BYOD時代のキーワードは"N対N"
iPhoneやiPadに代表されるスマートデバイスが猛烈な勢いで普及している昨今、ビジネスの世界でもこうしたスマートデバイスを積極的に活用することで"いつでも、どこでも、どのデバイスでも"業務を遂行できるようにし、自社の競争力向上につなげようとする動きが活発化している。なかでも社員が私物として所有するスマートデバイスを業務でも使用するBYOD(Bring Your Own Device : 私物利用)に対するニーズは、経営者側からも従業員側からも高まりを見せている。
そもそもなぜスマートデバイスを使って"いつでも、どこでも、どのデバイスでも"会社のネットワークにアクセスして仕事ができるようにする必要があるのか──その答えのキーワードは「N対N」だ。
まず、N対Nの最初のNは、社会に普及しているクライアント側のデバイスが多様になっている現実を指す。先述したiPhoneやiPadをはじめ、AndroidやWindows系プラットフォームのスマートデバイス、それにPCも含めたマルチデバイス環境が一般化したことで、企業側にもマルチデバイスへの対応が迫られているのである。
もう1つのNは、クライアントからアクセスする先の多様化だ。従来であれば業務上でアクセスする必要があるサービスを提供するのは社内システムに限られていたが、今では社外のクラウド・サービスの利用も急速に増えてきている。つまり、サービスの提供側もまたマルチとなっているのである。
「東日本大震災を契機にBCP(事業継続計画)への取り組みが本格化したうえ、この数年でビジネスでのクラウド・サービス利用が急速に拡大した。さらには、多様なワークスタイルがさまざまな現場で取り入れられるなど、社会的背景が徐々に変わってきたことを受け、国内企業でもスマートデバイスの活用機運が一気に高まっている。いまやビジネスを成功させる鍵は、N対NのN同士をいかに適切に組み合わせるかにかかっていると言っても過言ではないだろう。ただここで注意しなければならないのは、社員がどういう環境からも自社のネットワークにアクセスできるような多様なアクセス形態に対して、いかに統一されたセキュリティポリシーを適用するかだ」と語るのは、ジェイズ・コミュニケーション 営業本部 マーケティング部、水野亜紀子氏である。
SSL-VPNとプライベート認証局を組み合わせてN対Nを実現
N対Nの時代になりアクセスのバリエーションが増大するのと合わせて、最近では雇用形態も複雑になっている。そのため、社員の立場に応じてアクセス権を適用したり、退社した社員のIDや端末ではアクセスできないようにしたりといったアクセスコントロールに求められる重要性が増している。
とりわけ、社員がスマートデバイスから直接クラウドにアクセスしてしまった場合には、会社のゲートウェイを通過せずに通信が可能となる。これでは、企業側からは一切の管理が及ばなくなってしまい、セキュリティ上の深刻なリスクを生じかねない。
ジェイズ・コミュニケーション 営業本部 マーケティング部 水野亜紀子氏 |
「スマートデバイスは非常に使いやすく仕事にも役立つものだが、一歩使い方を誤れば企業にとって思わぬリスクにつながる。とはいえビジネスのために導入するものなので、社員にとっての使い勝手を損なわないような配慮はとても大事。使い手が特に意識せずとも高度なセキュリティを確保できる施策が重要だ」と水野氏は言う。
そこで同氏が推奨するのが、クライアント証明書とSSL-VPNを組み合わせた認証強化ソリューションの導入だ。具体的には、まずSSL-VPNを使いオフィス外からのアクセスであっても通信の安全性を確保したうえで、クライアント証明書による許可されたデバイスのみ認証するのである。これは、ジュニパーネットワークスが提供するSSL-VPNアプライアンス「Juniper Networks MAGシリーズ」と、JCCH・セキュリティ・ソリューション・システムズの認証局アプライアンス「Gléas(グレアス)」を組み合わせることで実現するものだ。
MAGシリーズは、中小企業やブランチオフィスなど小規模のユーザーから大企業やサービスプロバイダーといった大規模なユーザーまでに対応しており、さまざまな環境からのネットワーク接続に対してアクセスコントロールと認証ポリシーを同時に実行することができる。SSL-VPNクライアント「Junos Pulse」を用いることでマルチデバイスにも対応。電子証明書やパスワードとの連携により認証を強化したり、セキュリティポリシーにマッチしない端末からのアクセスを拒否・制限したりすることが可能となる。
一方のGléasは、SSL-VPNにおける認証強化を実現する電子証明書を発行・管理するプライベート認証局(CA)製品だ。GléasではiPhone・iPadでエンタープライズシステムを利用するためのセキュリティポリシーや制限、VPN構成情報などの設定情報をまとめた構成プロファイルのインポート機能を標準装備している。これにより社員は、証明書を含む構成プロファイルを簡単な操作で安全にスマートデバイスへインポートすることができる。また、iOS向けのMDM機能も備えており、トラブルの発生や廃棄などの際にはデバイスロックやリモートワイプなどを行うことも可能となっている。
「そもそもどのようなデバイスであってもオフィス以外の場所から社内ネットワークにアクセスするにはSSL-VPNは必須だ。加えてBYODでは社用と私用デバイスが混在するためにセキュリティ上考慮すべき要素も増えてくる。だからこそ、クライアント証明書により許可済みのデバイスを特定する仕組みが求められるのである。さらに、認証した後のデバイスの管理も忘れてはならない。これらの課題をトータルでカバーするJuniper Networks MAGシリーズとGléasの連携ソリューションをぜひ有効活用していただきたい」(水野氏)
さらに水野氏は、電子証明書と合わせてもう1つ別の認証方式を組み合わせた、多要素認証の重要性についても訴える。「とりわけBYODでは、端末にひもづいた認証と利用者個人にひもづいた認証を組み合わせることを心がけるべき。その組み合わせはいろいろと考えられるが、これまでの実績や導入・運用時の利便性を考慮すると、電子証明書とパスワードの組み合わせが比較的容易に高いセキュリティを維持しやすいだろう」
他にも、MAGシリーズとGléasを利用すれば、SAML連携によってGoogleAppsなどのクラウド・サービスにシングルサインオンが可能となるなど、まさにN対Nの利用環境にふさわしいユーザビリティと安全性を提供する。次回は、このソリューリョンの具体的な利用方法や効果などについて詳しくお伝えするとしよう。