iPhoneはビジネスをセキュアに進められるのかVPN、Exchange……iPhoneの“ビジネス度”を検証する

世界のスマートフォン市場を席巻したiPhone 3Gは、企業利用を1つの訴求ポイントとしている。だが実際に、ビジネス活用に足るセキュリティを確保できているのだろうか？　実機を用いて検証してみた。

[池田冬彦]

　2008年7月に発売されたiPhone 3Gが世間の注目を集めたのは記憶に新しい。発売当初はどこのショップも品切れ起こし、国内スマートフォン市場で久々にブームを巻き起こしたといえるだろう。この背景にはアップルのブランド力や宣伝戦略もあっただろうが、製品自体の先進性や革新性がなければ、ここまで多くのユーザーに支持されることはないはずだ。

　iPhone 3G（以下、iPhone）は、音楽もビデオも、電子メールもWebも楽しめるという、「エンターテインメント性の高い携帯電話」ととらえられがちだ。だが、実際にはスマートフォン市場を意識し、ビジネスユーザーに向けてIPsec VPN、およびMicrosoft Exchange Serverのサーバ同期機能である「ActiveSync」への対応を果たしている。これにより、ほかのスマートフォンと同様に、社内ネットワークへ携帯電話網や無線LAN経由でVPN接続し、メール、予定表、連絡先のプッシュ配信が可能になる。これらが一定のセキュリティ要件を満たし、企業でも安全に運用できるのかどうかを、詳しく見ていくことにしよう。

多彩なアプリケーションをそろえ企業向けの機能を拡充したiPhone 3G

PPTP／IPsec経由で社内リソースを利用

　iPhoneはソフトバンクモバイルの3G携帯網とIEEE 802.11b/gの無線LANに対応しており、VPNゲートウェイに対して、「L2TP over IPsec」「PPTP」および「IPsec（Cisco IPsec）」の3つのVPN方式で接続できる（表1）。今回は、最も一般的に利用されるPPTPとIPsecについて検証を行った。PPTPについては、筆者オフィスのLAN内に設置した検証用のMicrosoft Exchange Server 2007（以下、Exchange Server）とiPhoneとの接続を行った。

表1●iPhoneでサポートするVPNタイプと認証方式

　VPNの接続は非常に簡単だ。iPhoneでVPNの方式や接続先のアカウント、サーバアドレスなどを入力するだけでPPTP接続ができる（画面1a、1b）。この状態でExchange Serverを利用するためのメール設定を行えば、ActiveSyncでメール、予定表／連絡先の情報が常にiPhoneにプッシュされ、iPhoneでのメール送信や予定表／連絡先の更新情報がExchange Serverにも反映される（画面2a、2b）。

画面1a、1b●設定メニューから［メール］を選び、さらに［Microsoft Exchange］を選んでExchange Serverのアカウント情報を入力する

画面2a、2b●Exchange Serverと同期する項目をオンに設定すれば、メール、連絡先、カレンダー情報がiPhoneで利用できる。もちろん、iPhoneで加えた変更はExchange Serverにも反映される

　IPsec VPNの接続についても問題はない。今回の検証ではIPsec VPN経由でExchange Serverに接続するためのテスト環境が残念ながら用意できなかったが、社内メールサーバやイントラネットへのアクセスは問題なく行えた（画面3a、3b）。Exchange Serverへの接続に関して特別な設定は必要ないため、PPTP接続時と同様にActiveSyncが利用できるはずだ。

　Exchange ServerとのやりとりはすべてSSLで行うことができ、そのほかのメールについてもSSLメールが標準だ。iPhoneでアカウントを設定するときにSSLで接続できない場合は、「SSLで接続できません」という警告ダイアログが表示され、非SSLで接続することをキャンセルすることも可能だ。

画面3a、3b●VPN方式を選び、サーバアドレスやアカウントなどを入力して設定を行う。後は［VPN］をオンにするだけで社内LANに接続してリソースを利用できる

　なお、ActiveSyncを有効にすると、予定表や連絡先はiPhone標準のカレンダー／連絡先欄にExchange Serverの項目が追加され、PCと同期したデータと共存させた形で管理できる（画面4a、4b）。

画面4a、4b●Exchange Serverと同期するとカレンダー（予定表）に項目が追加され、カレンダー情報を参照できる。連絡先についても同様だ

　ただし、iPhoneはWindowsのエクスプローラに相当するファイル管理アプリケーションを備えておらず、メールに添付された5Mバイトまでのオフィス書類（Microsoft Office Word／Excel／PowerPoint）、PDF、画像ファイルなどは内蔵ビュワーで開いて確認する形で運用する（画面5a、5b）。または、社内Webサーバにアクセスし、Webブラウザでファイルを開くことも可能だが、ZIPなどの圧縮ファイルを開くことはできない（画面5c、5d）。

画面5a、5b●メールに添付されたMicrosoft Office Excelのファイル。下のファイル名の部分をタップするとデータが読み込まれ、内蔵ビュワーで開く

画面5c、5d●共有フォルダをWebサーバからアクセス可能にしておけば、iPhoneのブラウザでアクセスして開くことができる

　ちなみに、公衆無線LANサービスからもVPNは利用できるが、PPTP、IPsecともに、グローバルIPアドレスが払い出されるHOTSPOT、Mzoneなどの一部アクセスポイント（AP）でなければ正常に接続できない。IPsecではNATがIPアドレスを書き換えるので、「データが改ざんされた」ものとして破棄される可能性がある。また、PPTPでは、事業者側が払い出すプライベートIPアドレスと、ユーザーの接続先ネットワークが払い出すプライベートIPアドレスが混在し、PPTPトンネルが切断される可能性が高い（特集記事「意外と難しい!?　企業ユーザーの公衆無線LAN選び」を参照）。

無線LANの802.1X接続はかなり面倒

　無線LANの接続では、WPA／WPA2-PSKのほか、IEEE 802.1Xベースのエンタープライズモード（EAP）への対応がポイントとなる。iPhoneでは対応をうたっているものの、そのままで接続することはできない。アップルから提供されるMac OS X向けの「iPhone Configlation Utility」またはWindows向けの「iPhone Configuration Web Utility」を入手し、プロファイルを作成する必要がある。

　Windows向けのユーティリティはWebベースで動作する。この［Wi-Fi］カテゴリで、接続先に応じた認証方式や証明書に関する設定を行い、作成したプロファイルをメールに添付して送信する（画面6、7）。そして、そのメールをiPhoneで受信し、添付ファイルを開いて設定内容を適用させる（画面8a、8b）。接続先の環境ごとにプロファイルを作成・適用する必要があり、作業がかなり面倒だ。

　なお、公衆無線LANサービスで、APがIEEE 802.1Xに対応している場合、プロファイルを作成・適用させれば利用できる可能性はある。ただし現状、公衆無線LAN事業者ではiPhoneからのIEEE 802.1X接続を保証していない。

画面6●「iPhone Configuration Web Utility」をインストールし、Webブラウザから「http://localhost:3000」と入力し、［Wi-Fi］タブで設定を行う《クリックで拡大》

画面7●ポリシーの名前やIdentifierなどを設定して［Export Profile］をクリックしてプロファイルをファイルに書き出す《クリックで拡大》

画面8a、8b●添付メールで送信したプロファイルをiPhoneで開き、添付ファイルの部分をタップしてインストールを行う。［詳細］をタップすると内容を確認できる

Exchange Serverからリモートデータ消去が可能

　最後に、iPhoneのデータセキュリティについて見ていくことにしよう。iPhone内にはメールや連絡先などのデータをはじめ、受信した添付ファイルや、サードパーティー製ソフトを使って転送、保存したデータなど、たくさんのデータが暗号化されずに格納されている。これらは盗難や紛失時に簡単に第三者がアクセスできてしまう。

　4けたのパスコードで本体をロックする機能は備えているものの、パスワードによる保護とは異なり、コードが類推される可能性が高い。また、Jailbreakというクラック手法でiPhoneのプロテクトを解除すると、メモリ全領域のデータサルベージが可能となってしまう。

　しかし、Exchange Serverと同期していれば、「リモートワイプ」機能を使ってExchange Server管理コンソールから操作を行い、リモートでiPhone内の全領域のデータを消去することができる。機能を実行するとiPhoneの画面がリンゴマークに変わり、ワイプ作業が開始される（画面9、10）。この処理はバッテリー切れや強制再起動を行っても無効にならず、充電された時点、あるいは再起動してしばらくするとワイプ作業が再開されるので安心だ。

画面9●Exchange管理コンソールからワイプを実行したいユーザーを選び、［モバイルデバイスの管理］をクリックする《クリックで拡大》

画面10●［アクション］欄で［リモートワイプを実行...］を選んで［クリア］ボタンをクリックする。これでiPhoneに保存されていたすべての内容が消去されてしまう《クリックで拡大》

　このように、iPhoneはVPN接続、Exchange Serverとの連携など、ほかのWindows Mobile端末とほぼ同等のセキュリティレベルを保っているといえる。WebやメールアクセスもSSL暗号化で安全に行え、端末のデータ抹消もリモートで行える。また、iPhoneにはアップルが一定の基準で認定したサードパーティー製アプリケーションしかインストールできず、TelnetサーバやWebサーバといったサーバ用ソフトを勝手にインストールして外部から不正アクセスされる懸念も少ない。

　だが、iPhone利用時の本人認証や本体の暗号化、使用未許可の危険なソフトウェア利用に対するリモートチェック、マルウェア対策といった未解決の課題は残る。現状ではアクト・ツーが販売する仏Intego製「ウイルスバリア X5」でのスキャンは可能だが、Mac環境に接続した状態でしか実行できず、外出中のマルウェア感染は阻止できない。また、ユーザーが意図的にJailbreakを実行したまま利用すると、外部から不正アクセスされる恐れがある。この点は、システムやストレージ領域をロックしていないほかのスマートフォンにも当てはまる。現状では、慎重に運用するべきであり、今後のiPhone向けのセキュリティソフトの登場に期待したい。

本稿のまとめ

• VPNについては、ノートPCと同じようにPPTP／IPsecでの接続が可能。VPNで社内LANに接続して、Exchange ServerのActiveSyncを利用できる
• メール、WebについてはSSL通信で安全にやりとりできる。ただし、非SSLでの通信時（レンタルサーバのメールやISPのメール利用、あるいはExchange ServerでSSL通信をオフ設定している環境など）は、ノートPCと同様にVPNによる接続が望ましい
• IEEE 802.1X接続については標準で対応しておらず、プロファイルを作成する面倒さが生じる
• Exchange Serverからリモートワイプ機能を使って紛失・盗難に遭ったiPhoneのデータを完全に抹消できる。ただし、保存データは暗号化されておらず、アカウントによるユーザー認証機能も備えていないため、利用には十分な注意が必要

関連ホワイトペーパー

Exchange | VPN | SSL | 無線LAN | IEEE | Office 2007 | Apple | Cisco Systems（シスコシステムズ）