従業員にスマートデバイスを業務利用させる際は、端末内に業務データを残したくない――。こう考える企業は多いが、MDM製品だけでこうしたニーズを満たすのは難しい。その理由と、具体的な解決策を示そう。
スマートフォンやタブレットといったスマートデバイスがコンシューマーを中心に爆発的に普及し、企業でもビジネスへの活用を進めるケースが増えている。全社的に配布したり、私物端末の業務利用(BYOD)で従業員の私物を活用したりと、導入形態はさまざまだ。
だがいずれにおいても、利用者や管理者は、ある懸念を払拭できずにいる。それは言うまでもなく「セキュリティ」だ。TechTargetジャパンが2013年9月30日〜10月28日の期間に実施したアンケート調査でも、スマートデバイスの業務利用の懸念として、端末の紛失・盗難や情報漏えい、リモートアクセス時のセキュリティ、マルウェアといったセキュリティの懸念を挙げる回答者が多かった。
モバイルデバイスのセキュリティ対策として、よく耳にするのは「モバイルデバイス管理(MDM)」である。MDMは、社内に接続できるデバイスを統合的に管理する技術/製品で、「リモートワイプ(デバイス内のデータをリモート操作で削除する機能)」「リモートロック(リモート操作でデバイスを使えないようにする機能)」などのリモート管理機能が提供される。
もちろん、MDMのようにデバイスを統合的に管理できるシステムは重要だ。ただし弱点がないわけではない。それは、リモートワイプやリモートロック、その他のリモート管理機能を利用するには、「ネットワークに接続できる状態が前提」だという点だ。
例えば、悪意のある第三者が情報窃取を目的として従業員のスマートデバイスを手に入れた場合、MDMによるリモート制御から逃れるため、まずデバイスの電源を切ってSIMカードを抜くはずだ。そして、電波の届かないところでデバイスを再起動し、ゆっくりとクラックすることだろう。
またBYODを考慮した場合、私物のデバイスを厳密に管理されるのは抵抗があるという従業員も少なくないことも考慮すべきだ。個人データと業務データが混在する私物端末の場合、リモートワイプやリモートロックの実施は難しいのが現状だ。
MDMが持つこうした弱点をどう克服すればよいのだろうか。話は簡単で、スマートデバイスに重要なデータが残っていなければよいのである。スマートデバイスのセキュリティ対策で大きな懸念となるのが、重要なデータを保存した端末が盗難/紛失に遭ってしまうことだからだ。そのため、もし端末にデータを残さずにメールや基幹システムを扱うことができれば、こうした懸念は払拭できるはずだ。
ここで併せて押さえておきたいのが、企業で利用するアプリケーションのWeb化の進展である。クライアント/サーバ型のシステムからWebアプリケーションへ移行する動きに加え、SaaSを初めとするクラウドサービスの急速な充実が、企業でのWebアプリケーションの利用を後押ししている。Webアプリケーションであればデータは端末内に残らないように見えるが、一般的なWebブラウザの場合、キャッシュといった形でデータを端末内に保持するため、端末内にデータを完全に残さないようにするのは難しい。
こうした課題を解決する上で注目すべきなのが、「セキュアブラウザ」と呼ばれるセキュリティに配慮したWebブラウザだ。セキュアブラウザは、デバイスにデータを残さない仕組みを取ることで、Webアプリケーションを安全に利用できるようにする。
セキュアブラウザの代表例が、ソリトンシステムズのセキュアブラウザ「 Soliton SecureBrowser(以下、SecureBrowser)」である。SecureBrowserからのアクセスを制御するアプライアンスであるセキュアゲートウェイ「 Soliton SecureGateway(以下、SecureGateway)」との組み合わせで、安全なスマートデバイスの業務利用環境を構築する(図1)。
SecureBrowserは、スマートデバイス内に暗号化された領域(サンドボックス)を生成し、データをその中でのみ扱うWebブラウザだ。サンドボックスにあるデータは、他のアプリケーションからは一切アクセスできないため、安全性が保たれる。レンダリングなどの基本的な機能は、標準的なWebブラウザと同等であり、Webサイト側が接続するOSに応じた対応をしていれば、どんな業務システムでも安全に利用することができる。
エンドユーザーは、SecureBrowserからSecureGatewayへアクセスして認証をパスし、TLS暗号化通信を用いて、LANだけでなくインターネットへもSecureGateway経由で安全にアクセスできる。つまり社内システムだけでなく、「Google Apps」や「Office 365」といったクラウドサービスも、安全に利用できるというわけだ。
SecureGatewayからログアウトしたり、一定の操作を行うことで、サンドボックス内のデータは全て削除される。SecureBrowserから外部へのコピー&ペーストなども不可能であるため、スマートデバイスには一切のデータが残らない。SecureGatewayに接続することで共通ブックマークの情報を都度SecureBrowserへ送信し、ログアウト時には削除する仕組みにすることで、利便性を維持しつつ安全性を確保している(画面1)。
画面1 SecureGatewayで業務システムやインターネットサービスへの共通ブックマークを設定し、SecureBrowserへ配布できる。ログアウトすれば、デバイスからはブックマークのデータが削除される
BYODを含め、企業内で利用されるスマートデバイスが多様化する現状では、対応するスマートデバイスの種類の豊富さも製品選定の鍵となる。さらに、スマートデバイスを導入したとはいっても、既存のクライアントPCがすぐさまなくなるわけではない。根強い支持を集めるMacを数多く保有する企業も少なくないだろう。
その点、SecureBrowser/SecureGatewayは、iOSやAndroidなどのモバイルOSだけでなく、WindowsやMac OSでも利用可能であり、クライアントPC環境も同時に保護できるのが特長だ。
こうしたSecureBrowser/SecureGatewayのマルチデバイス対応の利点は、単に複数種類の端末で利用できることにとどまらない。例えば、まずはスマートデバイス向けにSecureBrowser/SecureGatewayを導入し、将来的にBCP対策や在宅勤務を採用する際にクライアントPCに利用範囲を広げたいと考える企業もあるだろう。こうしたさまざまな導入プロセスが実現可能なことも、マルチデバイスに対応したSecureBrowser/SecureGatewayの利点だといえる。
SecureBrowser/SecureGatewayによって盗難や紛失、盗聴などへの対策は万全となるが、より安全性に気を配りたいのであれば、「なりすまし」への対応を考慮するとよいだろう。
SecureBrowserは一般のアプリケーションと同様、Google PlayやApp Storeといったアプリケーションマーケットから容易に入手できる。もし従業員のID/パスワードとアクセス先(SecureGateway)の情報が窃取されてしまった場合、なりすましてアクセスされてしまう可能性は否定できない。特にBYODでは、設定を従業員に任せるケースもあることだろう。この場合でも、接続してよい端末とそうでない端末は、しっかりと管理者側で区別すべきだ。
こうしたケースで役立つのが、デジタル証明書を使って個体識別を実施できるプライベート認証局(CA)/RADIUSアプライアンス「NetAttest EPS」と、スマートデバイス向け証明書配布サーバ「NetAttest EPS-ap」である。
NetAttest EPSは、さまざまな無線LAN機器やVPN製品などと連携するため、スマートデバイス以外のシステムを含めた全社的なセキュアアクセスを実現できる。これにNetAttest EPS-apを組み合わせることで、携帯電話回線経由でも証明書を配布できるようになる。また有償オプションとして、MDM製品と同様のリモートワイプ/リモートロック機能を追加することも可能だ(図2)。
なお、SecureGateway、NetAttest EPS、NetAttest EPS-apの3製品は、2013年12月以降VMware環境向けの仮想アプライアンスとしての提供も予定している。社内のネットワーク/システム環境に合わせて選択的に導入できるのも魅力だといえるだろう。
企業のビジネス環境は大きく変化しつつある。それは一本道ではなく、デスクトップPCやノートPC、スマートデバイスと細かく枝分かれしていく道だ。スマートデバイスにとってMDMやウイルス対策はもちろん重要だが、データ保護の観点からは完全とはいえない。そもそもデータを残さないという根本的な解決策をマルチデバイスへ提供するSecureBrowser/SecureGatewayを組み合わせ、セキュリティ対策の底上げを図っていただきたい。
スマートデバイスを活用することで業務改革や働き方の改革をしたい企業は多い。その一方で欠かせないセキュリティ対策を実現すために必要な要素とは?
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2013年12月27日
ITmediaはアイティメディア株式会社の登録商標です。
図1 SecureGatewayを介してSecureBrowserから社内外にアクセスできるようになる
図2 NetAttest EPSを組み合わせてスマートデバイスの個体識別を実施すれば、より強固なリモートアクセス環境を実現できる