スマートフォンやタブレットなどのスマートデバイスは、登場から瞬く間に私たちの身近に浸透した。ビジネスにおいても、生産性の向上やワークスタイルの変革を求めて、スマートデバイスを積極的に活用しようとする企業が増えてきている。
ひとつめの波として、モバイル端末の普及がある。特に、スマートフォンやタブレットなどのスマートデバイスは、登場から瞬く間に私たちの身近に浸透した。ビジネスにおいても、生産性の向上たワークスタイル変革を求めて、スマートデバイスを積極的に活用しようとする企業が増えている。
もちろん、ただ単にデバイスを社員に配布したのでは、一般のアプリとWebブラウジングなどの機能しか使えず、生産性の向上にはほど遠い。ビジネスに用いるのであれば、業務システムに接続できることは必須だ。スマートデバイスは有線LANの機能を持たないため、無線LAN環境を整えて社内ネットワークに接続させることになるだろう。
スマートデバイスが登場する以前より、企業のPC環境はデスクトップからノートブックに移行してきており、それにあわせて無線LAN環境を構築したという組織も少なくない。古くは、無線LANは電波盗聴の恐れがあるため使えないと考えていた企業もあったが、ビジネスや業務の環境変化に伴って、セキュリティの問題を何とか解決して無線LAN環境を導入しようとする企業が多くなっている。
無線LANの規格には、標準でセキュリティ機能が組み込まれている。現在主流の無線LAN機器に採用されているセキュリティ技術は強力で、(適切な設定と管理を行いさえすれば)認証パスワードを知らない攻撃者による不正アクセスや盗聴は、ほぼ不可能である。そのため、運用負担の問題は置いておくとしても、多くのシステム管理者は、比較的安全に無線LANを利用できていると認識していることだろう。
しかし、ソリトンシステムズ プロダクトマーケティング部でプロダクトマネージャを務める宮﨑洋二氏は、スマートデバイスの普及によって、今まで軽視されてきたリスクのひとつが、企業のセキュリティを脅かしていると主張する。企業の許可を得ずに社内に持ち込まれるIT機器、いわゆる「シャドーIT」機器の危険性だ。
多くのIT管理者は、個人のノートブックPCの持ち込みやUSBメモリの使用を禁じたように、シャドーITの危険性を意識してきた。スマートフォンは、個人の「携帯電話」というだけではなく、高機能な「IT機器」という側面を持つ。従来のフィーチャーフォンであれば、企業システムとの親和性がそれほど高くないために、シャドーITとしてのリスクは低かった。しかしスマートフォンは、意識して排除するシステムを整えていなければ、容易に企業ネットワークに接続し、業務システムを利用できてしまう。
「会社から配布された正規のスマートデバイスのほかに、社員のポケットの中に私物のスマートデバイスがあるというケースは珍しくありません。もし社内の無線LANが、ID/パスワードのみでアクセスできる環境であったらどうでしょうか。私物のデバイスを社内ネットワークに接続して、仕事を家に持って帰ろうとするのではないでしょうか。そのスマートデバイスを紛失した場合、情報漏えい事故に直結してしまいます。また、悪意を持って接続しようとする社員が出てこないとも限りません」(宮﨑氏)
デジタル証明書認証でスマートデバイスをセキュアに活用
したがって、無線LANにかぎらず、シャドーITの排除を意識しなければならない、これからの企業ネットワーク・システムでは、「端末識別」が必要不可欠になっていくはずである。問題は、そのような情報をもって端末を識別すべきかということである。
無線LAN機器の多くは、「MACアドレスフィルタリング」という機能を有している。PCやスマートフォンに搭載されたネットワークデバイスが持つ固有ID(MACアドレス)を利用して、登録されたIDを持つ端末のみを接続させるという手法だ。
ところが、MACアドレスは暗号化により秘匿されていない。また、ある程度の技術力があれば容易に詐称できるため、不正アクセスを排除するという目的とするなら、あまり意味がない。このほかには、GSM/W-CDMAなどの携帯端末に付与されている「IMEI」や、iPhoneやiPadなどのアップル製品に付与されている「UDID」など、端末固有の情報を活用して端末を識別する仕組みも存在するが、対応デバイスしか認識できないという問題が残される。
そこで宮崎氏が最適な手法として挙げるのが、「デジタル証明書」を用いた端末認証である。接続を許可する端末にあらかじめデジタル証明書をインストールしておけば、証明書を持たないデバイスは一切を排除することができる。セキュリティは強固で、証明書の複製や偽装はほぼ不可能である。
「デジタル証明書は、『失効』や『再発行』といった管理手続きが容易なため、端末を紛失したり盗難されたりしたときに迅速に対応できるというメリットがあります。ここに、ワンタイムパスワードなどの強力な利用者認証を組み合わせれば、盗難した端末を悪用した"なりすまし"も防ぐことができるようになり、セキュリティレベルを大幅に向上することが可能です」(宮﨑氏)