スマートフォンやタブレットといったスマートデバイスの普及が進み、またBYODで従業員の私物までもが業務へ導入されるようになっているなど、企業のシステムにアクセスする端末の種類は増え続けている。この「マルチデバイス」環境において高いセキュリティを確保するためには、端末の種類にかかわらず、その端末は社内に接続しても良いものなのか否かを適切に認証する必要がある。
ソリトンシステムズ 竹谷修平氏
朝日インタラクティブが3月13日に開催した「ZDNet Japan スマートデバイスセミナー update」でソリトンシステムズは、マルチデバイス時代のITインフラとして、さまざまな端末で標準技術として採用されているデジタル証明書を利用した認証基盤を提案、プロダクトマーケティング部 プロダクトマネージャーの竹谷修平氏が同社のアプライアンス型認証システム「NetAttest EPS」を紹介した。
情報システムの認証方式として一般に利用されているID・パスワードは、悪意を持った攻撃者がシステムに侵入しないよう、正規のユーザーを識別するのが目的だ。逆に言えば、正規ユーザーからの不適切なアクセスに対してはセキュリティ上の効果はない。例えば、ID・パスワードだけの認証では、正規のユーザーアカウントを持つ従業員が、利用を許可されていない私物の端末から社内へアクセスするのを防ぐことはできない。最近、企業の管理下にない情報機器やサービスが業務に使用される、いわゆる「シャドーIT」がセキュリティ事故の温床として指摘されているが、ID・パスワードでユーザーを認証するだけでなく、使用されている端末が許可されたものかどうかを識別できなければ、シャドーITの蔓延は防げないのだ。
端末の識別にはいくつかの方法があり、スマートフォンの端末識別番号(IMEI)や、無線LAN機器のMACアドレスなどが利用されることもある。しかし、IMEIはPCには付与されていないので、ノートPCからのアクセスには別の端末識別方法が必要になる。MACアドレスは、詐称が比較的なため安全性が低い。
これに対して同社が推奨するデジタル証明書は、ノートPC、スマートデバイスを含むさまざまな機器が標準対応しており、さらに端末の盗難時に認証システム側で証明書を失効させたり、紛失端末が発見されたとき証明書を再発行したりと、運用の柔軟性が高いというメリットもある。BYODの場合も、従業員が所有する端末に対して証明書を発行/失効させるだけで接続の許可/遮断を簡単に切り替えられる。
ただし、デジタル証明書を利用した認証システムの運用には、正しい端末かを判断するRADIUSサーバー、証明書の発行・管理を行う認証局サーバーなどを用意する必要がある。また、認証システムがストップするだけで従業員はすべての業務システムが利用できなくなるため、認証システムは長期にわたって安定的に稼働される必要がある。
ソリトンシステムズの「NetAttest EPS」は、RADIUS、認証局、ユーザーデータベースなどを搭載したアプライアンスで、認証システムの構築に必要な要素がオールインワンで搭載されており、設置するだけでデジタル証明書を利用した端末認証が利用可能になる。より強固なセキュリティを実現するワンタイムパスワード機能も内蔵しているので、ID・パスワードと、証明書をインストールした端末が共に盗まれた場合も、セキュリティトークンが手元にある限り不正なアクセスを防ぐことができる。
導入するスマートデバイスの台数が多い場合、デジタル証明書のインストールだけでもかなりの手間になるが、NetAttest EPSには証明書の展開機能が用意されており、ユーザーが自分で申請画面にアクセスして証明書の発行をリクエストし、証明書のダウンロードとインストールが可能となっている。実際に大口の導入では、3,000台のタブレット端末を3カ月で展開したという事例もあるという。
ユーザーと端末の両方を適切に認証しても残る問題として、端末内に格納されるデータの取り扱いがある。スマートデバイスのOSに搭載されているリモートロックやリモートワイプの仕組みを利用すれば、紛失・盗難時に遠隔で端末のロックやデータの消去を行えるが、実際のトラブル時にはバッテリー切れなどの理由で確実にデータを消去できないケースも少なくない。
竹谷氏は「モバイルでの業務内容や通信状況の改善により、『情報を持ち歩かない』ソリューションを選択されるお客様が増えてきている」と述べ、何らかの理由で端末から情報が漏れる可能性や、遠隔でのデータ消去が行えない事態を考慮して、最近ではスマートデバイス自体には業務データを格納せず、モバイルネットワーク越しに情報を参照する形での検討・導入が多くなってきていると説明する。
この利用形態に対応できるよう、ソリトンシステムズは、強力なセキュリティ機能を持ったブラウザ(セキュアブラウザ)アプリ「Soliton SecureBrowser」と、専用のネットワークゲートウェイアプライアンス「Soliton SecureGateway」を用意している。前者は、Windows、OS X(Mac)、iOS、Androidに対応したセキュアブラウザで、他のアプリケーションから参照できないサンドボックス領域で業務データを参照し、ブラウザの終了時にキャッシュ情報も自動的に削除することができる。後者は、社内システムとインターネットの境界部分に設置し、Soliton SecureBrowserの接続を受け入れるためのゲートウェイアプライアンスで、NetAttest EPSと連携して端末とユーザーを認証し、セキュアブラウザ以外からの通信を遮断する。この2製品を組み合わせることで、マルチデバイス環境、BYOD環境でも、モバイル機器側に情報が残ることを防ぎ、社外から安全に業務システムを利用できる。
このほか竹谷氏は、セキュアな環境を用意しても使い勝手が悪いとスマートデバイスの利用率が上がらず、十分な導入効果を得られないと指摘。同社では、複数の社内システムやクラウドサービスを1回の認証で利用できるシングルサインオン製品「Smart eGate」を用意しており、このようなソリューションを利用してアクセスを制御することで、利便性を確保しながら、推測の簡単なパスワードの使い回しなどを防ぎ、セキュリティも高められると説明した。