スマートフォンの導入を阻む2つの課題を、利用者によるデジタル証明書の申請・取得という発想で一気に解決したのが「NetAttest EPS-ap」だ。
スマートフォンの業務利用に立ちはだかる2つの壁
モバイルPCより小型軽量で起動速度も早く、移動中でも片手で作業が可能なスマートフォンを、即断即決が求められるビジネスで利用する動きが活発になっている。通話はもちろん、メールの送受信やWebからの情報収集、申請・承認ワークフロー、スケジュールやドキュメント類の閲覧・編集など、日常業務の多くをどこからでも遂行できるのは大きな魅力であり、モバイルPCではなくスマートフォンを常時携帯するビジネスパーソンも急増している。
最近ではCRMやグループウェアなどの業務システムもスマートフォンやタブレットPCに最適化するようになり、操作性が格段に向上していることも企業の経営層の関心を高めている一因となっているようだ。
そのため、私物スマートフォンの業務利用、あるいは業務用スマートフォンの支給を検討するよう命じられ、あわてて導入方法を模索しているIT部門の方々も多いのではないだろうか。
だが、スマートフォンを社内のイントラネットに接続して業務で利用するには、乗り越えなければならない壁が2つあるといわれている。1つが不正端末の接続による情報漏えい防止などのセキュリティ対策、そしてもう1つが、導入・運用における管理者の負荷の問題である。しかし、この2つは両立させることが非常に難しく、面倒なセキュリティをいかにコストや手間をかけずに実現するかが大きなチャレンジとなっている。
スマートフォンの端末認証に有効なデジタル証明書の活用
スマートフォン向けのセキュリティソリューションは次々と登場しているが、まずは基本的な対策として端末認証が必要であり、その最も有効な識別方法のひとつが「デジタル証明書認証」である。デジタル証明書を各端末に入れることによって、その端末は会社が正式に社内接続を認めた端末となる。また、デジタル証明書は、無線LANや社外からアクセスする場合のVPNの認証にも応用できる。
この手軽さと安全性がスマートフォンに最適といわれるゆえんだが、デジタル証明書の多くは第三者のパブリック認証局(CA)が発行するため、発行件数ごとに費用が積み上り、ランニングコストが高くなってしまうことが課題とされていた。
ソリトンシステムズのネットワーク認証アプライアンス「NetAttest EPS」は、デジタル証明書を発行するプライベートCA機能を搭載した認証サーバーの代表格だ。デジタル証明書を簡単に発行・失効できるだけでなく、デジタル証明書を利用したスマートフォンの認証も行える。主に、無線アクセスポイントやVPNゲートウェイ機器と連携し、企業ネットワークへ接続を試みるユーザーや端末が正規のものか否かを判断し、不正接続を防止する目的で利用される。
デジタル証明書を用いたIEEE802.1Xの無線LANやVPN接続における認証は、PCの認証方式としても広く利用されており、PCとスマートフォンが混在する環境でも統一したセキュリティーポリシーでの運用が可能だ。
管理者は最短2クリックでデジタル証明書を安全かつ簡単に発行でき、証明書一括生成ツール(無償オプション)を用いて大量の証明書の自動発行も可能な上に、プライベートCAであるためデジタル証明書をいくら発行してもコストはかからないというメリットも合わせ持っている。
スマートフォンにはデジタル証明書が有効
スマートフォン1台の設定作業に最短でも15分も浪費
このように、デジタル証明書を簡単に発行できるにようになったことでスマートフォンの安全な利用を促進できることは管理者にとって朗報だが、スマートフォンを安全に社内アクセスさせるにはデジタル証明書を配布する以外にも多くの設定が必要であり、しかも許可を与える端末全てにそれらの手続きを施さなければならない。
それが、乗り越えなければならない壁の2つ目、端末の導入・運用における管理者の作業負荷の問題だ。
ここで、実際にiPhoneの一般的な設定作業を見てみよう。
(1) デジタル証明書の発行
(2) 管理用PCにiPhone設定ツールをインストール
(3) PCに一時的に(1)で発行したデジタル証明書をインストール
(4) (2)の設定ツールを使用しプロファイル(端末に適用する設定)を作成
(5) (3)で発行したデジタル証明書をプロファイルに埋め込む
(6) PCとスマートフォンをUSBで接続してプロファイルを適用
(7) 端末に設定漏れがないかどうかをチェック
この間、慣れた状態でも15分はかかる計算だ。
数台~10数台程度ならIT管理者が窓口となって作業することは可能だが、数10台~数100台と拡大していけば個人の手作業による設定作業は非常に困難だろう。初期設定だけではなく、デジタル証明書には有効期限があるため、利用開始後も更新作業に追われることになる。
そこでソリトンシステムズは、端末の登録作業を利用者本人が行えばIT管理者への負担は大幅に軽減できると考えた。普通なら、慣れない利用者に複雑な設定を任せると問い合わせが殺到し、かえって管理者が対応に追われてしまったり、デジタル証明書が管理者の意図しない端末に不正コピーされるといったリスクがあったりするものだが、NetAttest EPSと連携し、スマートフォンの導入・運用をサポートするオプション製品「NetAttest EPS-ap」を開発することで、デジタル証明書の自動配布からプロファイルの自動適用までを、安全かつ簡単に実施することが可能になった。
NetAttest EPS-apが端末を自動設定