ネットワーク上の携帯端末検出をめぐる新たなチャレンジ：仮想化の利用も有効

社員が私物のノートPCやスマートフォンで会社のネットワークに接続するのを禁止するのは難しい。そうした接続を管理する方法を幾つか紹介しよう。

[Lisa Phifer，TechTarget]

　社内のネットワークに接続するデバイスがローカル環境であれリモート環境であれ、あるいは固定されたものであれ携帯できるものであれ、それらをコントロールすることは非常に重要だ。多くの企業では、モバイルアクセスを制限するためにアプリケーションポータル、メールサーバ、VPNゲートウェイなどを使用するだけでなく、抜け穴からの侵入を捕捉するためにIPS（不正侵入防御システム）も利用している。こういったテクニックが有効な場合もあるが、今日のモバイルデバイスは新たなチャレンジを課しており、なお一層の警戒が必要だ。

情報漏えいを監視する

　先ごろ開催された「Mobile Wireless Summit」でGartnerの上級アナリスト、ジョン・ジラード氏は、特に会社の許可なく業務データにアクセスしたり業務データを保存したりするPDAやスマートフォンなどの携帯端末を検出する方法についてアドバイスした。

　ジラード氏は最初のステップとして、すべてのデスクトップPCとノートPCを検査し、許可されていない同期化ソフトウェアが組み込まれていたり、過去に同期化動作を行ったりしていないかチェックするよう勧めた。「SMSやLANDeskのようなツールを使っているのであれば、こういったデスクトップインベントリを簡単に作成することができる」と同氏は語る。

　これで終わりではない。会社で受信した電子メールを自分の携帯端末に転送するユーザーがいるかもしれないからだ。「個人のBlackBerryやWindows Mobileベースのスマートフォンでは、電子メールの転送を外部のISP（インターネットサービスプロバイダー）に簡単にセットアップできる。会社がこれを検出する手段を持っていなければ、把握することさえできない」とジラード氏は指摘する。

　「この抜け穴をふさぐ方法として、ジラード氏は社内のサーバとデスクトップを検査し、電子メールや通話がイレギュラーなあて先に転送されている兆候がないか調べるようアドバイスしている。「ソフトウェア配布・インベントリ管理システムを利用すれば、こういった設定が社内規定に違反した場合、それを検出することができる」と同氏は話す。「あるはずのないアプリケーションが存在したり、誤った構成になっていたりしていないかチェックし、こういったポリシー違反をやめさせるための手順を確立すること。それらを禁止する理由の説明には、ヘルプデスクの協力も仰ぐとよい」

エッジ部分のセキュリティを拡張する

　ジラード氏は、新しい携帯端末がもたらすリスクを軽減するために、既存のネットワークエッジシステムを利用するようアドバイスした。

　「携帯電話の機能がインテリジェント化するのに伴い、無線経由でのソフトウェアアップデートや単純なスクリプティング攻撃などの攻撃経路が増えてくるだろう。これらはいずれも、コンテンツを配信するのにサーバを経由する」とジラード氏は指摘する。「企業は、悪質コンテンツに対する防護対策として、同期化サーバ、ワイヤレスアプリケーションゲートウェイ、外部のワイヤレスネットワークサービスのプロバイダーに投資すべきだ」

　リスクを軽減するには、ネットワークエッジサーバとゲートウェイを使ってモバイルデバイスからのネットワークアクセスをすべてフィルタリングするとともに、スプリットトンネリング（※注）を許可するポリシーの利用は避ける必要がある。「携帯端末のリスクを軽減する最良の方法は、すべてのアプリケーションをサーバ上に置くことだ。「端末をセキュアにできないのであれば、ローカルデータを一切端末内に保存させないようにすべきだ」とジラード氏は話す。

※注：VPNと、インターネットなどVPN以外のネットワークに同時にアクセスできるようにすること

　セキュリティインフラが整っていない中小企業でも、セキュアなコミュニケーションサービスを調達することにより、このアプローチを実装することが可能だ。「端末の暗号化と管理機能をキャリアから調達した上で、さらに携帯通信サービスに対してマルウェアをフィルタリングするよう要求すればいい」（同氏）。

非管理デバイスに対処する

　ジラード氏によると、リスクに関して極めて保守的な企業の内部にもユーザーが所有する端末が入り込んでいるという。現実から目をそむけていても仕方がない。それよりも、このリスクを評価し、対処する取り組みを開始すべきだ。

　既に多くのITマネジャーが個人用のPDAやスマートフォンの業務利用に懸念を抱いているが、Gartnerによると、従業員は個人用ノートPCも会社で使うようになってきたという。「誰がノートPCに関する会社の方針から逸脱しているかという調査をまだ行っていないのであれば、今すぐ実施すべきだ。ソーシャルゲーム（モノポリーなど社会性のあるゲーム）を動作できるようにするために、セキュリティ機能が組み込まれる前に作成された復元ポイントにシステムをロールバックする方法は子どもでも知っている。そのゲームがマルウェアの温床になっている可能性もあるのだ」とジラード氏は語る。

　ユーザーが所有する端末やそのほかの非管理端末（自宅のPCなど）によるアプリケーションへのアクセスを許可するには、「クライアントレス」のSSL VPNを利用するという方法がある。クライアントレスソリューションは制約が多いのに対して、SSL VPNベースの「シンクライアント」を利用すれば、広範なアプリケーションアクセスを提供できる。その場合、ユーザーの端末を事前に検査しておくことが望ましい。最近では、いずれの手法もネットワークアクセスコントロール（NAC）ソリューションに組み込まれるようになってきた。これらのソリューションは、ユーザー認証とエンドポイントのアイデンティティーおよび健全性を組み合わせることにより、適切なアクセスレベルを決定する。

　しかし、信頼できる既知の端末と、それを意図的に模倣した別の端末を区別するのが難しいこともあるとジラード氏は警告する。「正規の端末のクローンを検出するのが非常に困難な場合もある。しかし、レジストリキーを検査したり、NIC（ネットワークインタフェースカード）のMACアドレスなどのハードウェア属性を確認するといった方法でチェックすることは可能だ」と同氏は言う。

仮想化を利用する

　SSL VPNの中には、非管理端末上でセキュアな仮想環境を作成できるものもある。これは基本的に暗号化されたコンテナであり、その中で信頼されたアプリケーションを動作させ、社内データを使用するという形になる。

　「これは正しい方向へのステップだ」とジラード氏は話す。しかしユーザーが所有する端末によるリスクを管理するのに最も良い方法は、会社が管理する「仮想PC」を配備することかもしれない。例えば、VMwareやMoka5の製品を使えば、個人のノートPC上に企業の標準的なデスクトップ環境を作成できる（ただしPDAやスマートフォンには対応しない）。

　仮想化を利用すれば、IT部門は業務で使用するコンピューティング環境をきめ細かく管理することができ、携帯端末が個人的な目的で使用されるときでも、これらの端末への影響が少なくて済む。要するに、セキュアな仮想環境は、従業員が社内ネットワークにアクセスするのにどのような携帯端末を利用しているかにかかわらず、リモートで仕事をすることを可能にするのだ。

　このシナリオの場合、少なくともハードウェアに関するかぎり、携帯端末の検出の重要性はずっと低くなる。しかし、各ユーザーの実行環境を確実に検出・特定し、これらの環境が健全であり、自社のセキュリティポリシーに準拠していることを確認する必要はある。要するに、包装紙は何でもいいのだ。本当に大事なのはその中身なのである。

本稿筆者のライザ・ファイファー氏は、ネットワークセキュリティおよび管理技術を専門とするコンサルティング会社、Core Competenceの副社長を務める。ファイファー氏は20年余りにわたり、データ通信、インターネットワーキング、セキュリティ、ネットワーク管理製品の設計、導入、評価に携わってきた。各種の業界カンファレンスで無線LANやVPNなどのテーマについて講演を行っており、広範なIT関連メディアにネットワークインフラやセキュリティ技術に関する記事を寄稿している。

関連ホワイトペーパー

VPN | SSL | アクセス制御