無許可デバイスの持ち込みが深刻化
持ち込みたい利用者、管理に悩むIT担当者
スマートフォンの堅調な普及がつづいている。CNET Japanの 報道 によれば、2011年度上期のスマートフォンの国内出荷台数は前年同期比で4.5倍に増加した。通期でも前期比10%超の増加となる見通しだ。これらスマートフォンの多くには、VPNや無線LANに接続するための機能が標準的に搭載されており、また、従来の電話機と同じく日常的にオフィス内に持ち込まれていることから、社内ネットワークへの不正接続の懸念も高まっている。
特に、ユーザーIDとパスワードにより接続認証を実施している場合、社員が持ち込む私物端末の排除は困難で、MACアドレスによる端末認証を行っていたとしても、MACアドレスは偽装可能であるため、完全ではない。
宮崎洋二氏
「現状でのスマートデバイスのセキュアな運用には、『デジタル証明書』と『ワンタイムパスワード』の併用が最適解」と、ソリトンシステムズ マーケティング本部 プロダクトマネージャの宮崎洋二氏は語る。
デジタル証明書はコンピュータや人などを特定するパスポートのような電子データで、認証局(CA)と呼ばれる機関が発行する。これを端末に取り込むことで、デバイスは会社で認めた端末と認識され、社内ネットワークにアクセス可能となる。
また、スマートフォンの個体認証のためにデジタル証明書を用いる場合は、自社のポリシーにあわせて柔軟な運用が出来るプライベートCAで発行されたデジタル証明書を利用すると良い。例えば、スマートフォンの運用期間に一致させたデジタル証明書を自由に発行することができる。さらには、デジタル証明書の発行にかかる費用も不要のため、運用コストを抑える効果も期待できる。
物理ベース認証と知識ベース認証を組み合わせた二要素認証が有効
だが、たとえデジタル証明書が取り込まれた端末であっても、それを手にしているのは本当に利用者本人なのか…という確認は、必ず行う必要がある。
最も一般的な利用者認証方式は、IDと固定パスワードによる認証だが、この組合せは漏洩に弱いと言える。利用者は様々なシステムで同じパスワードを利用している確率が高いうえ、パスワードを忘れないようにどこかにメモしている場合も多い。さらに1番の問題は、実際にパスワードが漏洩しても、被害が出るまでパスワード漏洩に気付かないということである。
そこで、より安全な利用者認証方式として、ワンタイムパスワードによる二要素認証がある。物理トークンが発行する使い捨てパスワード(物理ベース認証)と、本人が記憶する暗唱番号(知識ベース認証)を組み合わせて認証することにより、2つの要素が揃わないと本人と認められない。二要素認証にはICカードを利用したものもあるが、現状、スマートデバイスにICカードリーダーが付いている物は少ない。
このように、デジタル証明書とワンタイムタイムパスワードを利用することにより、スマートデバイスの認証を強化することができる。しかし全てのユーザーをデータベースで管理し、デジタル証明書の発行とワンタイムパスワード運用の仕組みをバラバラに導入・運用するのでは管理者に大きな負担がかかってしまう。この問題の解決にはアプライアンスの活用が有効だ。
スマートデバイスの安全な利用環境を1台で実現するアプライアンス
それが、ソリトンシステムズのネットワーク認証アプライアンス「NetAttest EPS」だ。本格的なプライベートCA機能を標準搭載し、ワンタイムパスワードの認証エンジンも搭載しているため、別途サーバーを用意する必要はない。この1台で、VPN機器や無線LAN機器への接続における厳格な認証を実現することが可能だ。
NetAttest EPSは、デジタル証明書の要求から承認、発行、配付、更新などの一連のワークフローを
サポートする本格的なプライベートCA(認証局)機能と、認証のたびに毎回異なるパスワードを利用できる
ワンタイムパスワード認証エンジンを1台に搭載する。
ネットワーク認証を実施することで、MDM適用の基盤が実現可能に
次の段階で直面するのは、スマートデバイスの大量導入とその運用に関する課題だ。 「スマートデバイスの業務利用を特に推進しているのが、稟議に決定権を持つ経営層や情報システム部門の上層部などの場合も多い。そのため、社内のコンセンサスはスピーディに承認されていくものの、端末の大量導入によって検証や登録が追いつかないという現象が、スマートデバイスの導入を難しくしている」(宮崎氏)。
デジタル証明書の重要性と、プライベートCAの優位性については既に述べたとおりであるが、プライベートCAを運用する場合は特に管理者への負担を無視することはできない。
デジタル証明書による認証基盤を構築し安全性を維持する場合、認証情報(機密鍵)の取り扱いには十分な注意を払う必要があり、可能な限り、管理者への負担が小さく平易でミスの少ない仕組みを考えなければならない。
ソリトンシステムズでは、管理者への負担を軽減する手段の ひとつとして、利用者からのWEB申請によりデジタル証明書の発行を ネットワークを介して自動的に行うツール「NetAttest EPS-ap」を開発し、2011年9月末より販売を開始している。
また、「NetAttest EPS-ap」は、デジタル証明書の配布から各種設定情報の適用、業務に不必要な機能の制御までを
ワークフローシステムとして提供することが可能。
大量のスマートデバイスを短期間でビジネスに活用するためには、必須の機能を持ったツールと言える。
スマートデバイスにおけるセキュリティ対策というと、MDM(Mobile Device Management)が注目されているが、それは紛失・盗難や機能の利用制限など端末本体に対するセキュリティ対策である。持込を含めた不正端末からの情報資産へのアクセスを守るためにも、まずはネットワークレベルでこれらの不正端末をシャットアウトする必要がある。宮崎氏は、「NetAttest EPSによるネットワーク認証を実施することで、MDMを適用した端末(デジタル証明書を取り込んだ端末)だけが利用できる基盤を整えることができる。その順番が大切」と強調する。
スマートデバイスの業務利用は今後ますます増え、より効率的な管理が求められてくるだろう。
関連ホワイトペーパー
|
|
|
|
