Special
» 2019年12月06日 10時00分 公開

モバイル・SaaS時代のセキュリティ対策は、VDIしかないのか? ソリトンの新提案

[PR/ITmedia]
PR

 「デジタルトランスフォーメーション(DX)」「デジタル経営」「データ経営」といった用語がIT業界のみならず、一般のビジネスシーンでも頻繁に使われるようになった。こうしたデジタル化の波は企業におけるビジネスパーソンの働き方を一変しつつあり、モバイルPCやスマートフォンを駆使したモバイルワークやテレワークが急速に普及してきている。

 業務システムやアプリケーションの在り方も、大きく変わりつつある。年々スピードを増すビジネス環境の変化にいち早く対応するために、業務システムもかつてのように長時間かけてじっくり開発・導入するのではなく、業務用のSaaSアプリケーションを素早く立ち上げて使い始める方法に徐々に移行している。

 近年取り沙汰される「働き方改革」も、こうした傾向に拍車を掛けている。従業員がオフィスに出社せずとも業務を遂行できるよう、在宅勤務やサテライトオフィスの環境整備に乗り出す企業が増えてきており、そのためにも「社内に導入した業務システムを社内に設置された端末から利用する」というスタイルから、「社内外に点在する業務システムにあらゆる場所からアクセスする」というスタイルへの転換が求められている。

photo 写真はイメージです

 その際、大きな課題になるのが「情報セキュリティの確保」だ。在宅勤務やリモートワークのための社外へのデバイス持ち出しは、仕事の効率や機動性を高める効果がある半面、紛失・盗難やマルウェア感染に伴う情報漏えいリスクと常に隣り合わせだ。そこでこうしたリスクを排除するために、デスクトップ環境を端末上ではなくサーバ上で稼働させるVDI(仮想デスクトップ)のソリューションを導入する企業も多い。

 しかしソリトンシステムズの佐野誠治氏(ITセキュリティ事業部 プロダクトマネージャー)によれば、VDI見直しの検討を進める企業も少なくないという。

 「VDIは一定以上の規模でないとコストパフォーマンスが出ませんが、一方で大規模なVDI環境で快適なパフォーマンスを出そうと思うと、高額な投資が必要になります。また端末からサーバ上のデスクトップ環境やその先の業務システムにアクセスするためには、VPN接続や認証など業務を開始するまでに煩雑な手間を要し、ユーザーの使い勝手の面でも課題があります。一度はVDIを導入したもののそこからの脱却を図る企業も出始めています」

VDIからの脱却を可能にするIDaaSソリューション「Soliton OneGate」

 こうした課題を抱える企業に対し、ソリトンシステムズが提案するのがIDaaSソリューション「Soliton OneGate」だ。IDaaSとは、各業務システムのIDと認証の統合管理をクラウドサービスとして提供するもので、モバイル・SaaS時代にふさわしい新たな認証の在り方として注目を集めている。

 これまでのID管理・認証システムは企業のオンプレミス環境に設置され、「インターネットとの境界線上で防御しているので、社内ネットワークは基本的に安全である」という前提の下に、ID/パスワードの管理やプロビジョニング、SSO(シングルサインオン)認証などの機能を提供していた。

 しかし社外から社内ネットワークを経由せず、直接SaaSアプリケーションを利用するようなケースでは、IDと認証管理の仕組み自体もクラウド環境上から提供した方が合理的だ。こうした考えから生まれたのが、IDaaSのソリューションだ。

 Soliton OneGateは国産のIDaaSソリューションとして、国内外のSaaSアプリケーションへのSSO認証とIDプロビジョニング機能はもちろん、デジタル証明書の発行・管理を行う認証局の機能も標準提供されており、社内外に点在する業務システムのIDと認証をまとめて管理できるようになる。

photo

 現在、国内外のベンダーからIDaaSのサービスが提供されているが、Soliton OneGateは他のサービスにはないユニークな特徴を多数備えている。その1つが、オプションとして利用できる「Soliton SecureBrowser」「WrappingBox」だ。

 「SecureBrowserは端末上にデータを一切残さずWebアプリケーションをセキュアに利用できる製品で、これを使って仕事を行う限り、万が一端末が盗難・紛失に遭っても情報が漏えいすることはありません。またWrappingBoxは、Officeアプリケーションをサンドボックスの分離領域内で動作させるというもので、マルウェア感染や情報漏えいのリスクを低減できます」(佐野氏)

 これらは、VDIより低コスト・短期間で導入でき、VPN接続することなくスマートデバイスから直接、業務システムにアクセスできるため、接続や認証のための手間も最小限で済む。また、PCにもスマートデバイスにも容易に導入できるため、会社が従業員に支給するデバイスだけでなく、従業員の私物デバイスを業務利用する「BYOD」にも適している。そのため、「VDIの見直しを模索している企業にとっては、うってつけのソリューションといえます」と佐野氏は力説する。

photo

デジタル証明書を使った強固かつ柔軟なアクセス制御

 ソリトンシステムズは、もともとデジタル証明書認証のソリューションで定評のあったベンダーであり、Soliton OneGateでもデジタル証明書の発行・失効といった運用を効率的に支援する機能が提供されている。従業員が利用する端末がもし盗難や紛失に遭った場合は、Soliton OneGate上で該当端末の証明書を失効することで、業務システムにアクセスできない状態となる。ソリトンシステムズの伊佐美咲氏(ITセキュリティ事業部 プロダクトマネージャー)によると、これらの証明書を「ユーザーとデバイス種別を自動でひも付けて管理する」という点がSoliton OneGateの大きな特徴という。

 「OneGateはActive Directoryのユーザー情報と連携して証明書の発行・配布が行えるようになっています。しかし、単にユーザーごとに証明書を発行するだけでは、1人のユーザーが複数のデバイスを利用している場合、デバイス種別が分からず失効処理が煩雑になってしまいます。かといって端末名で証明書を発行・管理しようとすると、利用者IDに加え端末名も管理する必要がでてくるため、運用負荷が大きく上がってしまいます。その点OneGateなら、証明書発行時にユーザーとデバイス種別を自動でひも付けて管理するため、デバイス単位で証明書を失効させることも容易です。これなら万が一あるデバイスを紛失しても、ほかのデバイスはそのまま利用し続けられるため、業務を滞りなく継続できます」(伊佐氏)

ADFSの制約や運用負荷の課題を解決する手段としても

 早くからSaaSアプリケーションの導入を進めてきた企業の中には、社内にADFS(Active Directory Federation Services)の環境を構築し、Office 365などの認証管理を行っていたところもあるだろう。しかし佐野氏によれば、そうしたやり方を採用した企業が、壁に突き当たっているケースも少なくないという。

 「多くの企業がOffice 365の導入を機にADFS環境を構築しましたが、Office 365以外のSaaSと連携させようと思うと連携設定に手間が掛かる上、大半のADFS環境はオンプレミス上に構築されたため、社外から利用するにはVPN経由で認証する必要があります。部門で利用しているSaaSアプリケーションの認証統合ができず、運用負荷がクラウド促進の足かせとなっているケ―スもあるようです」

 中には、こうした制約を克服するためにIDaaS機能を持つ「Azure AD」への移行を計画する企業もあるが、そうするとMicrosoft Intuneでデバイスを管理する必要が出てくる。佐野氏は「ライセンスコストの負担や、BYOD端末の管理性などの課題に突き当たっている企業も少なくありません」という。

photo 左からソリトンシステムズの伊佐美咲氏、佐野誠治氏

 その点Soliton OneGateは、SecureBrowserやWrappingBoxなどを利用すれば、そもそも端末上にデータが残らないため、万が一端末が盗難・紛失に遭っても情報漏えいの心配はない。かつ、ソリトンシステムズならではの強力な証明書ソリューションと一体になっているため、不正アクセスのリスクも最小化できる。そのため、端末の運用やセキュリティ対策を担う情報システム部門にとっても、最小限の管理工数で端末の社外利用やクラウド利用を促進できるというメリットがある。

 「このほかにも、スマートフォンの生体認証機能を活用した二経路認証や、クラウドと社内システムをまたいだシングルサインオン化も可能です。管理者にとって運用負荷が少なく、利用者にとっても利便性が高い認証基盤を実現できます。Soliton OneGateは、『VDI環境やADFS環境からの脱却』『端末管理の簡素化』『ゼロトラストやパスワードレス認証の導入』など、多くの企業が抱えているニーズにお応えできる次世代認証サービスです」(佐野氏)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2019年12月31日