スマートデバイスの導入前に実施したい「シャドーIT」の排除とその方法

スマートフォンやタブレットデバイスの普及を受けて、企業でもこうしたスマートデバイスの活用に注目するところが増えている。本格導入となればかなりの台数規模になるが、既存のネットワークアクセス環境はそれに対応できるものになっているだろうか。企業の安全なスマートデバイス導入を妨げかねない問題に「シャドーIT」の存在がある。

[PR／ITmedia]

PR

企業ネットワークに潜む「シャドーIT」

　今や多くの個人が所有するようになったスマートフォンやタブレットデバイス。簡単に持ち運べる携帯性やネットワークを常時利用できる利便性などから、ビジネスにも活用すべきと考えるユーザーが増えつつある。こうした声をうけてスマートデバイスの活用を検討し始める企業も多い。だがスマートデバイスの本格導入において、「シャドーIT」と呼ばれる企業の管理下に置かれていないIT機器、つまり社員が持ち込む個人所有デバイスの存在が大きな問題になり始めている。

　従来の企業におけるクライアント環境に目を向けると、社員に支給されるPCはIT資産管理システムや資産台帳などに網羅され、適切に管理されてきた。社内から企業ネットワークに接続する際は有線LANあるいは無線LANでアクセスをし、特に無線LANに接続する際は、悪意ある第三者からの不正接続を防止するために、IDやパスワードによる認証を行うのが一般的だった。

　オフィスの外でのPC利用については、「個人情報の保護に関する法律（個人情報保護法）」の施行と前後し、情報漏えいが社会問題化した2000年代半ば以降、さまざまなセキュリティ対策の仕組みが登場し、実際に導入されている。社外から企業ネットワークにアクセスする場合については、IDとパスワードによる認証の仕組みによってネットワークの接続を許可してきた。

だが、IDとパスワードによる認証で守られてきた企業ネットワークの安全性をシャドーITが脅かしつつある。シャドーITという言葉自体は古くから存在したが、これまであまり知られていなかった。企業が社員にPCを支給することが一般的であったため、社員が個人所有のPCをわざわざ社内に持ち込むという必要性がほとんどなかったからだ。第三者によるPCの持ち込みはセキュリティリスクとして認識されていたものの、社員によるPCの持ち込みのリスクは、比較的低く認識されていた。

　多くの企業がそのように認識したままの中で、スマートフォンやタブレットデバイスが一気に普及した。スマートフォンやタブレットデバイスは、PCに近い情報処理能力やネットワーク接続機能を持っている。この点に気付いた一部の社員は、自然と「自分のスマートフォンやタブレットデバイスも会社のネットワークにアクセスして利用できるのではないか」と考えるようになる。

　社員はIDとパスワードを知り得る立場にある。これを自分のスマートデバイスに入力して、ネットワークにアクセスし、オフィスの中で個人所有のスマートデバイスを勝手に使い始める。特に悪意はなく、むしろ自ら進んで業務を効率化したいという「善意」からスマートデバイスの中にさまざまな業務に関するデータを保存して、持ち歩こうとする社員もいる。そんな状況でスマートデバイスが盗難や紛失に遭えば、会社の目の行き届かないところで、簡単に情報が漏えいする。これがシャドーITの怖さであり、そうしたシャドーITが今、オフィスの中で急増しているのだ。

　企業がPCに加えてスマートデバイスを社員に支給しようにも、もはやPCと同じような運用はできないだろう。スマートデバイスを安全に利用できるようにするためには、まず旧来の対策システムをスマートデバイス時代に応じたものへ再構築する必要がある。

シャドーITによるリスク

シャドーITを排除していく

シャドーITは企業にとって新たなセキュリティリスクにように思われがちだが、シャドーITの排除に新しいアプローチは必要ない。そのアプローチとは、かつて多くの企業が実践してきたように、適切なクライアントデバイスだけがネットワークに接続できる環境にすることである。

　先に触れたように、IDとパスワードのみのネットワーク認証ではシャドーITを排除できない。ネットワークアクセスを要求しているデバイスが会社の管理下にあるものか、シャドーITによるものかを判断することが難しいためだ。会社が認めたデバイスからの接続のみを許可する場合は、デバイスを特定する必要がある。

　さらに、スマートデバイスからのネットワークアクセスでは、可能な限り携帯性や利便性といったメリットを損なわないで済む認証を検討したい。そこでソリトンシステムズは、デジタル証明書を使ったデバイス認証の活用を勧めている。デジタル証明書は無線LANやリモートアクセス(VPN)の認証に利用することができ、認証情報を偽装することが非常に困難である。

　また、利用者にとっては利便性の向上というメリットがある。無線LANでは初期設定さえ行えば、次回から無線LAN接続エリアに入った時点で自動的に接続されるため、利用者は何度もIDとパスワードを入力する手間が無くなり、業務効率が向上する。

「簡単」「安心」「長期利用」を実現した認証基盤

　デジタル証明書を利用するためには、証明書の発行や失効といった一連のサイクルを支える認証局（CA）が必要になる。また、デジタル証明書を用いてネットワークの認証を行うためには、RADIUSと呼ばれる認証サーバーも必要になるだろう。

　幸い、これらは多くのベンダーから多様な製品が販売されており、システムを検討する際には、広く提供された選択肢の中から最適な組み合わせを吟味することができる。製品の選定が終われば、後は着実に構築を進めて行けばよいはずだが、ここで多くの管理者がこの段階で頭を悩ませることになる。安定稼働が求められる基盤を構築し、長期間の運用体制を実現するために越えなければならないハードルが、思いのほか高いという現実である。

ネットワーク認証に求められる基盤

　この課題を解決するソリューションとして、現在多くの企業からの注目を集めているのが、ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」だ。

　同製品は、RADIUSやCA、ワンタイムパスワードサーバ、データベースなどを1台に統合したオールインワン認証アプライアンスだ。2003年に発売され、既に10年以上の歴史と豊富な導入実績を誇る製品だ。

　その特徴は、（1）特別な知識や技術を必要とせずに導入、設定できること、(2）万一のトラブルの際にもサービスを安定して継続できること、（3）長年にわたって運用していけること――の3つである。

NetAttest EPSの3つの特徴

　ネットワーク認証に必要なソフトウェアとハードウェアが一体になったオールインワンアプライアンスであるため、先にあげた認証基盤に必要な構成要素をユーザーが “いち”から調達、組みたてる必要が無い。セットアップもウィザードに従って設定するだけで良く、デジタル証明書の発行もWebベースの管理画面から必要な項目を入力して数クリックの操作だけで行える手軽さだ。

　専用設計のハードウェアと独自OS「NAOS」は堅牢性に優れており、また万一の障害に備えるバックアップ・リストア機能も充実している。さらに2台のNetAttest EPSをマスター・スレーブの構成で同期させながら冗長化を図ることも可能だ。製品のバージョンアップについては、同社サイトからファームウェアを取得して管理画面から更新するだけで、常に最新の安定した状態を維持することができる。

　NetAttest EPSは、これまでに国内で販売されてきた多数の有線LAN機器や無線LAN機器、VPN装置とも連携実績がある。同社でも複数のネットワーク機器メーカーと共同で相互接続試験を定期的に実施しており、ユーザー企業は既存のネットワーク環境へ安心してNetAttest EPSを導入できるだろう。

　製品ラインアップは利用規模に応じて3モデルを用意しているが、同社によれば、多くの導入企業が規模を柔軟に拡張していけるオプションを活用しており、スモールスタートから本格展開まで、1台のアプライアンスで対応していける。

認証基盤の構成要素をオールインワンのアプライアンスに

モバイルの本格導入にも柔軟に対応

　このように企業は、NetAttest EPSを利用することで、デジタル証明書によるネットワーク認証を容易に実現できる。デジタル証明書をインストールしているデバイスからのネットワークアクセスだけを許可するようにすれば、デジタル証明書を持たないシャドーITのデバイスをネットワークから排除していけるだろう。

　ただ、スマートデバイスを本格導入する場合、やはり気になるのが導入・展開作業ではないだろうか。スマートデバイスの導入を実験的に小規模からスタートする場合は、NetAttest EPSで発行したデジタル証明書を1台1台のデバイスにインストールして対応できるが、数百台、数千台といった大規模導入となるとインストール作業に必要な工数も台数に比例して大きくなってしまう。

　そこでソリトンシステムズは、NetAttest EPSと連携するオプションの「NetAttest EPS-ap」も提供している。NetAttest EPS-apは、Webベースの申請ワークフローシステムで、利用者からの申請に対し承認するような形でデバイスに安全にデジタル証明書を配布することができる。さらには、デバイスが盗難や紛失に遭った際に有効なリモートロック／ワイプ機能も有しているため、運用フェーズでも有効活用できる。

　申請方法も非常に簡単である。ユーザーはスマートデバイスからNetAttest EPS-apにブラウザでアクセスし、デバイスを申請する。すると、NetAttest EPS-apがデジタル証明書やネットワークの接続設定等々を自動的に端末に配布・適用するため、ユーザーは複雑な操作をする必要がない。NetAttest EPS-apを利用することで、デジタル証明書の配布をセルフサービス化して管理者の負荷を軽減することができる。現在はiOSデバイスでこの仕組みを利用できるが、この夏からはAndroidでも利用可能になる予定だ。

　シャドーITの排除に成功することによって、ようやく企業として適切な管理のもとに安全にスマートデバイスを活用していくための準備に着手できる。ここからは、スマートデバイスをどのように活用していくか方針を決め、方針に基づいて社員にデバイスを支給するのか、一定の管理のもとに個人所有のデバイスの利用（BYOD）を認めるかを判断する。それぞれの導入形態に応じてMDM（モバイルデバイス管理）やセキュリティ対策などを整備し、ようやく業務シーンにおける活用フェーズへと入っていける。

---

　ソリトンシステムズは、既に企業ネットワークの中に多くのシャドーITが蔓延し、潜在的なリスクになっていると考えている。また、スマートデバイスの導入・活用は企業のクライアント環境をさらに複雑化させる。WindowsやiOS、Androidなどの様々なデバイスが混在する環境において、企業ネットワークの安全を確保するにはマルチプラットフォームに対応した認証基盤がまず必要になるだろう。その基盤をするNetAttest EPSは、企業における有力な選択肢となるはずである。