WirelessWire News Philosophy of Safety and Security

by Category

スマートデバイスを活用するセキュアな業務システム構築──マルチ・ポイント・セキュリティで業務情報を守る

2011.06.24

Updated by Naohisa Iwamoto on June 24, 2011, 12:04 pm JST

スマートデバイスは、個人利用だけでなく業務端末としての利用でも注目されている。持ち運びやすく情報を閲覧しやすいスマートデバイスの特性は、業務でもメリットが得られるケースが多い。一方で、モバイルシーンから業務システムやクラウドにアクセスする形態には、端末の盗難・紛失、不正アクセスなどのリスクもつきまとう。スマートデバイスをモバイルクラウドと組み合わせて利用する際の注意点とセキュリティ対策のポイントを、インターネットイニシアティブ(IIJ) マーケティング本部プロダクトマーケティング部課長の青山直継氏に聞いた。

▼インターネットイニシアティブ(IIJ) マーケティング本部プロダクトマーケティング部課長 青山直継氏
201106241203-1.jpg

iPadやAndroidタブレット端末、スマートフォンなどに代表されるスマートデバイスは、企業で活用しようとする機運が急速に高まってきている。誰でも簡単に使えて持ち運びも手軽なスマートデバイスを、ビジネスのツールとして活用しようとの考えだ。

スマートデバイスはスタンドアロンで利用するよりも、ネットワーク上のアプリケーションやクラウドサービスと組み合わせて利用することにより利便性を発揮する。ソリューションの構成要素には、スマートデバイス、クラウド上などに構築された企業の情報システム、そしてこれらをつなぐネットワークがある。それでは、スマートデバイスを使ってクラウドなどにアクセスする便利で安全なソリューションを作るにはどうしたらいいのか。リモートアクセスで従来からある対策に加え、スマートデバイスを利用する視点からのポイントを整理していく。

スマートデバイスが企業に注目される理由

まず、スマートデバイスが企業に注目されている理由を考えてみる。第1に挙げられるのは、プレゼンテーション端末として有効だと考えられていることである。営業担当者が顧客と会話をする中で資料を見せるときに大きな効果がある。特に、製品数が多かったり、ひんぱんに商品が変わったりするような商材だと、紙のカタログを持って歩くのすら大変だ。電子カタログのアプリケーションをiPadなどに入れてサーバー上のデータを参照すれば最新の情報がいつでも美しいプレゼンテーションで示せる。カタログや提案資料ならば顧客の個人情報も含まれないので、スマートデバイスでも扱いやすい。

一方、こうした電子紙芝居的な使い方よりもさらに踏み込んで、顧客の情報など重要情報にもアクセスするタッチパネルの業務端末としての使い方もある。スマートデバイス上には情報を残さないなど、セキュリティ対策を施した上で利用する。こうした使い方ができることが、スマートデバイスへの注目の第2のポイントである。実は、後者の業務端末としての利用が2011年夏ごろからどんどん増えていく。実際に、数百台〜数千台といった規模でスマートデバイスを導入して、業務端末として使う事例が動きはじめている。

そうなると、スマートデバイスであっても既存のパソコンであっても、そこで処理する業務は同様の重要度を持つ。すなわちセキュリティも同様に確保しなければならず、デバイスからネットワーク、業務システムまで含めたシステム設計が必要になる。

ここで注意したいのは、スマートデバイスはパソコンを完全にリプレースするデバイスではないということ。1つはデバイスの特性として、入力が多い処理にはあまり適さないことがある。少なくともソフトウェアキーボードで文字入力するスマートデバイスでは長文の報告書は書きにくいし、プレゼン資料の編集などの作業には適さない。また、システム要件との兼ね合いもある。多くの業務システムはWindowsパソコンがクライアントとして動くことを前提にしている。例えばiPadを端末として使うことにした場合に、Windowsパソコンと同じセキュリティ強度、同じアクセス制御ができるとは限らない。この点を踏まえて、スマートデバイスを使ったモバイルクラウドの活用法を以下に見ていこう。

===

4つのキーワードで守るモバイルクラウド

モバイルでの端末利用は、紛失や盗難のリスクを常に抱えている。第三者による不正利用への対策も講じなければならない。これまでノートパソコンなどで言われ続けてきたことは、まったくそのままスマートデバイスにも当てはまる。

ここで、スマートデバイスをネットワークに接続して業務で利用する際のセキュリティに対する考え方を紹介する。IIJでは、「マルチ・ポイント・セキュリティ」として整理している。スマートデバイスをクラウドに接続するような形態のシステムでは、どこか1カ所を堅く守っただけではセキュリティを確保できず、複数のポイントでセキュリティ対策を施す必要があることを示している。マルチ・ポイント・セキュリティのキーワードは4つある。「端末で守る」「認証で守る」「ネットワークで守る」「運用で守る」である(図1)。ここからは、それぞれについて具体的に見ていこう。

▼図1 スマートデバイスの業務利用を支える「マルチ・ポイント・セキュリティ」の要素(※画像をクリックして拡大)
201106241203-2.jpg

●端末で守る

スマートフォンやタブレット端末を業務で使うときに、まず考える必要があるのは端末の機能を活用することである。例えばiPadなどのiOSの初期状態では、端末ロックを解除するためのパスコードは数字4桁となっている。業務利用する場合は、パスコードの利用を強制するのはもちろん、数字4ケタの「簡単なパスコード」ではなく英文字・数字を組み合わせたパスコードの使用が求められる。これだけでも、不用意に第三者に端末を使用されるリスクは軽減できる。さらに、パスコードの入力を一定回数間違えた場合に端末を初期化する「ローカルワイプ」も併用すると情報漏えいに対するリスク回避の可能性は高まる。

スマートデバイスは、エンターテインメント用の端末としても優れた機能を備え、さまざまな情報にアクセスしたり、各種のアプリケーションをダウンロードしてカスタマイズしたりできる。一方、業務用の端末として考えると、こうした機能や拡張性は業務効率の低下や予期せぬ情報漏えいのきっかけとなる可能性がある。対策としては、例えばiOSには、ブラウザやYouTube、カメラといったアプリケーションの利用を制限したり、アプリのインストールを禁止したりする「機能制限」のメニューがある。アップルが提供する「iPhone構成ユーティリティ」を使って社内のポリシーに合わせて機能制限を設定するなど、必要な対策を施すことができる。

●認証で守る

業務システムにアクセスできるスマートデバイスや個人を見極めるのが、ここで言う「認証」である。正規ユーザーのスマートデバイスはパスコードで守られていたとしても、別の機器から容易にアクセスできるようではシステムのセキュリティが成立しない。そこで考慮したいのが、正規のスマートデバイスかどうかを判別する「端末認証」だ。ここではデジタル証明書を端末にインストールする方法で、正規の端末であることを認証する例を示す。証明書がある「正規の端末」を、パスコードを知っている「正規の利用者」が使うことで、二要素認証が可能になる。また、社内の無線LANやVPNによるリモートアクセスは、端末認証を通ったデバイスだけに利用権限を与えることで、端末ごとのアクセス制御も可能だ。

利用者認証を、端末のパスコード利用より一段と強固にするためには、ワンタイムパスワードを利用するといい。ワンタイムパスワードとは、一度しか利用できない使い捨てのパスワードを使う方法で、パスワードをメモしたりできないので安全性は高まる。例えばトークンと呼ばれるワンタイムパスワード発生器を利用する方法や、碁盤の目状に並んだ数字から自分が登録した図形がなぞった数字を選んで入力するマトリックス認証などが利用できる。

●ネットワークで守る

遠隔地からスマートデバイスを利用して社内システムにアクセスしたりクラウドを利用したりするときには、必ずネットワークを経由する。その中でも特にリモートアクセスなどでインターネット回線を利用する場合には、ウイルス感染や情報漏洩などのリスクがつきまとう。
そこで、業務で利用する通信経路をインターネットから切り離してしまう対応策が考えられる。その実現方法には、(1)VPN(仮想閉域網)を使う、(2)閉域接続を使う――の2つがある(図2)。VPNはインターネット内に暗号化した仮想的な専用の通信パイプを用意して、インターネット上の脅威から通信を守る。一方の閉域接続は、前述したようにバックボーンからモバイル回線までをすべて提供している事業者のサービスで実現可能なソリューションである。インターネットとは異なるプライベートIPアドレスでリモートアクセスするため、インターネットからは完全に遮断されたリモートアクセス環境を作れる。IIJでは閉域型のリモートアクセスサービスも提供している。

===

▼図2 ネットワークでセキュリティ確保には、VPNの利用と、インターネットから見えない「閉域接続」が考えられる(※画像をクリックして拡大)
201106241203-3.jpg

VPNや閉域接続がネットワークの経路をインターネットから隔離する方法だとすると、アクセス制御ルールの設定はシステムの入り口の守りを固める方法だと考えられる。ユーザーのアカウントや端末種別ごとに、社内システムやクラウド上のリソースへのアクセス権を設定する手法である。ユーザーや端末の属性によって、アクセスできる範囲が変わる。例えば、同じユーザーのアカウントでも社内のパソコンからは個人情報のあるシステムにアクセスできるのに対し、社外に持ち出すスマートデバイスからはアクセスできないといった設定をすることが可能だ。

●運用で守る

最後のキーワードは、運用で守るである。ここでは大きく2つのソリューションを紹介する。

1つは、端末にデータを残さない運用を実現すること。可搬性の高いスマートデバイスを端末として利用するならば、仮想デスクトップソリューションを利用すると効果がある。仮想デスクトップソリューションでは、データも演算処理も企業内のサーバーやクラウド側にあり、端末では転送された画面情報を見ながら操作しているにすぎない。万が一スマートデバイスを紛失したとしても、端末側にはデータがないので情報漏えいのリスクは限りなく低くなる。また、スマートデバイスがiPadであれAndroidタブレットであれ、サーバーやクラウド側で実行するWindowsアプリケーションの転送された画面を見て操作するだけなので、端末を選ばずに社内と同様の環境でアプリケーションを利用できるメリットもある。

もう1つがMDM(モバイルデバイス管理)サービスの活用である。これまで示したように、スマートデバイスを業務で利用するには、盗難・紛失時の対策や業務外の利用の制限などに加え、業務にかかわるアプリケーションの配信といった端末管理の機能が求められる。これを実現するのがMDMである。IIJでは、MDMの機能をクラウド型のサービス「IIJ Smart Mobile Managerサービス」で提供している(図3)。これにより、企業は専用の設備への投資をすることなく、短期間にスマートデバイスの一括管理のインフラを構築できる。

▼図3 スマートデバイスの一斉管理をクラウド型のサービスを使って実現する(※画像をクリックして拡大)
201106241203-4.jpg

===

ネットワークは常につながるとは限らない

スマートデバイスを業務システムやクラウドに接続して使うときに、どうしても必要になるのが「ネットワーク」だ。スマートデバイスがスタンドアロンで処理できる業務には限りがある。ネットワークの彼方にあるサーバーに、リモートアクセスすることがスマートデバイス活用の前提条件になるのだ。その際に使うアクセス回線は、無線LANであったり3G携帯電話の回線だったりするが、いずれにしても無線のネットワークを介して利用することになる。

このときにクラウドでは、スマートデバイスがどんな回線を使っていたとしても、いつでもどこでもつながることが重要になる。無線ネットワークは、つながらないリスクが常にある。このリスクを業務利用の範囲でどれだけ減らせるかが業務遂行を左右する。3G回線を利用するならば、サービスエリアが利用者の移動範囲とマッチしていることが重要だ。異なる事業者に接続できるモバイルWi-Fiルーターを複数台持ち歩ければ、かなりエリアのリスクは低減できるのだが、これはコスト面などから現実的な解とは言いがたい。ここで無線LAN(Wi-Fi)機能がスマートデバイスのネットワーク冗長化に役立つ。3G回線が使えないときに、いざとなったら無線LANのホットスポットに飛び込んで業務の継続性を確保する方法である。複数の通信経路を利用できるようにすれば、ネットワーク圏外のリスクを低減させられる。今後、公衆無線LANのサービスエリア充実も見込まれ、公衆無線LANの活用も視野にいれたネットワーク設計を考慮すると良いだろう。

ネットワークの冗長化の視点から、クラウド利用の利点を考えてみたい。インターネットを足回りに使うモバイルクラウドならば、特定のキャリアに依存せず、柔軟なアクセス性を確保できるというメリットもある。企業の業務システムにリモートアクセスするとなると、専用のアクセス回線が必要になったりするが、クラウドならばインターネットに接続できさえすればシステムやアプリケーションを利用できる。要するに、物理的なアクセス回線の制約を外せることにつながるのだ。スマートデバイスがインターネット経由でクラウドに接続するとき、その回線は3Gであっても無線LANのホットスポットであっても構わない。自宅の回線でも、海外のホテルでも、インターネットが窓口になることでアクセスの可能性が飛躍的に高まる。すなわち、業務遂行能力が高まるのである。

ただし、ここでアクセス回線としてインターネットやモバイル回線を使う場合には、セキュリティや遅延といった要素を考慮しておかなければならない。例えばインターネットでISPをまたいで通信した場合には、往復の遅延は100ミリ秒を超えることもしばしば。モバイル回線も3Gでは100ミリ秒のオーダーで遅延が生じる。遅延に弱い仮想デスクトップのようなアプリケーションであればレスポンスが低下することもありうる。また、不特定多数のパケットが飛び交うインターネットにはセキュリティの心配もある。

ここで1つの解決法を紹介する。IIJは、クラウドサービスのIIJ GIO、顧客企業とのゲートウエイ、モバイル回線を提供するIIJモバイルを持っている。これらを組み合わせて利用すると、中継網は、IIJインターネットバックボーンに閉じたネットワークサービスを利用できる。IIJが提供する、低遅延、耐障害性の高いバックボーンが利用できるのである。例えばIIJの国内インターネットバックボーンは、月間の往復遅延の平均として10数ミリ秒程度の実績を実現している。モバイルでインターネット経由のクラウド利用であっても、インターネットの利便性と通信品質を両立したソリューションがあることを覚えておいてほしい。

===

利用用途に応じて、複数の対策を組み合わせる

導入機運の高まりを見せるスマートデバイスだが、実際の導入事例では、汎用性の高いパソコンの置き換えではなく、特定業務、定型業務の業務効率改善を図る用途が多く見られる。先に触れた、多数のカタログを扱う営業業務を効率化する用途は、その典型的な一例である。

iPadなどのスマートデバイスをプレゼンテーションの得意な業務端末と割り切ってしまえば、社内リソースへのアクセスを限定的にし、パソコン持ち出しに関する社内のポリシーを見直して、積極的に持ち出すことも可能になる。大切なのは、スマートデバイスの用途にあわせて、それぞれに適したセキュリティ対策を講じることだ。さらには、端末、ネットワーク、運用など複数のポイントで対策を施すことで、より安全にスマートデバイスを活用することが可能になる。

インターネットとモバイルクラウドをインフラとして活用することで、スマートデバイスは業務に大きく貢献する可能性を持っている。それだけに今、ここで説明したように安全で快適に使える環境の構築法を検討し、具現化していくことが求められている。

(談)
201106241203-5.jpg
青山直継氏
インターネットイニシアティブ(IIJ) マーケティング本部プロダクトマーケティング部課長
2001年4月に株式会社インターネットイニシアティブ(IIJ)入社。名古屋支社営業部、本社 営業部を経て、2006年度よりプロダクトマーケティング部門にて、インターネット接続サービス、VPNサービス、モバイル接続サービスなどのサービス企画を担当。2010年度からはiPad などのスマートデバイスの業務利用を実現するソリューションの立ち上げに携わる。


ワークスタイル/トポロジーを変えるモバイルクラウド

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

岩元 直久(いわもと・なおひさ)

日経BP社でネットワーク、モバイル、デジタル関連の各種メディアの記者・編集者を経て独立。WirelessWire News編集委員を務めるとともに、フリーランスライターとして雑誌や書籍、Webサイトに幅広く執筆している。