PCやスマートフォン、タブレットと社内ネットワークに接続されるデバイスの種類と数は増えるばかり。複数デバイスをセキュアに、そして効率的に接続させるにはどうすればいいのだろうか。
スマートフォンやタブレットなどスマートデバイスの利用者数が急増し、私物端末を社内ネットワークに接続したいというニーズも増えている。ただ、私物端末を業務に利用する「BYOD」(Bring Your Own Device)には、セキュリティ対策やデバイス管理などの課題が多い。
ネットワーク環境で特に問題となるのは、今後どのようなデバイスが社内ネットワークにつながってくるのか予測できないことだ。現在はクライアントPCやスマートフォン、タブレットの接続を想定しておけば事足りるかもしれないが、今後は別のデバイスの接続要求がくるかもしれない。大切なのは社内ネットワークの保護を対象とした、体系的で複合的なセキュリティ対策だ。お勧めの対策を紹介する。
「バズワードというだけでBYODを導入しようとするから、混乱する」と、ソリトンシステムズのプロダクトマーケティング部 プロダクトマネージャ 宮崎洋二氏は話す。その上で「正しい手順に従えばBYODも可能だ」と説明する。
宮崎氏が提案する手順は、3ステップに分けられる。
1ステップ目は、情報漏えいや不正アクセスなどのセキュリティリスクを書き出し、1つずつ対策を考えることだ。例えば社内で利用する場合は無線接続が中心になるので、IEEE802.1XやID/パスワード(ワンタイムパスワード含む)などの各種認証が考えられる。社外からの接続の場合はゲートウェイ経由で社内リソースにアクセスすることから、リモートVPNや各種認証技術を検討する。
ここで重要なのは、可能な限り特定デバイス専用のセキュリティ対策を実施しないことだ。「デバイスやワークスタイルが登場するたびにシステムを追加していては、管理が煩雑になる」。宮崎氏はそう指摘し、あらゆるデバイスに対応可能な、標準化されたセキュリティ技術の採用が成功の鍵と話した。
2ステップ目は、接続する端末を把握し、確実に管理することだ。私物端末も含めて管理することで、トラブル時のサポートが円滑に行える。
最後の3ステップ目では、さらなる業務効率化や生産性向上のためにビジネスツールを入れる。「インフラとルールを固めておけば、ツールの取捨選択も明快になり、導入から運用までが効率的になる」(宮崎氏)
では、既存PCにもスマートデバイスにも対応する、標準化されたセキュリティ技術とは何か。それはデジタル証明書による認証だ。現在ほとんどのスマートデバイスはデジタル証明書をサポートしている。
ただ、デジタル証明書を使うには、企業が独自にCA(認証局)やRADIUSサーバを構築するか、第三者認証局としてPKIを利用する必要がある。前者は証明書の発行や運用の負担が大きく、後者は高額だ。
ソリトンシステムズの認証アプライアンス「NetAttest EPS」は、こうした運用負担や管理問題を解決し、認証ソリューションを簡単に実現するための仕組みを提供する。同製品は、RADIUS機能、ワンタイムパスワード認証機能、プライベートCA機能を備えたアプライアンス製品だ。ネットワークに導入すれば、有線/無線/VPN問わず一元的な認証ソリューションを適用できる。
スマートデバイスの業務活用が発展途上にあることを考えると、数年先の状況を的確に予測することは困難だ。その時々の状況に合わせて拡張していくことになるだろう。必然的にスマートデバイスの導入を意識したシステム構築では拡張性や柔軟性が重要になる。このような要件に対してもNetAttest EPSは有効だ。ユーザー数の段階的な増加やセキュリティレベルの見直しに対応できる。
例えば、「システム部門内で数十台規模の調査利用をする。その後、営業部門や役職者を対象に数百台規模で拡大、最終的には数千台の全社利用につなげる」という場合にも、初期で購入した機器を無駄にすることはない。また、セキュリティレベルに関しても、ID/パスワードのみから、MACアドレス認証、デジタル証明書、ワンタイムパスワード、さらにそれらを組み合わせるなど、セキュリティ方針に沿った変更も容易だ。
NetAttest EPSの魅力の1つは信頼性の高さだ。NetAttest EPSを2台用意することでホット/ホットの冗長構成を組める他、複数サイトで親機と子機による分散構成にすることも可能だ。「設定内容のフルバックアップは2分程度で完了し、マスターとスレーブ間で同期される。操作は手動と自動に対応する」(宮崎氏)。認証は社内ネットワークを使うための重要な仕組みで、長時間の障害は許されない。NetAttest EPSは高い信頼性と運用性で、ネットワークの可用性を維持する。
デバイス数が増加し、証明書の配布からユーザーの利用開始までの運用負荷をさらに軽減したい場合は、オプションの「NetAttest EPS-ap」が利用できる。同製品は、ユーザーがデバイスの登録申請を行い、管理者が承認した後に証明書をインポートできるようにするワークフローシステムを提供する。インポート時には設定プロファイルが自動適用され、パスコードポリシーやWi-Fi/VPNクライアントの設定、業務の上で不適切な各種機能の使用禁止/制御が有効になる。
新バージョンのv1.2では、リモートワイプやリモートロックなどのMDM機能が追加される他、あらかじめ登録されたIMEI(端末識別番号)を参照しながら自動承認できるようになる。接続させる端末を選別するのに有効だ。
本格的なBYOD導入に向けてのアプリケーションも用意されている。ソリトンシステムズの「DME」(Dynamic Mobile Exchange)は、スマートデバイス内に暗号化された「セキュア・コンテナ」を作って、その中でのみ業務データを扱えるようにする製品。電子メールやスケジューラ、連絡先、ToDoなどの機能が用意されており、私的なスマートデバイス内にビジネス用の環境を構築できる。セキュア・コンテナ内のデータやサーバとの通信は暗号化される。VPNクライアントやVPNシステムを別途導入する必要はない。
万一の紛失・盗難時は、組み込まれたMDM機能を使って管理サーバからデバイスの初期化ができる。また、セキュア・コンテナ内のデータを指定して消去することも可能だ。「BYODでは業務データは確実に消したいが、プライベートの思い出の写真は消したくないといったことがよく課題になる。セキュア・コンテナであれば公私の領域が分かれているので、データ消去の判断の迷いはなくなる」(宮崎氏)
なお、9月にリリースされたDMEの最新版では、セキュア・コンテナ内で動作するHTML5対応のWebブラウザが追加される。これによって自社開発のWebアプリケーションの稼働も可能になる。
iPhoneやiPad、Android端末といったスマートデバイスの普及で、企業内端末の多様化が急速に進んでいる。そうした中、無線LANやVPNなど、社内LANの入り口で「利用者」や「端末」を認証することがより一層重要になってきている。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
今や避けては通れないスマートデバイスの導入。新しい分野であるため数年先の状況が掴みづらく、導入計画の策定が困難な場合が多々ある。本資料では段階的に導入できる認証アプライアンス「NetAttest EPS」を例に導入を進めるための手順を紹介する。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
認証作業を一元管理するNetAttest EPS
DMEの仕組み