携帯端末からのネットワーク接続を規制するには:ゲートの守りを固めよう
企業の資産を守るため、遠く離れた場所から会社のサーバやデータにアクセスする携帯端末を検出し、管理するための方法を紹介する。
ネットワークに接続しているデバイスを把握することは、企業の資産やデータのプライバシーを守るために重要だ。遠く離れた場所から会社のサーバやデータにアクセスする携帯端末を検出するには、どうしたらいいのだろうか。
デスクトップとの同期
多くの携帯端末の場合、会社のサーバまたはデスクトップとの定期的なデータの同期化が会社との主要な「接触ポイント」となる。10年前、米Palmは同社のPDA「Palm Pilot」をデスクトップPCと直接同期させるためのクレードルを導入した。しかし今日、多くのモバイルワーカーは、無線で携帯端末をMicrosoft Exchange Server(以下、Exchange)のようなDMZ(非武装地帯)の電子メールサーバやSybase iAnywhere Afaria(※)のような携帯端末管理ツールと同期させている。
※注 Afariaは国内未発売。製品については要問い合わせ。
Sybase iAnywhereの技術担当副社長、ジョー・オーウェン氏は、「携帯端末をBluetoothやクレードルを使ってデスクトップと同期させるとき、Afariaクライアントがデスクトップ上で動作していれば、同期化処理を禁止できる。あるいは、新しい携帯端末にAfariaをインストールするよう指示するメッセージをデスクトップに返す設定にすることもできる」と話す。
しかしオーウェン氏によると、デスクトップ同期化は時代遅れになったという。「現在、当社の顧客の大多数は、携帯端末による同期化を防止するためにデスクトップをアクセス禁止にしている。彼らはゲートウェイを使って、境界部あるいはDMZ上で携帯端末からのアクセスを処理するようにしている」と同氏は語った。
Gartnerのジョン・ジラード氏も、ケーブルやクレードルを用いた同期化を無効にすることを強く推奨している。「デスクトップ同期化を有効にした時点で、監視と管理が難しい第二の経路を開放することになるのだ。そのデスクトップに監視用エージェントを常駐させていなければ、同期化が行われても分からない」と同氏は説明する。
「それよりも、携帯端末がオフィス内のシステムやサーバにアクセスするために最初に会社のネットワークに入ろうとする時点で、それらを“ゲートでチェック”すべきだ」とジラード氏はアドバイスする。「ユーザーが自分の携帯端末を管理している場合でも、企業はサーバルームやオフィスの機器の管理を放棄する必要はない。WAN、LAN、サーバの境界部でのアクセス制御は、不適切な利用によるダメージを防止する上でますます重要な役割を果たすようになった」と同氏は語る。
境界部での検出とプロビジョニング
例えば、Afariaのユーザーは、未認可あるいは未プロビジョンニングのWindows Mobile端末がExchangeとの同期を試みたときに、それを検出することができる。「われわれは、Exchange上でISAPI(機能拡張用API)アドインとして動作し、同期化の試みを検出できるソフトウェアを提供している」とオーウェン氏は話す。
正しくプロビジョニングされた端末はすべてExchangeとの同期化が許可されるが、それ以外の端末はエラーメッセージを受け取る。このメッセージには、無線でプロビジョニングを行うためのURLが含まれている。プロビジョニング用のURLが含まれるSMS(Short Message Service)メッセージを、新たに登録された携帯端末に送信することもできるという。モバイルユーザーがこのURLで会社のWebサーバにアクセスすると、Afariaクライアントがダウンロードされ、インストールするための確認メッセージが表示される。
次に、Afariaソフトウェアとポリシーを含む適切なクライアントパッケージが端末にプッシュ配信される。これは通常、無線ネットワーク経由で行われるが、任意のインターネット接続を利用できる。クライアントがインストールされると、携帯端末は定期的に会社のDMZ上のAfariaサーバに自動的に接続する。このサーバは、管理者が作成したブラックリストとホワイトリストに照らして携帯端末のIDをチェックした上で、認可された端末にポリシーを適用するほか、紛失した端末や盗まれた端末の登録は抹消する。接続の試みおよびインベントリ化された属性は、リポート作成用にログ記録される。
わたしはSybaseとHTCが実施したトライアルに参加し、このプロセスのユーザー側での動作を体験した。わたしが選んだ「HTC Touch Dual」には既にクライアントパッケージがインストールされていたが、プロビジョニングはまだ完全ではなかった。リモートのAfariaトライアルサーバに無線ブロードバンドで接続し、インスタントメッセージング(IM)の「iAnywhere Mobile」やメールの「OneBridge」などのアプリケーションやコンテンツ、設定をダウンロードすることにより、プロビジョニング作業は数分で完了した。しかしこのトライアルでは、Exchange同期化機能を通じて最初に端末を検出する作業は含まれていなかった。
電子メール以外のアプリにも対応が必要
上記の例は、境界部のアプリケーションサーバが携帯端末の検出に重要な役割を果たし得ることを示している。今日の携帯端末管理ツールの多くは、ある程度のメールゲートウェイ連携機能を提供している。これは、電子メールが主要なモバイルビジネスアプリケーションであるという状況を反映したものでもある。しかし、各種のモバイルアプリケーションのビジネス利用が拡大するのに伴い、各種のアプリケーションポータルやリモートアクセスVPNゲートウェイでの携帯端末の検出も一般化することは間違いない。次回は、ますます多様化する今日の携帯端末がもたらす新たな課題を検証し、それらに対処するための最新のテクニックを紹介する。
本稿筆者のライザ・ファイファー氏は、ネットワークセキュリティおよび管理技術を専門とするコンサルティング会社、Core Competenceの副社長を務める。ファイファー氏は20年近くにわたり、データ通信、インターネットワーキング、セキュリティ、ネットワーク管理製品の設計、導入、評価に携わってきた。各種の業界カンファレンスで無線LANやVPNなどのテーマについて講演を行っており、広範なIT関連メディアにネットワークインフラやセキュリティ技術に関する記事を寄稿している。
Copyright © ITmedia, Inc. All Rights Reserved.