シャドーITで変化したセキュリティの「境界線」
さて、1番目の<「適切」のみ受入れ>だが、「適切」と「不適切」を分ける境界線は、スマートデバイス時代に入って大きく変化している。以前は、「社員か第三者か、それが境界線だった」と宮崎氏は話す。
しかし、スマートデバイスが普及し、BYOD(個人所有端末の業務利用)という問題が浮上した現在では、以前のように社員かどうかという境界線は、ふさわしいものではなくなっている。「社員が家族と共用しているタブレットは社内に入っていいのか。あるいは、宿泊したホテルで貸し出されたタブレットはいいのか。おそらく8~9割の会社は『それはちょっと困る』と言うのではないか」
“シャドーIT”という言葉も最近よく聞かれるが、会社の管理下にないデバイスから社内にアクセスするケースはもはや当たり前の状況だ。スマートデバイスの時代に入り、境界線を新しく引き直す必要が出てきているのである。
スマートデバイス時代に変化する「適切」と「不適切」の境界 |
従来のセキュリティシステムは、ID/パスワードによって、社員以外の第三者を排除していた。しかしスマートデバイスの時代には、「ID/パスワードを当然知っている社員の、許可していない端末」からのアクセスも排除できることが必要だ。
では、どう対策すればいいのか。「端末を識別すること。それがおそらく唯一の解決方法だ」と宮崎氏は話す。
端末識別とワンタイムパスワードで鉄壁の守り
社内システムにアクセスしてきた端末を識別する方法はいくつかある。1つは、IMEIというすべての携帯電話に付与されている識別IDを使う方法。ただし、このIMEIは、スマートフォンや3G/LTE対応のタブレットなどセルラー系の端末にしか振られておらず、「Windows PCなども含めたマルチデバイス対応を考えたときに一歩劣る」。
あらゆるネットワーク機器に振られているIDとしてはMACアドレスがあるが、こちらにも問題はある。「何もしないよりは100万倍安全だが、偽装されやすいといった課題が昔から指摘されている」
現在あるソリューションの中で、最も正解に近いのは「デジタル証明書」というのが宮崎氏の意見だ。デジタル証明書は様々な端末に入れることができ、また偽装なども困難だからだが、さらにもう1つ大きな違いがあるという。
端末識別方法としてはデジタル証明書が最適だという |
IMEIやMACアドレスの場合、一度IDを振ったら、その後は振り直せない。そのため、次のような事態が起こり得るという。スマートフォンを紛失したが、後で見つかったとしよう。当然、ユーザーは見つかった端末を使い続けるはずだ。一度紛失したら、セキュリティ上危ないから捨ててしまうというユーザーはまずいない。
しかし実は紛失中、悪意ある者がIMEIやMACアドレスを盗み見ていた。IMEIやMACアドレスで端末認証するシステムでは、悪意ある者が偽装してアクセスしてきた場合、防ぐことはできない。一方、デジタル証明書であれば、盗難・紛失時にその証明書は失効させ、新たな証明書を間単に発行することができる。
デジタル証明書を使った端末認証を行うために必要なものは、証明書を発行するCA(認証局)とRADIUSサーバー。無線LANやリモートアクセスゲートウェイを導入済みの企業であれば、このCAとRADIUSサーバーを追加することで、オフィス内および社外からのアクセスに対して端末認証が行えるようになる。
さらに、ワンタイムパスワードも加えれば、「スマートデバイスを使ったワークスタイル変革が、“鉄壁の防御”で可能になる」と宮崎氏は語った。
最適なシステムを安定的に長期運用するために
さて、これで1番目の<「適切」のみ受入れ>は解決。次のステップである<「最適」の維持>の番となるが、ここで力を発揮するのがソリトンシステムズの認証アプライアンス「NetAttest EPS」だという。
ソリトンの認証アプライアンス「NetAttest EPS」 |
NetAttest EPSは、プライベートなCA、RADIUS、ワンタイムパスワードの“3点セット”を1台で実現できるアプライアンス。ただ、「これは当たり前だと考えている」と宮崎氏。
同氏が強調したのは、「最適なシステムを安定的に長期運用できる」という点だ。堅牢な製品設計、ボタン1つでクローン機を作って二重化できる冗長性、ボタン1つのバックアップ/リストア、そして高度な知識が不要で約15分で初期設定できるユーザービリティなどが説明された。さらに、オプションのNetAttest EPS-apを活用すれば、大量のスマートデバイスへの証明書配布をセルフサービス化することもできるという。
最後のステップである<「快適・相応しい」業務>については、「経験上、1点だけ気を付けてほしい点がある」と宮崎氏は語る。それは、盗難・紛失による情報漏えいリスクに関して、社員の「自己責任」にしないこと。宮崎氏は「スマートデバイスを使う社員が何かミスしても、情報漏えいしないための担保を与えるのが一番」とし、その具体策として端末内のデータを遠隔から消去するリモートワイプや、端末にデータを残さないセキュアブラウザを挙げて講演を締めくくった。
ソリトンシステムズはセキュアブラウザソリューション「Soliton SecureBrowser/Soliton SecureGateway」も提供している |