結局、PCを完全に駆逐することができないならば、同じLAN環境に共存可能で、安全に運用できるシンクライアント製品を「セキュアなインフラにアクセスするための専用環境」と割り切り、外出時の端末としてはスタンドアロン動作が可能なPCやPDAを活用する方向性でセキュリティを確保する方法論を考えてみよう。
まず、むやみに何でもセキュアにするのではなく、何を保護すべきか棚卸ししてみよう。
製品のデモ環境、カタログ、プレゼン資料などは公開情報として、いままでどおりPCで扱えばよい。個人情報や機密情報およびそれらを操作するアプリケーションについては、社内のシンクライアント端末からのみアクセスを許可する別立てのシステムにして、これはシンクライアントのセッションサーバ以外のネットワークからは接続できないように隔離する。
同じLANのネットワークにつないでも、きちんとPCがアクセスできる環境とシンクライアントがアクセスできる環境を隔離してくれる製品を導入すれば、「公開」環境に「機密」データが漏れてしまう心配もない。
さて、悩ましいのはメールやアドレス帳、スケジュール管理ソフトだ。「外出先からは確認できません」では業務効率が大幅に落ちてしまうが、PCやPDAを落として取引先のメールアドレスや連絡先が見知らぬ第三者の手に落ちることは避けたい。端末にパスワードロックをかけることはできるが、失った情報は返ってこないし、ロックされていても紛失した事実は変わらない。
このようなケースの対策には、「Googleカレンダー」や「Gmail」などのWebサービスを活用して、端末にはブラウザソフトしかインストールしないというのはいかがだろうか? 外部のサービスを利用することに抵抗がある、またはフルスペックのOutlookを利用できないと嫌な方には、社内のサーバでOutlookクライアントを起動して、その画面をWebアプリケーションとしてブラウザからアクセスできるように表示してくれる「Sun Secure Global Desktop」のようなポータル型シンクライアント製品もある。事前に専用クライアントソフトをインストールしておく必要がないので、緊急の場合はネット喫茶などからでも利用できる。
オフィス内での機密情報アクセス性も改善したい場合は、専用シンクライアントでもICカードと認証パスワードだけで、どこの端末にも作業画面を呼び出せるセッション転送機能のある製品を利用してみよう。
企業LANで結ばれたオフィス間はもちろんのこと、一般的なISPでつながれた自宅にVPNを内蔵したシンクライアント端末を設置し、ICカードだけ持って移動すればセキュアな空間として会社が認めたところなら、「どこでもオフィス」として利用が可能だ。在宅でもオフィスと100%同じ業務が行えて、端末を持って移動する必要もなくなる。
こういったICカードを利用したセキュリティ強化は、いろいろな所に応用が広がっている。1枚の社員証で自分の端末認証だけにとどまらず、印刷した本人がプリンタにカードをかざしたときに初めてプリントアウトが出力される認証印刷や、入退室警備セキュリティとの連携などにも利用可能で、より広義のオフィスセキュリティとしての応用も広がる。
以上のように、いままでPCという1つの器にすべての情報資源を格納していたのを、内容に応じて分類して保護すれば、操作性を犠牲にせずに、セキュリティと機動性の両立したオフィス環境が実現可能だ。御社のオフィスでも検討してみてはいかがだろうか?
白川 晃(しらかわ あきら)
デスクトップ・ソリューション本部 主幹部長
アスキー、ネットスケープ・コミュニケーションズ、コバルト・ネットワークスを経て、2000年より現在のサン・マイクロシステムズに勤務。2003年より、現在のSun Rayシンクライアントを担当。現在の専門スキルが要求されるデスクトップ環境を、家電のように誰でも簡単に使えるデバイスで利用できるネットワークサービスにして、“The Network Is The Computer”を実現することが夢。
Copyright © ITmedia, Inc. All Rights Reserved.