)Scientific Linux 5.7 x86(新規インストール)
  CommuniGate Pro v5.4.2(新規インストール)

どちらの環境でも結果は同じだったので、以下の検証結果はv5.4.2の問題と考える。

■検証結果
1)Nexus One (Android2.3.6公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:ダイアログのみ表示、実際登録されず
 リモートワイプ:実行できず

2)001HT(Android2.3.3公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:HTCのカスタマイズで項目自体が存在しない
 リモートワイプ:即時実行可能

3)GalaxyTab(GT-P1000)(Android2.3.3 XXJQ1 rooted)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:ダイアログのみ表示、実際登録されず
 リモートワイプ:メールフォルダ操作で実行される…ように見えるが初期化されない

4)Archos 80 G9(Android3.2公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:ダイアログ表示、権限確認表示、メールとして登録
 リモートワイプ:メールフォルダ操作で実行される…ように見えるが初期化されない

5)ASUS TF101(Android3.2.1公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:ダイアログ表示、権限確認表示、メールとして登録
 リモートワイプ:メールフォルダ操作で実行される、完全に初期化

 ざっくりと見てAndroid2.3.xには非対応、Android3.2.xには対応しているように見える。リモートワイプなどシステム関連の権限を必要するため、Android2.2以降で新設されたデバイス管理者メニューに必要に応じた権限とそのパーミッション設定が必要となるが、Android2.3.x系では必要な権限の登録が行われない。HTC社の製品のみHTC Senseのカスタマイズでデバイス管理者を必要とせずワイプが可能になっているため、001HTでのみ正しくワイプが機能しているが、HTC社の製品の場合は前述の理由によりCommuniGate Pro v5.3.x系でもリモートワイプ可能だった。今回GalaxyTabでもワイプが動作したように見えた(再起動して情報をワイプしている状況が表示された)のだが、キャッシュ等が削除されただけでアカウントやアプリ含めたデータ類はそのままで、端末の初期化はされなかった。おそらくデバイス管理者に正しい設定がされていない影響と思われる。

 2.3.xでは登録されないデバイス管理者が、何故かAndroid3.2.xでは権限表示された上で適切に登録されることが今回確認できた。TF101では即時ではないもののメールのフォルダを表示しようとした瞬間に端末が再起動され、データの消去が行われ初期化された上で新規登録画面が立ち上がってきた。Archos 80 G9ではやはりメールのフォルダを表示しようとした際に再起動に入るため端末の電源は落ちるがそのまま終了してしまう。電源長押しで起動させた後、何故かパスワード設定のみが反映された状態で起動し、リモートワイプで使用したアカウントのパスワードでログインすると、アプリやデータはそのまま利用可能な状態で残っていた。これはデバイス管理者の権限が反映されたことを示しているが、なぜワイプまでできず中途半端に終わっているのはよくわからない…。Archos製品は他社製品と少し実装が異なり、初期化オプションを複数提供するためシステムイメージをループバックマウントすることでシステム全体をセキュアに保つ仕組みが採用されていることに関係しているのかもしれない。

 ワイプの実行のためにメールフォルダの操作が必要になっているのは、ワイプ実行に必要なProvisionコマンドの発行のため。通常iOSやWindows Phone 7.5ではサーバ側でワイプ指定した時点で、接続を切られた端末側が再アクセスしてProvisionコマンドを要求に応じて返してくることでワイプが実行されるのだが、Android端末では何故かサーバ側でProvisionコマンドを要求しても返してこない。仕方がないので端末側でProvisionコマンドを発行させるために必要な操作として、InBox以外のメールフォルダを開いてみるという動作を行う。フォルダを開こうとするとサーバから拒否されるため、FolderSyncの再問合せをした際に、Provisionコマンドの応答を行うことになる。本来すぐに実行されるべきコマンドが一定操作をしないと行われないことは、おそらくCommuniGate Pro側の要求送信内容の問題だと思われるので、ここも改善してもらいところである。

■まとめ
 CommuniGate Pro v5.4.2でAirSyncのバグが一部修正されデバイス管理者登録部分の動作がやや改善されたことは確認できたものの、まだAndroid2.3系ではワイプなどセキュリティ系機能が実用にならず、3.2系でも機種によっては適切に動作しないことが確認できた。iOSやWindows Phone 7.5の端末では問題なく動作するだけに、シェアの大きいAndroid端末でうまく動作しないことは残念というしかない。デバイス管理者の登録やワイプ実行のためのProvisionコマンドの要求発行内容とタイミングについて更に改善をしてもらいたいと思う。とりあえずメールやカレンダーの同期といった主要な部分は動作しているので実使用上大きな問題はないケースも多いとは思われるが、セキュリティ系で必要な機能についてCommuniGate ProとAndroid端末を組み合わせて利用したい場合には、利用端末で適切に動作するかどうか事前に確認することを強くオススメする。

【追記】Galaxy Nexusが届いたので追記

6)Galaxy Nexus (Android4.0.1公式ROM)
 メール・連絡先・カレンダー同期OK
 デバイス管理者登録:ダイアログ表示無し、登録されず
 リモートワイプ:実行できず

 3.xで対応していた部分がバージョンアップでまた未対応になってしまった模様…。codenameでは正しく動作しワイプできたことから4.0の仕様変更自体の問題ではなさそう。CGS社にはレポートしてあるのだがいつになったら直してくれるのだろう…。

, , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Viber 2.1遂に連絡先平文送信を変更
 本日ViberがVer2.1になったということで改めて登録プロセスをキャプチャして、送信内容の確認を試みてみることにした。結論から言うと、これまでTCP4244宛てに平文で送信されていた自端末に保存された連絡先情報は暗号化されたようだ。以下キャプチャで確認できたことを箇条書きにて。

・確認したのは実装が後追いになっていたAndroid版
・001HTにてアプリ起動から登録完了までをキャプチャ
・001HTの連絡先には自番号他ダミーデータを登録
・通話試験は未実施
・登録方法はSMSによるパスコード受信
・Version表示は2.1.0
・登録時の最初のsecure.viber.comへのアクセスはhttps
・電話番号送信はhttpsで送信される
・SMS受信待ちになり受信すると自動でパスコード入力してactivate
・activate後、aloha.viber.com宛てTCP5242へ接続
・認証情報を送信するサーバ情報を受けとる(と思われる)
・指定されたサーバに認証情報をTCP4244で送信する
 これまでのプロセスだとここで連絡先情報が平文で送信されている
 今回は4244の通信内容はSSLではないものの暗号化は実施されているようだ
 少なくともただのBase64エンコードだったりはしない
 暗号強度は不明だが平文で簡単に見られるようになってはいない
・登録完了後viberの電話帳を開いたりいくつかメニューを操作してみた
・viberを終了させてキャプチャも終了

 Viberリリースからかなり長い時間がかかったが、やっと登録時の通信内容が平文のままという恐ろしい状況は改善されたようだ。iPhone版もおそらく同様の改善がされていると推測できる。実機テストがすぐにできない状況なのでここでは割愛。残念なのはアップデートのリリース文にはこうした対応について何も書かれていないこと。実は海外でも平文で連絡先が送信されてたこと、送信先がamazon EC2のサーバ上だったことに気付いていた人は多くなかったかもしれない。むしろ書くことで平文だったのか!とクレームになることを避けたようにも見える。この辺りは誠実さに欠けるという見方もできるが、まぁとにかく約束は果たされたということで、個人的にはやれやれという感じ。明らかな不安材料はひとつ消えたということで、後はViber社が宣言の通り誠実に会社とシステムとポリシーを運用してくれることを願う。

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (6 投票, 平均値/最大値: 4.50 / 5)
Loading...

■スマートフォン対応検疫システムCounterACT + NetAttest LAP
 ITPro EXPOで興味深い製品を見かけたのでメモ。エージェントレスでスマートフォンの検疫システムを構築でき、多拠点型のビジネスモデルでも比較的導入コストを低く抑えられそうで、以前在籍した会社に導入したいなぁと思われたので要点を箇条書きにて整理しておく。

CounterACTは検疫+IPSの組み合わせで動作する
・スマートフォンの検疫はMACアドレスベース
 →PCはOSやAntiVirusなど詳細な条件設定可能
・デバイスの識別はHTTPヘッダ上のUser-Agent
・インライン設置でなくミラーポート設置でOK
・CounterACTのみでは同一セグメントしか検疫できない
 →L3スイッチのARPテーブルの参照やARP・NBT・DHCPリレーの監視等他機器連携で可能だそうです
  関係者の方から訂正をいただきました、ありがとうございます
・今回のケースでは他セグメントはNetAttest LAPをCounterACT連携させて検疫を可能に
・CounterACTが検疫ルールを一元管理
・NetAttest LAPは自管理セグメントの端末検出時にCounterACTに通知
・CounterACTの応答に対応してNetAttest LAPが接続を制御する
・検疫をパスしても不正なパケットはIPS機能で遮断可能という2重防御
・通常IPSは外部からのアクセスに対して設置されることが多いがこれは内部通信向けを想定
・社内でウイルス感染した端末が不正通信を行った場合に検知可能
・対象端末の通信の遮断や遅延(ハニーポット機能あり)をさせることが可能
・ActiveResponse機能はなかなか面白い
・業務システムがDC集中で拠点が多数分散しているようなケースで非常に有効
・NetAttest LAPは小型のアダプタサイズのアプライアンスで非常にコンパクト
・小さい拠点でも設置に困らない←重要
・NetAttest LAP自体もインライン設置でなくミラーポート設置でOK
・5年前に存在していたら当時在籍の会社に即導入提案してたな
・1000ユーザ導入&3年間維持コストで800万くらい?w
・説明員さんが今は亡きリコース社のManHunt IDSを知っててびっくりした
・その説明員さんがこのblog読んでて更にびっくりしたw

 過去にManhunt IDSを在籍企業で導入していた時には、インターネットからのアクセス部分と社内から社外へアクセスする部分の両方を同時監視できるネットワーク構成にして最小のライセンスで運用可能にし、IDSの機能をフルに活用する工夫をしていたが、この場合多数ある拠点とDC間におけるWLAN通信監視が事実上行えず社内側に一部リスクを残す構成になってしまっていた。今回のこの仕組みがあれば全拠点で各セグメント単位にデバイスを配置し、制御は1ヶ所で集中できることから、社内側ネットワークの監視レベルが高く維持でき、比較的運用的にもコスト的にも抑えられそうな印象があり非常に興味をそそられた。少人数の拠点が多い企業では目の行き届かない部分も多く、こうした仕組みは非常に有効だと思われる。エージェントレスなのでキッティングも不要。httpのヘッダが必要という部分はやや気になるが、Untangleのような無償利用可能なUTMのCaptive Portal Webと組み合わせるなど必ずhttp通信を必須とする環境を作ることで対応は可能だと思われる。CounterACTが更に小さくなればサーバラックのない中小企業でも容易に導入できると思うのでぜひコンパクト化を期待したい。

, , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (1 投票, 平均値/最大値: 5.00 / 5)
Loading...

■国内向けWindows Phone 7.5対応予定端末管理(MDM)製品メモ
 本日から行われているITPro EXPOにおいてWP7系に対応予定としている端末管理(MDM)製品をいくつか確認したのでメモ。一部製品を除いてあくまで対応予定であり、実際の機能の詳細や提供時期などは多くが未定。以下も合わせてどうぞ。

 法人向けWindows Phone 7端末管理(MDM)ソリューションメモ
 http://blog.isnext.net/issy/archives/1450

・AirWatchデータコントロール社
 既に海外で実績がありWP7用専用アプリも提供されている。国内ではデータコントロール社がローカライズ等を担当し、SaaS型サービスとしてキヤノンITソリューションズ社からサービス提供されることも発表されている(2012年2月より)。専用アプリAirWatch Agent(Ver1.1.0.0)は日本でもMarketplaceからダウンロード可能。ただしこのバージョンでは日本語化はまだされていない。管理コンソール側は日本語対応済み。iOS・Androidにも対応しており、アイコン表示で管理可能な項目が一覧でき非常にわかりやすい。管理コンソールのUIが良くできているので導入もあまり難易度は高くないと思われる。残念ながらWP7.5端末で管理できる項目はiOSやAndroidに比べて少ないということだが、Exchange 2007相当のActiveSyncプロトコルによる端末制御よりは、専用アプリを入れる分だけのメリットがあるはずなので、現在その詳細について問合せ中。

・Optimal Biz for MobileOPTiM社
 Android向けMDM製品として知名度のあるOptimal Biz for MobileもWindows Phone 7.5の対応を予定。Optimal BizとしてはWindows PCは既に対応済みだが今後MacOSXやLinuxにも対応するとのこと。Androidで特徴的な端末画面転送型サポートを可能にするOptimal Remote及び独自キッティングツールについてはWP7.5対応は未定。キッティングツールはぜひ対応してもらいたいが難易度は高そう。

・FENCE-Mobile RemoteManager富士通ビー・エス・シー社)
 Android向けのMDM製品であるFENCE-Mobile RemoteManagerも現在Windows Phone 7.5対応に向けて開発を進めているとのこと。IS12Tがリリースされているわけでぜひがんばってもらいたい。WP7.5端末のハードウェアとソフトウェアの一番近いところで製品開発できるアドバンテージを活かせるかが鍵になりそう。Android端末向けにはSD暗号化ツール FENCE-SVP for Androidや専用キッティングツールを開発していたり、無償アンチウイルス製品のViRobotと提携するなど活発な動きが行われているので、こちらの充実にも期待したい。

 ITPro EXPO会場ではMDMツールの紹介をしているスペースをそれなりに見つけたが、多くがiOS・Android対応止まりで、見落としはあるかもしれないがWP7.5について確認できたのは上記3社だった。事実上AirWatchがサービスも可能な状態になっており一歩先んじている。AirWatchはお試しも用意されている(海外のみ、国内版はまだ未提供の模様)ので、比較的必要な機能が試しやすいというメリットもある。月額運用の価格差もつけにくいところなので、国内勢はサポート面やキッティングサービスなど日本向けサービス部分も並行して取り組むことで総合的な導入環境支援での差別化が必須になるように思われる。今後の動向に注目しておこうと思う。

, , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■CEATEC: au ビジネススマートフォン EIS01PT 簡易レビュー
 fansfansの「最先端IT・エレクトロニクス総合展「CEATEC JAPAN 2011」特別招待日にご招待!」に当選したので招待日にプレスとして参加してきました。auのスペースでWiMAX対応の新機種を一通り見たあと、はじっこの方でなかなか興味深いものを見ることができたので、簡単にレビューしておこうと思います。auは以前からビジネス向けに専用のカスタマイズを施した端末を作って法人向けに提供するというサービスをやっていたのですが、今回そうしたバリエーションのひとつとしてビジネス専用Androidスマートフォン EIS01PT が展示されていました。機体はMIRACH IS11PTとほぼ同じ仕様で防水防塵、ビジネス用ということでマットな黒のカラーリングになっており、少しごつい印象になっていました。OS的な特徴もIS11PTと同様で日本語・英語・中国語・韓国語・ポルトガル語の五ヶ国語入力対応となっており、ビジネスに使うという点でコンシューマモデルのIS11PTよりは、エンタープライズモデルのEIS01PTの方が他言語対応は活用されるかもしれないなと思いました。

 個人的に興味なくスルーしたIS11PTと同型機を敢えてここで取り上げたのにはもちろん理由があります。それはセキュリティのエンハンスメントが施されているからに他なりません。このEIS01PTは以前の法人向けAndroid端末管理(MDM)ソリューションメモの記事でも取り上げたKDDI 3LM Securityに対応した国内初の端末だからです。もちろんMDMアプリが入っているだけで取り上げるワケではありません。他のMDM製品と異なり、KDDI 3LM Securityのフル機能を利用できるようにするため、知る限り初めてOSレベルでセキュアカスタマイズされたキャリア販売モデルだと思われるからです。

 Androidのセキュリティということで上記のようにMDM製品などは存在しますし、アンチウイルス製品なども含め今となってはAndroid向けセキュリティアプリは特別なものではなくなっています。しかしながらアプリであるが故に権限上できないことも多く、本質的なレベルのセキュリティ機能(FirewallやPermission Controlなど)を実現するためには、DroidwallやLBE Privacy Guard、WhisperCoreのように、端末のroot化が必須だったりカスタムROMとして実装するしかありませんでした。今回Pantech社がKDDI 3LM Securityのフル機能に対応するためOSをカスタマイズしEIS01PTが実現したということになります。

 EIS01PTではKDDI 3LM Securityのアプリが導入されており、管理者により通常のMDMができることに加えて、アプリケーション単位でPermission制御が可能になっています。またSDのストレージレベルでの暗号化が可能になっている(暗号化されたデータが保存できるのではなく、ストレージ自体が暗号化されているものをOSがマウントできる)ことは非常に優れた特徴になると思われます。同様の機能はWhisperSystems社のWhisperCoreが実現しているとは言うもののGoogleから発売されたNexusシリーズに限定でカスタムROMとして提供されているに過ぎず、キャリアがサービスとして組み込んでいるわけではありません。今回KDDIがこうしたレベルのセキュリティ実装を自社端末として企画実装してきたというのは、やはりAndroidへの本気度を感じさせます(もうマルチMobileOS対応になっちゃいましたがw)。Pantech社のAndroid OS技術対応レベルが高いことはIS06の頃から言われていたこと(日本語化とかUIレベルは一部微妙でしたがw)ですが、今回の実装対応も非常に短納期で実現されたとのことで、セキュリティの面においても対応力が高いということのようです。

 Android端末を法人利用したい場合、特に個人情報系などセキュリティに厳しい要件をお持ちの法人にとっては、EIS01PTは非常に心強い選択肢になると思いますので、そのような仕事に関わっている方はCEATECに行ったらKDDIスペースの端の方を丹念に探してみてください。きっと説明を聞いてみる価値はあると思います。個人的にはWhisperMonitorのようなパーソナルファイアウォール機能もぜひ実装して欲しい&個人向けにも容易に利用できるような安価なサービスを提供して欲しいなぁと思います。

, , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■Androidでの個人情報漏えい対策3(TaintDroidその後)

 以前以下の記事で紹介した、Androidで通信している内容をダンプしてチェックし不正な通信をするアプリを特定することを可能にするTaintDroidだが、今年の8/30に更新されておりAndroid2.3.4に対応したソースコードも公開されていた。

 Androidでの個人情報漏えい対策2(TaintDroid)
 http://blog.isnext.net/issy/archives/429

 公開された記事ではNexusOneとNexusS向けのTaintDroid入りカスタムROMの作成方法が紹介されており、実際に試してみることができるように配慮されている。(紹介されているのはLinuxでの作成手順と思われる)

 TaintDroid
 http://appanalysis.org/index.html
 http://appanalysis.org/download.html

 TaintDroidはカスタムKernelと通知用のアプリTaintDroid UIの2つから構成されることになり、Ext2でフォーマットされたMicroSDにダンプデータを書き出せるようになっているようだ。これを使うことで、従来難しかった3G通信時に端末が行っているインターネット通信をtcpdumpレベルでキャプチャして確認することができるようになる。実際にマルウェア等の発見で利用されたこともあるようだ。

 この手順に従った実際のカスタムROM作成の再現はいずれ別記事にするとして、ここまで情報が公開されているので、TaintDroidが搭載されているカスタムROMがリリースされているのではないかとXDA等を検索して確認してみたが、TaintDroidを使っていることを明示しているものは見つけることができなかった。LeeDroid向け等いくらかTaintDroidを搭載して欲しいという要望は見かけるのだが、カスタムROMの作者には今のところヒットしていないようだ。

 しかし、1つだけ少し前のバージョンではあるがOptionでTaintDroidに対応しているツールを発見することができた。なんと2010年の10月の時点で、Galaxy S向けのUniversal Lagfixでtweak karnelとしてTaintDroidを導入することが可能になっていた。

 [KERNEL][101111] Universal lagfix [EXT4,JFS] and tweak kernel [BLN2.2] {0.3}
 http://forum.xda-developers.com/showthread.php?p=8760115

 GalaxyシリーズのModに詳しいGagdet is not Gadget.さんの同lagfixの紹介記事「[Galaxy S] 複数のLagFixに対応したUniversal lagfix」でも触れられていなかったので当時全く気付いていなかった。(同blogには個人的に読者としてGalaxyTabのMod情報で大変お世話になっています。ありがとうございます。)Galaxy Sのユーザなら比較的簡単にTaintDroidを利用できる可能性があるので、試してみてもいいかもしれない。

 より具体的なカスタムROM実装方法が公開されたことで今後のカスタムROMで対応してくるものが増え、必要なチェックが容易にできるようになることを期待したい。WhisperCoreにはぜひ取り込んで欲しい機能だと思う。個人的にもTaintDroid ROMを手順に沿ってビルドしてみようと思うが、インストールできる環境が限定されているので、WhisperCore含めた継続的な実験のためにもNexusシリーズを追加入手したいところではある。リソースの検討をしつつ近いうちに記事にできるようにしたい。

, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■法人向けWindows Phone 7端末管理(MDM)ソリューションメモ
 先日のセミナーで海外では実績があるとされた端末管理(MDM)のソリューションを調べてみた。WP7.5でもソフトウェア構成管理の機能がないということなので、実装するためには専用アプリが必須になるはずということで、Windows Phone専用アプリを検索できるサービスで調べてみることに。既に利用されていると思われるWindowsPhone7用MDMソリューションは以下の2つが見つかった。(ちなみにどちらもAndroid/iOS対応)

Tangoe’s MDM
http://www.tangoe.com/Services/mobile-device-management.html
http://www.tangoe.com/Services/windows-mobile-support.html

AirWatch
http://www.air-watch.com/index.html
http://www.air-watch.com/platforms/winmob/index.html

 ざっと確認したところ正式にMango対応している記述は見つけられなかったが、専用アプリがリリースされていることからWP7に対応していることは間違いなく、Mangoの正式リリース以降になんらかの対応表明が出るのではないかと推測する。先行リリースされている海外で2製品しか見つからないところを見ると、やはりOS側に機能が用意されていない構成管理要件を実現するのは難しいということなのか、そもそも企業需要が少ないから同サービスに手を出す企業が少ないのか、どちらにしてもすぐに国内で同様のサービスが展開される可能性は期待薄ということになるだろうか。

 ちなみに国内記事でWP7対応を記載しているMDMも存在はするようだが、専用アプリを作らない限りそもそもWP7にない機能部分は対応できないはずなので、ActiveSync(Exchange 2007以降)同等の機能しか実現できていないはず。それであればわざわざMDMを導入する必然性は低いと思われる(WP7を企業導入しようとするなら社内システムはExchangeベースであろうから)。

MaaS360
http://www.cybernet.co.jp/fiberlink/service/maas360mdm.html

Mobileiron
http://www.mobileiron.com/ja/smartphone-management-products/smartphone-management-for-enterprise-mobility

 ということで、日本国内でWP7.5ベースで企業導入を狙うのはやはり人柱要素が高いということになりそうだ。法人から要望されるであろうことが自明のソフトウェア構成管理要件をMicrosoftがMangoでも実装してこなかったことは、やはりWindows Phone 7自体をコンシューマモデルとして設計し、その思想を貫こうとする意思があるからなのではないかと個人的には想像する。実際に個人用途としては非常に優れた発想でUIやコンセプト設計されていると感じるし、比較的価格を抑えて実装可能なパーツ構成を選択していることや、ZuneやXBox Liveのような連携を重視していることなどから容易に推測ができる。個人的には、急いで法人向けの体裁をWP OSの標準機能として強引に整えるようなことをしなくても、法人向け追加アプリパックのような形で後からアドオンとして販売するような形式で、無理なく展開してもらうといいのではないかと思う。法人利用はWindows Phone 8辺りまでゆっくり待つのがいいのかもしれない。

 最新の記事へ
 国内向けWindows Phone 7.5対応予定端末管理(MDM)製品メモ
 http://blog.isnext.net/issy/archives/1598

, , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...

■法人向けWindows Phone導入の3つの注意
 本日Microsoft主催の「Tech Fielders セミナー 東京:IT プロのための Windows Phone~企業内利用を考える」に参加してなかなか興味深い話が聞けたので気になったポイントを大きく3つほどまとめておく。各企業のポリシーにもよると思われるが、ある程度企業規模があった場合運用面で厳しい選択を迫られたり、規模が小さい場合にはコスト面で採算が合わなかったりと、いろいろと微妙だなと思うことがあったので正直WP7.5は幅広くオススメできるとは言い難く、慎重に企業ポリシーとの比較検討を行うことが必須だと感じた。特に個人情報を扱うことが多い企業は見送るのが妥当ではないかと思われる。Microsoftから提供されているソリューションを前提にした話のみとなるので、3rd partyからより洗練された解決手段が提示される可能性はあるが、以下の記事は本日のセミナーで得られた情報からのまとめとなる。

1)ソフトウェア構成管理の自由も機能も足りない
 最も重要なポイント。Windows Phone 7系においてはMicrosoftがOSやアプリを含めた全てのソフトウェアの審査・管理を厳密におこなっていることにより、ソフトウェア的な信頼性を担保するという仕組みが採用されている。そのため、企業は自社業務用の独自アプリを端末に導入するためでも、様々なハードルを越える必要がある。特定条件が揃わないと動作しないアプリについてはMSのアプリ審査を通過できる確率が低く、審査を通すためには動作確認ができる条件を用意しなければならない。ベータ版として審査無しで配布する方法もないわけではないが、対象者のLive IDを把握してインストールポイントを通知する必要があり、継続的現実的な運用が難しい。一旦導入したとしても、アップデートをプッシュで自動実行する仕組みがなく、個人がアップデート操作を行わなければ更新されない。これはOSも同様でOSのアップデートはOTAではなくZune Softwareで管理されるため、個人がPCに端末を接続して自分でアップデートを行わなければならない。そして端末内のアプリのバージョン状況を確認したり、アプリの実行権限を制御したり、設定を更新したりする構成管理機能は用意されてない。端末を自由に利用していいというポリシーを採用していない限り、管理のための運用負荷が大きくなる可能性が高く、企業規模が大きくなるほど問題になる可能性が高い。

2)重要データの置き場所を社内に制限することが難しい
 おそらく個人情報を取り扱っている事業者には影響が大きいと思われる内容。一般的に社外持ち出し不可のようなデータをモバイルで扱わざるを得ない場合、VPNで社内アクセスして指定のファイルの読み書きを行うことになる。同様にWP7.5のOffice機能を活用しようとした場合、まずVPNで社内ファイルを利用しようとするとSharePointServer 2010とForefront UAGという専用VPNGatewayが必須になる。UAGを利用する環境は通常ADやExchangeも含めて比較的大きな構成になるため、小規模な事業者には若干負担が大きくなる可能性がある。このUAGによるVPN環境でない限り社内のSharePointServerにアクセスしてフル機能を利用する方法がない。Web UIでSharePointServerを利用することも可能だが、その場合編集保存はできないとのこと。メール送信が可能なドキュメントの場合はExchange ActiveSyncによりSSLを利用した安全な送受信は可能になるが、WP7.5の仕様としてOutlook Mobileで添付ファイルを開いた場合、SkyDriveに「公開:自分のみ」の設定でアップロードされることがあるとのこと。自社管理領域外にデータを送信してしまう可能性と、設定のミスによってそれが公開されてしまう可能性があるため、十分な注意が必要になる。この添付ファイルのアップロード仕様はLive MailやGmailのアカウントのメールでも同様ということらしい。また添付ファイル以外にメッセージ本文においても、People HUB等に各種コンタクト情報やコミュニケーション手段が集約されている結果として、Twitter等の公開アカウント宛てに重要なメッセージ本文を送ってしまうなどうっかりミスでの誤送信で問題を起こしてしまうリスクが否定できないのではないかと心配になった。

3)現状キャリア及びデバイスの選択肢がなく参考事例が存在しない
 国内でWP7.5端末をリリースしているのはIS12Tを発売したauのみ。既にauを企業利用している場合にはキャリアそのものの問題は発生しないが、キャリア乗換えを行うとなるとハードルが非常に高くなる。一般的に通信コストを抑えるために固定回線と抱き合わせてキャリア選択を行ったりするが、そうした通信インフラ全体の見直しのための工数が大きくかかってくることになる。その上上記のように比較的一般的に実施されているであろうソフトウェア構成管理や社内データ利用に大きな壁が存在するため、運用構築やポリシーの見直しなど検討し直さなければならない事項が多く、同キャリア内移行であっても相当な検討工数を割く必要があると思われる。WP7.5を採用しようとする場合には他のスマーフォンと比較して圧倒的なメリットが存在するのでなければ、こうした工数をかける理由を付けられないのだが、現状WP7.5にそうしたメリットは見当たらない。残念ながらセミナーでもWP7.5自体のアピールはあったが、法人でWP7.5を採用すべきメリットはほとんど語られていなかったように思う。採用して良かった等のよくある企業事例もまだ存在しないため、自助努力をせざるを得ず、なかなかハードルは高い。念のため事例がないものか質問をしてみたが、先行していた海外にはソフトウェア構成管理も含めて実現した事例がないわけではないようなのだが、Microsoft的には積極的に紹介したいもの(方法?)ではないようで、あまり歯切れのいい回答はなかった。企業事例を書いたパワポの文書があるとのことで紹介はしてくれるそうだ。

 実際に前職(従業員2500人規模)で、全社一括での携帯電話運用の見直し&置き換えを業務として行ったことがあるが、ガラケですら結構大変だったので、スマートフォンでは更に輪をかけて大変だというのが実感を持って理解できる。当時よりも技術的手段が豊富な分、助かる面はあると思うが、WP7.5ではそうしたアドバンテージがないので、正直なところほとんどの企業担当者はWP7.5は検討対象にしないだろうと思われる。Microsoftもその辺は当然把握しており、構成管理のための System Center Configuration Manager 2012 を2012年1Qにリリース予定とのこと。PCや携帯を一括で管理できることでアドバンテージにしようとしている。Exchange ActiveSyncとの組み合わせで動作させるようなので、いろいろな構成要素を考えると小規模企業向きではないと思われるが、そうした取り組みが行われていることは少なくとも先に期待は持てる。個人的には法人での活用を目指すならば、People HUBに連携できる社内コミュニティ構築ソフト(SPSより容易で廉価なもの)と、People HUBでのメッセージ投稿先制御機能が必須だと感じたので、安心して業務コミュニケーションができる仕組み作りもMicrosoftには検討して欲しいと思う。

 ということで簡単にまとめると、WP7.5の法人利用を検討するならば人柱覚悟でどうぞ。2012年1Q以降なら会社を説得する好材料が少しは手に入るかもしれません。

, , , , ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...