法人市場におけるモバイル化の波は、もはや説明する必要がないほど、多くの企業を飲み込んでいます。BYOD、企業によるモバイルデバイスの導入など、その事例は枚挙にいとまがない状況にあります。
一方で、「これまでフィーチャーフォンしか導入しておらず、これからモバイルデバイスを導入する」という状況の企業も多く、「モバイルデバイスを導入する時にどのような対策、どのようなソリューション導入をすれば良いのか」がわからない情報システム部門の人も多いことかと思います。
そこで本誌では、携帯キャリアやソフトウェアベンダーの方に「モバイルデバイスを導入する上でどんなソリューションが必要か、プラットフォームのどのような機能を利用すれば良いのか」を解説いただき、モバイルデバイス導入時の悩みをスッキリ解決します。
第3回となる今回は携帯キャリアであるKDDIの方に、リモートアクセスを導入する際のポイントについて解説していただきます。
リモートアクセスとは?
スマートフォンやタブレット端末などのいわゆるスマートデバイスは、ペーパーレス化や顧客対応の迅速化など、多くの現場で業務改善に寄与しており、生産性向上の事例も増えつつあります。
その中でも引き合いが多くあるソリューションが「リモートアクセス」です。訪問先などから社内システムへアクセスし、その場で「在庫確認」や「発注処理」といった業務フローを行うニーズや、社内にある機密情報をプリントアウトして現場へ持ち出し、紛失するリスクを回避したいなどのニーズがあることから、スマートデバイスの伸長とともに、重要視されるケースが多くなっています。
この記事では、スマートデバイスからイントラネットへリモートアクセスを行う上で、企業のシステム管理者が「どのようなポイントに気を付けて導入を進めているのか」を解説します。大きく分けると、主に「セキュリティ対策」「利用者の操作性」「管理者の運用負荷」の3点にカテゴライズされます。
セキュリティ対策
リモートアクセスは企業の情報資産へのアクセスを許可することを意味します。そのため、初めの「セキュリティ対策」としては、「従来の社内PCに行ってきた対策と同じレベルのセキュリティ対策を施すべきか」「リモートアクセス時の認証方式はどのようにすべきか?」を考えます。
具体的には、社内PCでパスワードポリシー(○文字以上、英数字記号混じりなど)を設けていれば、リモートアクセスの認証においても「同様のパスワードポリシーを必要とするか」を検討するケースが多く見られます。また最近では、「社外でスマートデバイスからインターネットへアクセスする際も、社内のPCと同様に社内プロキシサーバやURLフィルタを経由させてアクセスさせる」という要望もあります。スマートデバイスからインターネットへアクセスする際も、社内のPCと同様に社内プロキシサーバやURLフィルタを経由させてアクセスさせる」という要望も多く目にします。
リモートアクセス時の認証は、IDとパスワードのみ利用するケースだと、社員の私物PCなどでアクセスできてしまいます。最悪の場合、これが情報漏えいリスクの根源となる可能性もあります。
例えば、帰宅後に緊急対応などで業務を行うケースを想定してみましょう。社員は仕方なく、私物PCでアクセスを行います。そのPCが悪意のあるサイトによってウイルス感染していた場合、社員に悪意がなくても、情報漏えいに至る可能性は十分に考えられるのです。
そのような事態を防止するため、あらかじめ管理者が許可・指定した会社支給のデバイスだけをリモートアクセスできるように設定する「デバイス認証」という機能があります。これはクライアント証明書を用いて認証でき、「管理者が配布した証明書を保存しているデバイスのみがリモートアクセスできる」という仕組みになります。
この場合に注意すべきことは、「管理者が指定したデバイス以外、絶対に証明書インストールできないようにすること」です。これを実現するためには、デバイス固有のID(IMEIなど)を指定してそれ以外にはインストールさせない方法、MDMを利用して指定のデバイスへ証明書を配布する方法などがあります。また証明書をコピーできないようにすることも重要です。
では、証明書をインストールしたデバイスを紛失した場合、どのようにセキュリティを担保するのでしょうか? その場合は、MDMのリモートワイプ機能や、該当の証明書を管理者が失効させるだけで、リモートアクセスは不可能になります。
つまり、従来のIDやパスワードによる「人の認証」と、証明書による「デバイスの認証」を併用することで二要素認証となり、より安全なリモートアクセス環境を構築できます。
利用者の操作性
続いて、利用者の操作性についてですが、リモートアクセス時は「ID、パスワードを入力する手間を省きたい」という要望が多くあります。この要望は、先ほどのデバイス認証で実現できます。
iOSデバイスでは、「VPNオンデマンド」という機能を利用し、利用者が対象アプリを起動すると自動的にVPNに接続できます。つまり、アプリ起動と同時に1タップで社内へリモートアクセスを行えるため、操作性がとても良く、少しのすき間時間(例えば電車の待ち時間)でも業務が行えるメリットがあります。
管理者の運用負荷
最後に、管理者の運用負荷面では「自社でリモートアクセス環境を構築するか?」「通信キャリアなどのサービスを利用するか?」という選択肢が存在しますが、いずれを選択するかによって管理者負担は大きく変わります。
自社で構築した場合は、障害時の復旧対応やバージョンアップなどの対応、メンテナンス、増設計画、調達先との契約・折衝といった維持管理を行うリソースを用意する必要があります。システム担当の人員リソースや予算が確保できないケース、システム開発や社内業務システム改善にリソースを集中させたい場合は、自社構築ではなく、さまざまな通信事業者が提供するサービスの利用も検討されてはいかがでしょうか。
著者プロフィール
海江田 毅(かいえだ たけし)
法人向けインターネットサービスの企画業務を担当したのち、法人向けリモートアクセスサービスの企画・運営業務を担当する。
KDDI ソリューション事業企画本部 ネットワークサービス企画部