情報漏洩リスクの増加やランサムウェアな本格化と、企業におけるセキュリティ管理の負担は増すばかりだ。「2017 Japan IT Week春」(5月10日から13日開催)においてソリトンシステムズは、この点に着目したさまざまなセキュリティソリューションを展示していた。
まず、紹介したいのがアプリケーションをラッピングする「WrappingBox」である。このソリューションは、端末内のWindowsアプリケーションを分離領域で動作させる。ローカルに保存されている業務データを完全に分離する。分離領域では、アプリケーションの書き込みに関するプロセス(ファイルの保存、クリップボードコピー、印刷、レジストリ編集、ネットワーク接続、COM経由のアプリケーション呼び出しなど)を監視・制御し、情報漏えいなどを未然に防ぐことができる。
もっともわかりやすい応用例は、インターネット分離であろう。インターネットに接続する際に、WrappingBoxによる分離領域でアプリケーションを動作させる。アプリケーションのライセンスは1つですむ点に注目したい。分離領域で起動するアプリケーションは、ローカルに保存された業務データなどにアクセスすることはできない。つまり、インターネットを経由して外部に漏えいすることがない。
また、逆も可能である。インターネットから感染するウイルスなどは、分離領域には達するが、ローカル領域にまで侵入することはない。実際に、ランサムウェアの感染から守るデモが行われていたので紹介しよう。
さらに、身代金要求が行われる。
分離領域のデータは、WrappingBoxを終了すると、すべて削除される。ローカルのデータは変更されないので、ローカル環境では、壁紙も変更されず、ファイルの暗号化も行われない。
同じような機能は、仮想化技術などを使うことで実装可能である。しかし、規模も大きく、導入・運用コストが高くなる。WrappinBoxでは、比較的、低コストで完全分離が実装できる。このあたりが、大きな魅力となるだろう。
次に紹介するのが、「Soliton CloudConnector」である。各種クラウドのIDと社内のAD(Active Directory)との連携と自動同期を行い、IDの一元管理をする。IDフェデレーションとも呼ばれる技術である。
現在は、非常に多くのクラウドサービスが存在し、企業などでも利用するユーザーは多い。しかし、ここにいくつかの課題が存在する。セキュリティ面では、
- 許可していないネットワークからのクラウドへのアクセス
- 複数のクラウドで、パスワードの使い回しのリスク
などがある。そこで、IDフェデレーション技術を使用し、それぞれのクラウドのIDを社内ネットワーク内のADやLDAPと連携させ、認証が通ったアカウントのみ、クラウドサービスが利用できるようにするという解決策がある。そのための標準プロトコルとして、SAMLが使われている。ビジネス向けのクラウドサービスの多くがサポートしている。
しかし、ここでも課題がある。
- 同じSAMLでもクラウドサービスによって細かい仕様の違いがあり、サービスを追加すると、認証連携のための調査・開発・テストが必要
- SAMLにより認証機能を分離しても、クラウドサービス側へのID・登録と利用設定は必須。組織変更や人事異動などで、アカウント管理が必要
Soliton CloudConnectorでは、Active Directoryと自動連携し、アカウントを管理する。特徴的なのは、非常に簡単に運用・管理が行える点である。
複数ADに対応し、管理者は、ADをメンテナンスするだけでよい。今回のソリトンシステムズのブースで興味をひいたのは、図1にもあるように「働き方改革」である。同社のソリューションには、Soliton SecureDesktop、Soliton SecureBrowser/Soliton SecureGatewayがある。これらは、
- クラウドや社内システムを社外から安全に使う
- 在宅勤務環境の整備
- BYOD対策
を実現する。今回紹介したWrappingBoxでもローカルにいっさいデータを残さないので、自宅のPCから会社のPCやサーバーにアクセスしても、自宅のPCには業務データが残ること、つまり情報漏えいする心配がない。特段のセキュリティ対策や情報リテラシー教育を行う必要がない点も評価できるだろう。
Soliton CloudConnectorも認証が統合され、クラウドサービスへのアクセス経路を1本化することが可能になる。Soliton SecureBrowser/Soliton SecureGatewayと組み合わせれば、自宅勤務においても、クラウドサービスへのアクセスを管理することができるようになる。今後、重要なテーマの1つなるだろう。