Webアクセスができれば大半の仕事はできる!
まず、実際に「ユーザーが社外で行いたい仕事」はどんなものか考えてみる。多くの人が仕事を進めるために頻繁にアクセスするツールとしては「メール」「スケジューラ」「グループウェア」などがあるだろう。近年、これらのツールには社内でも「ブラウザ」からアクセスできるようにしているケースが多いはずだ。社外から、ブラウザで社内のWebアプリにアクセスできれば、仕事の大部分が進められるユーザーも多いのではないだろうか。
そこで最初に、社内で使っているWebにブラウザでアクセスできる状態を作ることを考える。ユニバーサルクライアントとしてのWebブラウザに主眼を置いた「モバイル対応」であれば、端末やOSなどが将来的に変化したとしても、継続的な対応が容易になるはずだ。
しかし、セキュリティ確保の観点からは、もうひとつ考慮しなければならない課題がある。それは「端末内に残る会社データ」だ。
たとえば、ブラウザ経由で取得した仕事のデータを端末に保存できる状態では、端末を紛失した場合などに、そのデータが漏えいするリスクが高まる。さらに、ほとんどのデバイスに搭載されている一般的なブラウザは、ユーザビリティの向上などを目的に、サイトにアクセスする際のIDやパスワードなどをブラウザ側で記憶しておく機能がある。紛失した端末が、万が一第三者の手に渡った場合には、やはり社内システムへの不正アクセスや、情報漏えいなどの危険性が高まってしまう。
さらに、一般的なブラウザでは、体感的なアクセス速度を向上させるために「キャッシュ」と呼ばれるデータ領域にデータが一時的に保存される。一部のマルウェアでは、このキャッシュに残されたデータの窃取を狙うようなものも存在する。こうした事態を避けるためには、キャッシュデータの暗号化や、定期的な消去が必要になる。
つまり、Webへのアクセス許可を主軸に考えるモバイル対応では、「端末側にデータを残さない仕様のブラウザ」を使うことにより、セキュリティ強度を高めることができる。
業務のためのセキュリティ機能に強い「Soliton SecureBrowser」
こうした環境を簡単に用意できるのが、ソリトンシステムズが開発・提供している「Soliton SecureBrowser(SSB)」と「Soliton SecureGateway(SSG)」の組み合わせによるセキュアアクセスソリューションだ。
SSBは、情報漏えいを防止するセキュリティ機能を搭載したソリトンオリジナルのタブブラウザだ。特に業務用途に特化しており、セキュリティに関する機能が強化されている。現時点では、iOS、Androidといったスマートデバイス用OSのほか、Windows、Mac OS Xといった、PC向けのOSにも対応している。Mac/iOS/Android用のSSBは、各OSメーカーの公式アプリストアからダウンロードが可能だ。
SSBでは、ブラウザがダウンロードしたキャッシュデータを「サンドボックス」と呼ばれる領域で、他のアプリから隔離する。Windows版ではキャッシュデータ自体を暗号化するほか、SSB自体が特定のタイミングでキャッシュデータの削除を行い、不必要にデータがデバイス側に保存され続けることを防ぐ。
また、SSB外へのデータのダウンロードやペースト、他のアプリとの連携は禁止されている。これらの機能によって、できる限りモバイルデバイス上に「データを残さない」セキュアな状態で作業ができるようになっている。
一方のSSGは、企業がネットワークのDMZ上に設置するSSB専用のゲートウェイである。SSBと社内ネットワークの間の接続をTLSによって暗号化し、通信経路上のセキュリティを確保する。認証については、Active Directoryや、同じくソリトンシステムズが提供している認証アプライアンスである「NetAttest EPS」などと連携できる。
特に、将来的なセキュリティレベルの向上やユーザー管理の省力化を図りたい場合には「NetAttest EPS」との組み合わせが効果的だ。NetAttest EPSでは、単なるIDとパスワードによる認証だけでなく「デジタル証明書」を利用した、確実な端末の識別が行える。OSやデバイスが持つ個体識別番号等を認証情報に利用する場合、OS毎に認証情報が別々になるためマルチデバイス環境では管理が煩雑になることが考えられる。また、OSの仕様変更によりシステム側の対応も必要になる可能性もあるため、できる限り標準的な仕組みを利用している方が望ましいだろう。さらに、NetAttest EPSのオプションにより、スマートデバイスへのデジタル証明書の配布や、ワンタイムパスワード認証のような、より高度な機能も実現可能だ。スマートデバイスへのデジタル証明書の配布については、オプションアプライアンスの「NetAttest EPS-ap」を使用する。NetAttest EPS-apは、DMZにも設置可能な機能を備えているため、インターネット越しの安全なデジタル証明書配布が可能だ。
推奨構成イメージ(証明書認証)
※iOS端末でSSBが証明書認証を行う場合、「Soliton KeyManager」(無償)が必要です。
※Android端末にEPS-apから証明書配布を行う場合、「Soliton KeyManager」(無償)が必要です。
SSBとSSGの組み合わせによって、社外から社内のWebにセキュアにアクセスさせつつ、各端末(PCやスマートデバイス)にデータを残さずに、ブラウザから仕事ができる環境がすぐに用意できるというわけだ。
「モバイルワーク」や「BYOD」という新しいキーワードへの対応というと「新たな技術が必要なのではないか」「これまでとは違うセキュリティポリシーの実装が必要なのではないか」と難しく考え、そのことで対応が遅れがちになるケースも多いようだ。しかし、SSBとSSGによるソリューションでは、認証の仕組みの確保と、一般的な業務の「Webアプリ」への集約を行うことで、導入をシンプルに考え、進めていくことができる。また昨今、利用企業が急増しているGoogle Apps、Office 365、SalesForceなどのクラウドをモバイルから安全に利用するという観点でも、端末にデータを残さないSSBと安全なWebアクセスを提供するSSGは最適だ。
将来的な技術の変化やBYODへの対応を視野に入れつつ「モバイルファースト」な環境を目指しているユーザーにとって、SSBとSSGは検討の価値が高いソリューションと言えるだろう。