2021.06.07

ビジネス

構成プロファイルの削除を防止する方法とは?

「構成プロファイル」という言葉をご存じでしょうか? 生活する上ではあまり聞き覚えのない言葉ですが、あなたの手にするiPhoneやiPadといったApple社提供のデバイスにも構成プロファイルはインストールされています。
普段何気なくスマートフォンが使えるのも構成プロファイルのおかげとも言えます。

また、この構成プロファイルは利用者自ら削除し再設定することも可能ですが、中には悪用を目的とした使い方をされることもあります。

今回は構成プロファイルがどのような役割をしているのか、また削除された場合とその防止策についてご紹介したいと思います。

MDM導入のご検討・ご相談はこちら

構成プロファイルとは?

主にAppleのiOS・iPadOSで各種設定が記載された情報ファイル(XML形式)を構成プロファイルと呼びます。
具体的には、Wi-Fi設定やWEBコンテンツのフィルタリング、電子メール、パスコード設定など、様々な情報をファイル内に含めることができます。これはごく一部であり、細かなものを含めると数百以上あるとされています。
お手元にiOSの端末がある方は試しに設定されているか確認してみましょう。

iOSの構成プロファイル

iPhoneの「設定」から[一般]→[プロファイル]を開くと、読み込まれている構成プロファイルを確認できます。

構成プロファイルは複数台の一括設定に便利

構成プロファイルはXML形式のため、ダウンロードやメール送付など共有することができます。同じ構成プロファイルを複数の端末に適用することで、複数の端末に対してすべて同じ設定にすることが可能です。こうした構成プロファイルの活用は、企業の社用携帯やPC、学校では学習用タブレットなど、数が数十〜数百以上になる場合に効率的な設定に役立ちます。
なお、後に記載するMDMを利用することでより効果的に、かつセキュアな設定・運用が可能になります。

構成プロファイルが削除されるとどうなる?

前項で構成プロファイルの確認をした人は気づいたと思いますが、プロファイルを開くと「プロファイルを削除」のボタンがあります。これをタップし、端末のパスコードを入力すればプロファイルの削除ができてしまいます。では、プロファイルを削除するとどういったことが起きるのでしょうか?

基本的には削除しない

あくまで一般的にですが、個人で利用している場合は基本的に構成プロファイルを削除する必要はありません。
仮に削除してしまうと、今まで端末に設定されていた情報が消えてしまうため、不便と感じるケースが多いでしょう。

なお、格安SIMに乗り越え(MNP)をした経験がある人ならわかるかもしれませんが、構成プロファイルはAPN設定(※)で必要となります。APN設定をしなければ、基地局へのアクセスができずインターネットの利用ができなくなりますので、こういった場面でも構成プロファイルの有用性が確認できます。

※ APN‥Access Point Name(アクセスポイント名)

悪用される恐れがある

構成プロファイルは再設定と削除が容易にできることから、悪用されてしまう場合もあります。
例えば、企業から配布された社用スマホで考えてみましょう。
このスマホには会社が定めたルール(ポリシー)で、機能制限やネットワークなどの設定がされているとします。情報収集のためWEBを検索してますがみたいサイトにフィルタリングがかかっていて閲覧することができません。そこで構成プロファイルを削除し、そのWEBサイトが閲覧できるようにしました。
このように、構成プロファイルを利用者が削除した時点で、企業のルールに反した利用ができるようになってしまいます。同時に、構成プロァイルを削除することで、企業がMDMなどの資産管理(端末管理)をしていても、管理下から外れた端末には遠隔から確認・制御することができなくなります。こうすることで、利用者は簡単に管理下の制限を解除でき、場合によっては機密情報の抜き出しといった悪用までもが簡単に出来てしまいます。

プロファイル削除

他にも信頼性の低いサイトや相手から、構成プロファイルを取得し、誤って設定してしまった場合、マルウェアへの感染や情報の盗み見・改ざん、フィッシングWEBサイトへの誘導などの被害もあります。もちろんですが、プロファイルを削除した端末へ再設定する場合は、端末を回収する手間やコストも発生します。つまり、構成プロファイルの削除や再設定が利用者側で簡単にできる状況は、企業や組織で端末管理をする上で、悪用などのリスクと隣り合わせになっていると言ってもよいでしょう。

では、構成プロファイルの削除は単に「気を付ける」方法以外にはないのでしょうか。




MDM導入のご検討・ご相談はこちら

構成プロファイル削除の防止策

簡単に削除できてしまう構成プロファイルですが、削除できない設定にすることも可能です。
ここでは構成プロファイルの削除防止の「端末条件」と、具体的な2つの方法を紹介します。

端末条件:「監視対象」であること

削除できない構成プロファイルを設定するには、Apple社のプログラムであるADE(旧:DEP)を利用する必要があります。またその利用のためには端末が「ADE端末」である必要があります。ADE端末は「監視対象」というモードに設定することができ、より厳密な制限が行えるようになり、セキュアで柔軟な管理が可能になります。
詳しくはこちらの記事で紹介しています。

ADE端末の入手には2通りの購入方法があります。

  1. ADEに対応している販売店から端末を購入する
  2. ー Apple Storeから法人として端末を購入する

では、すでに端末を所有している端末が「ADE端末」ではない場合はどうしたらいいでしょうか。潔く購入し直すことはもちろんですが、コストがかかってしまいますよね。

そこで、Apple社の無償提供している「Apple Configurator2(以下、AC2)」を使うことでADE端末にすることが可能です。詳細はこちら
※これらの手続きを当社では「 マニュアルADE 」や「 後付けADE 」と呼称しています。

方法1:Apple Configurator2 を使用する

ここからは、構成プロファイルの削除を防止する具体的な方法について解説していきます。

1つ目は、前項でも少し触れたAC2を使用する方法です。AC2を利用することで、構成プロファイルの削除防止が可能になりますが、厳密には「削除ボタン」が表示されなくなります。
AC2での細かな設定は割愛しますが、AC2をインストールしたMacを用意し、そこにUSBで端末を接続することで設定することが可能です。
注意しておきたいのが、AC2を利用する場合先に記載した通り「有線で接続」が必要となります。
言い換えると「無線での接続ができない」ため、端末の状況を遠隔から確認することや、設定変更などもできないため、都度デバイスを回収する必要があります。
そのため大規模な運用、拠点などが点在するような企業では人や物の行き来でコストが発生することになります。

方法2:MDMを使用する

先のAC2での設定と同様に、MDM(モバイルデバイス管理)を使うことで構成プロファイルの削除防止が可能になります。MDMは様々な企業が提供していますが、ADEに対応したMDMあることが必要となります。
当社mobiconnectはADEに対応しております。

MDMの利用は、AC2と比較してしまうと「有償」であることが唯一のデメリットとなりますが、なにより「無線」で端末を制御できる点が後々の運用で大きなコストメリットをもたらします。
先のAC2のように設定変更やアプリ配信などをする際に、わざわざ端末を手元に集める必要もありません。また数台から数千、数万と端末の規模に限らず一括管理ができるため、人海戦術のようなコストも不要になります。

また「プロファイルの強制」という設定を行なっておくことで、万が一端末を初期化されてしまっても初期化前の状態にもどるため、構成プロファイルが書き換えられる心配もありません。

このようにMDM+ADEでの端末管理は「削除できない構成プロファイル」の他、キッティングの効率化、セキュリティの向上など様々なメリットをもたらします。
詳しくはこちらの記事で解説しています。

Apple Configuratr・MDM




まとめ

今回は「構成プロファイル」に関してその特徴と、削除・防止策に関して解説してきました。
構成プロファイルがあることで日々安全に、かつ快適に端末利用ができています。一方で昨今の悪用の手口は巧妙になってきており、信頼性の低いサイトからの構成プロファイルの取得には十分気をつけましょう。

また昨今のリモートワークの推進やICT教育の広がりなど、企業や学校での端末利用が広がっています。
構成プロファイルの設定はもちろん、日々の活用する中で設定変更やアプリの配信など柔軟な管理が求められます。
当社は端末管理の導入から運用までノウハウが豊富にございます。
端末導入がこれから、導入してるけど活用が進んでいないなど、お客さまの状況に合わせたご提案をさせていただきます!
お気軽にお問い合わせください。