ネットワーク上の携帯端末検出をめぐる新たなチャレンジ仮想化の利用も有効

社員が私物のノートPCやスマートフォンで会社のネットワークに接続するのを禁止するのは難しい。そうした接続を管理する方法を幾つか紹介しよう。

2008年06月12日 07時30分 公開
[Lisa Phifer,TechTarget]

 社内のネットワークに接続するデバイスがローカル環境であれリモート環境であれ、あるいは固定されたものであれ携帯できるものであれ、それらをコントロールすることは非常に重要だ。多くの企業では、モバイルアクセスを制限するためにアプリケーションポータル、メールサーバ、VPNゲートウェイなどを使用するだけでなく、抜け穴からの侵入を捕捉するためにIPS(不正侵入防御システム)も利用している。こういったテクニックが有効な場合もあるが、今日のモバイルデバイスは新たなチャレンジを課しており、なお一層の警戒が必要だ。

情報漏えいを監視する

 先ごろ開催された「Mobile Wireless Summit」でGartnerの上級アナリスト、ジョン・ジラード氏は、特に会社の許可なく業務データにアクセスしたり業務データを保存したりするPDAやスマートフォンなどの携帯端末を検出する方法についてアドバイスした。

 ジラード氏は最初のステップとして、すべてのデスクトップPCとノートPCを検査し、許可されていない同期化ソフトウェアが組み込まれていたり、過去に同期化動作を行ったりしていないかチェックするよう勧めた。「SMSやLANDeskのようなツールを使っているのであれば、こういったデスクトップインベントリを簡単に作成することができる」と同氏は語る。

 これで終わりではない。会社で受信した電子メールを自分の携帯端末に転送するユーザーがいるかもしれないからだ。「個人のBlackBerryやWindows Mobileベースのスマートフォンでは、電子メールの転送を外部のISP(インターネットサービスプロバイダー)に簡単にセットアップできる。会社がこれを検出する手段を持っていなければ、把握することさえできない」とジラード氏は指摘する。

 「この抜け穴をふさぐ方法として、ジラード氏は社内のサーバとデスクトップを検査し、電子メールや通話がイレギュラーなあて先に転送されている兆候がないか調べるようアドバイスしている。「ソフトウェア配布・インベントリ管理システムを利用すれば、こういった設定が社内規定に違反した場合、それを検出することができる」と同氏は話す。「あるはずのないアプリケーションが存在したり、誤った構成になっていたりしていないかチェックし、こういったポリシー違反をやめさせるための手順を確立すること。それらを禁止する理由の説明には、ヘルプデスクの協力も仰ぐとよい」

エッジ部分のセキュリティを拡張する

 ジラード氏は、新しい携帯端末がもたらすリスクを軽減するために、既存のネットワークエッジシステムを利用するようアドバイスした。

 「携帯電話の機能がインテリジェント化するのに伴い、無線経由でのソフトウェアアップデートや単純なスクリプティング攻撃などの攻撃経路が増えてくるだろう。これらはいずれも、コンテンツを配信するのにサーバを経由する」とジラード氏は指摘する。「企業は、悪質コンテンツに対する防護対策として、同期化サーバ、ワイヤレスアプリケーションゲートウェイ、外部のワイヤレスネットワークサービスのプロバイダーに投資すべきだ」

 リスクを軽減するには、ネットワークエッジサーバとゲートウェイを使ってモバイルデバイスからのネットワークアクセスをすべてフィルタリングするとともに、スプリットトンネリング(※注)を許可するポリシーの利用は避ける必要がある。「携帯端末のリスクを軽減する最良の方法は、すべてのアプリケーションをサーバ上に置くことだ。「端末をセキュアにできないのであれば、ローカルデータを一切端末内に保存させないようにすべきだ」とジラード氏は話す。

※注:VPNと、インターネットなどVPN以外のネットワークに同時にアクセスできるようにすること

 セキュリティインフラが整っていない中小企業でも、セキュアなコミュニケーションサービスを調達することにより、このアプローチを実装することが可能だ。「端末の暗号化と管理機能をキャリアから調達した上で、さらに携帯通信サービスに対してマルウェアをフィルタリングするよう要求すればいい」(同氏)。

非管理デバイスに対処する

 ジラード氏によると、リスクに関して極めて保守的な企業の内部にもユーザーが所有する端末が入り込んでいるという。現実から目をそむけていても仕方がない。それよりも、このリスクを評価し、対処する取り組みを開始すべきだ。

 既に多くのITマネジャーが個人用のPDAやスマートフォンの業務利用に懸念を抱いているが、Gartnerによると、従業員は個人用ノートPCも会社で使うようになってきたという。「誰がノートPCに関する会社の方針から逸脱しているかという調査をまだ行っていないのであれば、今すぐ実施すべきだ。ソーシャルゲーム(モノポリーなど社会性のあるゲーム)を動作できるようにするために、セキュリティ機能が組み込まれる前に作成された復元ポイントにシステムをロールバックする方法は子どもでも知っている。そのゲームがマルウェアの温床になっている可能性もあるのだ」とジラード氏は語る。

 ユーザーが所有する端末やそのほかの非管理端末(自宅のPCなど)によるアプリケーションへのアクセスを許可するには、「クライアントレス」のSSL VPNを利用するという方法がある。クライアントレスソリューションは制約が多いのに対して、SSL VPNベースの「シンクライアント」を利用すれば、広範なアプリケーションアクセスを提供できる。その場合、ユーザーの端末を事前に検査しておくことが望ましい。最近では、いずれの手法もネットワークアクセスコントロール(NAC)ソリューションに組み込まれるようになってきた。これらのソリューションは、ユーザー認証とエンドポイントのアイデンティティーおよび健全性を組み合わせることにより、適切なアクセスレベルを決定する。

 しかし、信頼できる既知の端末と、それを意図的に模倣した別の端末を区別するのが難しいこともあるとジラード氏は警告する。「正規の端末のクローンを検出するのが非常に困難な場合もある。しかし、レジストリキーを検査したり、NIC(ネットワークインタフェースカード)のMACアドレスなどのハードウェア属性を確認するといった方法でチェックすることは可能だ」と同氏は言う。

仮想化を利用する

 SSL VPNの中には、非管理端末上でセキュアな仮想環境を作成できるものもある。これは基本的に暗号化されたコンテナであり、その中で信頼されたアプリケーションを動作させ、社内データを使用するという形になる。

 「これは正しい方向へのステップだ」とジラード氏は話す。しかしユーザーが所有する端末によるリスクを管理するのに最も良い方法は、会社が管理する「仮想PC」を配備することかもしれない。例えば、VMwareやMoka5の製品を使えば、個人のノートPC上に企業の標準的なデスクトップ環境を作成できる(ただしPDAやスマートフォンには対応しない)。

 仮想化を利用すれば、IT部門は業務で使用するコンピューティング環境をきめ細かく管理することができ、携帯端末が個人的な目的で使用されるときでも、これらの端末への影響が少なくて済む。要するに、セキュアな仮想環境は、従業員が社内ネットワークにアクセスするのにどのような携帯端末を利用しているかにかかわらず、リモートで仕事をすることを可能にするのだ。

 このシナリオの場合、少なくともハードウェアに関するかぎり、携帯端末の検出の重要性はずっと低くなる。しかし、各ユーザーの実行環境を確実に検出・特定し、これらの環境が健全であり、自社のセキュリティポリシーに準拠していることを確認する必要はある。要するに、包装紙は何でもいいのだ。本当に大事なのはその中身なのである。

本稿筆者のライザ・ファイファー氏は、ネットワークセキュリティおよび管理技術を専門とするコンサルティング会社、Core Competenceの副社長を務める。ファイファー氏は20年余りにわたり、データ通信、インターネットワーキング、セキュリティ、ネットワーク管理製品の設計、導入、評価に携わってきた。各種の業界カンファレンスで無線LANやVPNなどのテーマについて講演を行っており、広範なIT関連メディアにネットワークインフラやセキュリティ技術に関する記事を寄稿している。


関連ホワイトペーパー

VPN | SSL | アクセス制御


Copyright © ITmedia, Inc. All Rights Reserved.

鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス

事例 NTTドコモビジネス株式会社

5つの事例に学ぶ、多店舗ビジネスにおけるネットワーク運用課題の解消方法

多店舗展開を行う企業では、ネットワークの構成や運用ルールが店舗ごとに異なるケースが多く、管理の煩雑さや故障発生時の対応遅延などの課題を抱えがちだ。このような課題の解決策を、5つの事例から探る。

製品資料 NTTドコモビジネス株式会社

出社したのに接続できず遅刻? インターネット回線のトラブルをなくすには

「出社しているのに業務クラウドに接続できず打刻ができない」「オンライン会議が落ちてしまう」など、インターネット回線に関するトラブルは今も後を絶たない。そこで注目したいのが、法人向けに設計された高速インターネットサービスだ。

事例 NTTドコモビジネス株式会社

通信回線の逼迫をどう乗り越えた? 建設現場におけるネットワーク最適化事例

建設現場では、データの大容量化に伴う通信回線の逼迫が業務の障壁となるケースが増えている。本資料では、ネットワークの再構築により通信環境を最適化し、意思決定の迅速化や安全対策の高度化を実現した企業の事例を紹介する。

事例 NTTドコモビジネス株式会社

OS更新時の帯域逼迫とセキュリティ課題を解消、事例に学ぶネットワーク刷新術

セキュリティ対策に不可欠なWindows Updateだが、複数店舗・拠点を構える企業では回線が逼迫する要因であり、業務の停滞につながる大きな問題だ。あるアパレル小売チェーンの事例から、ネットワークの抜本的な改善策を紹介したい。

製品資料 NTTドコモビジネス株式会社

IT人材がいなくても大丈夫、工事不要で高速なWi-Fi環境を構築する方法

Wi-Fi環境は、業務の効率化や柔軟な働き方を支える重要な存在だ。しかし、従来の固定回線型Wi-Fiには、工事の手間や設置の制約といった課題がつきまとう。そこで注目したいのが、工事不要で導入できるWi-Fi製品だ。

アイティメディアからのお知らせ

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ネットワーク上の携帯端末検出をめぐる新たなチャレンジ:仮想化の利用も有効 - TechTargetジャパン ネットワーク 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...