業務効率向上、対応の迅速化による顧客満足度向上などを目的として、スマートフォンやタブレットなどのいわゆるスマートデバイスを導入する企業が増加している。また、スマートデバイスの導入においては、従業員の私物端末を業務にも活用する「BYOD(Bring Your Own Device)」の形態を採るケースも多い。使い慣れた端末をそのまま利用できるので生産性が高く、企業側は端末購入費用を削減できるというメリットがある。
一方、スマートデバイスは紛失・盗難のリスクが高く、管理の手法もPCに比べると確立途上であるため、セキュリティ上の不安は大きい。どのような対策を採ればよいのか分からず管理が手薄になっている場合や、逆に漫然とした不安があるゆえに導入に踏み切れずにいる企業もある。ZDNet Japan主催のビジネスセミナー「なぜ、いまネットワークセキュリティの再考が重要なのか」では、この問題に対応するためのソリューションとして、Dell SonicWALLのSSL VPNアプライアンス「Aventail」が紹介された。
丸紅情報システムズ
NSソリューション部 加藤亮氏
Aventailの販売・導入支援を行っている丸紅情報システムズ NSソリューション部の加藤亮氏は、スマートデバイスを企業のネットワークへ安全に接続するためのステップとして、「既存環境の把握」および「セキュリティポリシーの作成」が欠かせないと指摘する。スマートデバイスの業務活用では、インターネット側から社内リソースへのアクセスを一定範囲内で許可する形となる。セキュリティ機器の設置やアンチウイルスソフトのインストールといった対策とは異なり、例えば「スマートフォンからはメールとグループウェアのみ利用可」「特定部署のノートPCからはファイルサーバーの読み書きも許可」といったように、デバイスとユーザーに応じて細かなアクセス制御を行わないと、セキュリティと生産性を両立できないからだ。
Aventailは、SSL VPNを通じた社内ネットワークへの安全なリモートアクセスを提供するアプライアンス型の製品で、PCとスマートデバイスの主要プラットフォームであるWindows、Linux、Mac、iOS、Androidをサポートしている。ログインにはワンタイムパスワードを利用した2要素認証に対応するほか、デバイスにアンチウイルスソフトが導入されているか、クライアント証明書があるか、Jailbreakやroot化が施されていないかといった点をチェックすることも可能。ユーザーが真正か、デバイスが健全なものかの両面から接続元を検証し、ポリシーに反するアクセスを排除できる。
加藤氏によれば、一般的に企業ネットワークにはActive Directoryやその他LDAPサーバ等の認証基盤があり、社内システムが既にWeb化されているため、実際の導入時においてはAventailは認証機能に特化し、アクセス制御は既存システムにまかせる形態が多いという。また、万が一ID・パスワードが漏洩した場合のアクセスを未然に防ぐため2要素認証のニーズが大きいが、Aventailではログイン時、ID・パスワードの認証に成功すると、ユーザー毎にあらかじめ登録された携帯電話のメールアドレスにワンタイムパスワードを送信し、このパスワードでの認証も通過して初めて社内へアクセスできるといった仕組みを内蔵しており、サーバーの追加なしで利用できる。このように、既存のシステムに加える変更を最小限に抑えながら高セキュリティのリモートアクセスを実現できるのがAventailの大きな特徴となっている。
ユーザーとデバイスの両面からアクセス元を検証し、あらかじめ策定されたポリシーに従ってアクセス可能なリソースが制御されるので、社外から社内ネットワークを安全に利用できる
用途としては、外出先や従業員宅からのアクセスのほか、グループ企業向けのイントラネットの開放、遠隔保守などが挙げられる。スマートデバイスからはリモートデスクトップやVDI(デスクトップ仮想化)技術を利用してPCのデスクトップ環境を利用することが可能だが、実際にはスマートフォンの画面サイズでは操作性に限界があるため、デスクトップはタブレットまたはPCから利用し、スマートフォンからの接続ではメールやスケジュール帳の利用のみ許可する、といったアクセス制御を推奨している。また、PCからのリモートアクセス時に業務データが外部に残らないよう、AventailではクライアントHDD内に暗号化された専用領域を作成し、その中で作業を完結する「セキュアデスクトップ」機能を提供している。
また、スマートデバイスのセキュリティに関して丸紅情報システムズが新たに取り組んでいるソリューションとして、従業員が勝手に設置した不正なWi-Fiアクセスポイントを検出するアプライアンス「AirTight Networks」なども紹介。企業が個人のデバイスを安全に運用するための環境をトータルで提案できる体制を整えていると説明した。
社内ネットワークに不正なアクセスポイントが接続された場合ただちに検知することが可能な
「AirTight Networks」
デバイスの種類が多様化し、業務に使用するすべての情報機器を会社が支給することも、すべての私物端末を排除することも現実には難しくなっている。最後に加藤氏は「今後は個人所有端末をどのように企業のネットワークに取り込んでいくかが重要」と改めて強調し、BYODのポリシーを作成し、一定のアクセスを認めつつセキュリティを確保する仕組みが必須となると訴えた。