スマートデバイスからのリモートアクセス、最適な認証方式を選べているか？：モバイル活用の基盤づくり

企業ネットワークへの接続を希望するスマートフォンやタブレット端末とどう向き合うべきか。導入して安全に利用できるだろうか、安全に利用するためにはどうすればよいか。これらの端末を利用したいという要望が日々強まる中で、導入に際してできるだけ既存のポリシーを変えることなく、コストも抑えたいというのがIT管理者の本音ではないだろうか。ソリトンシステムズのネットワーク認証アプライアンス「NetAttest EPS」でこれを実現していく方法を探ってみたい。

[PR／ITmedia]

PR

スマートデバイス時代で再考すべき認証

　スマートフォンやタブレット端末といったスマートデバイスの業務活用が注目を集めるようになって久しい。オフィスの外にこれらのデバイスを持ち出し、ワークフローの承認業務を滞りなく行う、あるいは、セールスマンが客先でペーパーレスのプレゼンテーションを行うといったシーンが珍しくなりつつある。

　スマートデバイスを業務で利用する場合に、ほぼ必須となるのが企業ネットワークへの接続だ。メールやスケジュール、ワークフローの申請・承認状況の確認、営業報告や経費精算を行うのにも、まずは社内の業務システムにアクセスしなければならない。特に企業ネットワークへのアクセスをオフィスの外から行う場合は注意が必要である。アクセスを要求するデバイスは会社が認めた端末かどうか、あるいは、アクセスを要求している人物が権限を持った社員や関係者であるかを正確に特定しなければならず、そのファーストステップとなる「認証」が非常に重要なポイントであることは、言うまでもない。

　スマートデバイスの活用が注目を集める以前は、モバイルPCから企業ネットワークへリモート(VPN)アクセスするのが一般的だった。持ち出すモバイルPCはHDDを暗号化し、OSログインには固定のID・パスワードと、指紋認証やICカードなどを併用する。ネットワークへのアクセスにはPCにインストールされたデジタル証明書か、ワンタイムパスワードなどを使って認証するという具合に、厳重なルールやポリシーが定められていた。

　こうした厳重なルールやポリシーが必要であった理由は、モバイルPCの利用に限定されるものではない。数多くのスマートフォンやタブレット端末が企業ネットワークへのアクセスを要求するようになった今、従来のモバイルPCで講じた対策やルールと新たに加わるデバイスでどう折り合いをつけていくか、社員に対してセキュリティの教育や啓発をどう行うべきか、またセキュリティ対策を行うにあたりコストをいかに抑えていくか――IT管理者としては実に悩ましい問題が山積している。

デバイスに左右されない認証

　上述のように、企業ネットワークにアクセスするモバイルデバイスがPC中心だった時代においても、それなりの手間をかけなければ安全に利用することが難しかった。これに多数のスマートデバイスが加わるとなれば、IT管理者の負荷もより高まる。こうした問題に対してソリトンシステムズは、オールインワン認証アプライアンス製品「NetAttest EPS」の活用を提案している。

　NetAttest EPSは、固定のIDやパスワード、MACアドレス、ワンタイムパスワード、デジタル証明書による認証方法を1台のアプライアンスで提供し、デジタル証明書の発行や管理、失効などを行うプライベートCA（認証局）機能も備える。富士キメラ総研の調査ではRADIUSアプライアンスとして国内トップシェアを誇る実績の高い製品だ。

　スマートデバイスからの安全なアクセス環境を構築するために、まずは既存のネットワーク認証関連の仕組みをNetAttest EPSに統合してシステムの増強や追加に関わるコストを抑制していく。従来では認証処理やワンタイムパスワードの生成や管理、プライベートCAといった機能ごとにサーバやソフトウェアを用意しなければならなかったが、これらを1台の機器に集約できるメリットは大きいだろう。

　さらに、スマートデバイスでの認証ではモバイルPC中心のアクセスと同様に、ユーザーやデバイスを正確に特定できるよう複数の認証手段を利用する。基本的なルールやポリシーを踏襲しつつ、スマートデバイスの特性に合わせた手段を講じることになる。

　というのも、スマートデバイスはPCに比べて制約があり、例えば、指紋認証やICカードの読み取り機能を備えた製品は少ない。また、認証方法が複雑となれば、ユーザーの使い勝手も損なわれるだろう。

　そこで推奨されるのが、デジタル証明書とワンタイムパスワードを組み合わせた認証だ。まずデジタル証明書の有無でアクセスを要求するデバイスが許可されたものであるかを識別する。そして、IDと認証トークンにより発行されたワンタイムパスワードを用いてユーザーが許可されている人物であるかを認証する。近年、ワンタイムパスワードはコンシューマ向けのクラウドサービスでも広く利用されるようになり、ユーザーが使いやすい認証手段の1つになっている。

NetAttest EPSによるリモートアクセス認証のイメージ

　ただ、デジタル証明書の利用では台数規模が大きくなればなるほど、その展開に管理者の手間が増えてしまうことが多い。この課題に対して、ソリトンシステムズでは「NetAttest EPS-ap」というオプションを用意している。NetAttest EPS-apは、ユーザー自身でデジタル証明書の申請・発行が可能なポータル機能を提供する。管理者はワークフロー機能で通知された申請内容を確認して「許可」「拒否」を判断する。管理者が許可したデバイスにはデジタル証明書やセキュリティポリシー、設定（構成プロファイル）が適用される。NetAttest EPS-apではMDM（モバイルデバイス管理）機能も備えており、管理者もしくはユーザーが盗難や紛失に遭ったデバイスを遠隔操作でロックしたり、デバイス内の情報を消去したりできるようになっている。

NetAttest EPS apはデジタル証明書の展開に伴う負荷を軽減する

　また、ワンタイムパスワードを利用する場合にハードウェアトークンなどが必要だが、一般的なハードウェアトークン製品は利用可能な期間が3年という場合が多く、1つ当たりの単価も高額だ。利用台数の規模の大きなスマートデバイスではハードウェアトークンの購入コストも無視できないものだろう。それに紛失や盗難、故障による再購入のコストも発生する。

　NetAttest EPSは、金融機関のオンラインバンキングサービスでも採用実績のあるVasco Data Securityのハードウェアトークンを使用している。トークンの信頼性が高いことはもちろん、最長7年の電池寿命まで利用できるため、トークンの運用コストを抑えられる。ハードウェアトークンだけでなく、スマートフォンやタブレット端末などにインストールして利用するソフトウェアトークンも提供しており、ユーザーの好みに合わせて選択できる柔軟性も特長となっている。

---

　スマートデバイス活用が始まった当初は、業務アプリケーションの限定的な利用やペーパーレス化といったものが中心だった。現在では事業継続やワークスタイル変革などの観点でも注目されるようになり、サーバ上に仮想化したデスクトップ環境へスマートデバイスからアクセスするといったシーンも広がりつつある。さらには、従業員が個人所有のデバイスを業務に利用する「BYOD（Bring Your Own Device）」も登場。一部企業ではBYODがIT管理者の対応よりも先に広まり始めた。

　こうした利用シーンに共通するのは、企業ネットワークへの接続が必要であること。それだけに、ネットワーク認証の重要性は以前に増して高まっているとも言えよう。多様化するネットワーク接続の安全を無駄なく実現するためにも、NetAttest EPSのような方法を検討してはいかがだろうか。