VPNによる安全な社内接続とその課題
セキュリティレベルの向上を目指すにあたって、最初の前提になるのはインターネットVPN(Virtual Private Network)環境の整備だ。モバイルワークであろうがテレワークであろうが、社内のネットワークに対して、基本的には公衆のインターネット回線を経由してアクセスしてくることになる。インターネットVPNは、主にIPSecやSSLといった仕組みを用いて通信内容を暗号化することにより、インターネット上に仮想的なプライベートネットワークを作る技術だ。
通常、インターネット上を流れるデータは、何も手段を講じなければ「内容が見えてしまうハガキ」に近い。そのハガキ自体を盗まれてしまえば、そこに書かれた内容も見られてしまう。インターネットVPNを使うと「本文が暗号化された手紙を、中味の見えない封筒に入れて送る」レベルのセキュリティが確保できる。
特にリモートアクセスにおいては、導入や運用が手軽なSSL-VPNが、現在ではポピュラーになっている。インターネットVPNを用意しておけば、ひとまずアクセス経路上でのセキュリティについては、一般的に必要なレベルを確保できるといえる。
ただ、社内システムへのVPNアクセスでは、特に制限を設けていなければ、様々なアプリケーションから社内にアクセスでき、端末側に自由にデータを保存できてしまう。接続できるアプリケーションやデータを制御する場合は、これらの制御が可能なリモートアクセスソリューションが必要だろう。
「デバイス」と「人」の認証でダブルチェック
次の課題は「認証」だ。認証を考える際のポイントとしては、「機器」の認証と「人」の認証を適切に組み合わせることにより、セキュリティレベルを向上できる点が挙げられる。
BYODでは、「機器」の認証が重視されることが多いが、モバイルワークを想定した環境では「人」の認証レベルも強化しておくことが望ましい。基本的に、スマートデバイスの「小型」「軽量」「可搬性が高い」といったメリットは、デバイス自体が盗まれたり、紛失したりしやすいといったデメリットと表裏一体である。悪意を持ってデバイスが奪われる場合まで想定して、デバイスそのもののシステムロックを義務づけたり、業務に関連するシステムにアクセスする際の認証方法を強化したりしておくことが求められる。
認証強度を上げるための技術のひとつとして、「ワンタイムパスワード(OTP)」がある。最近の不正アクセス事件の増加を背景に、ネットバンキングやオンラインゲームでの採用が増えているので、身近に感じている人も多いだろう。
OTPは、文字どおり「一度限り」有効なパスワードを発行するための仕組みである。IDとパスワードの組み合わせが比較的長期間固定されている一般的な認証に対し、OTPでは認証を行う度に違うパスワードが発行されるため、パスワード漏えい時のリスクが極めて低くなる。OTPは「トークン」と呼ばれるハードウェア、もしくはソフトウェアによって発行される。
アクセスを認められた「デバイス」を使っており、かつ「OTPトークン」を所有して「IDとパスワード」を入力できる、という3つの条件の組み合わせによる、強固な認証システムを作ることが可能になるのだ。
OTPは、1人のユーザーが複数のデバイスを使いわける場合などにも対応しやすく、手動での定期的なパスワード更新などを行う必要がない点から、運用管理上のメリットもある。BYOD対応にあたって、より高いセキュリティレベルを求める場合には候補として検討してみる価値があるだろう。