ソリトンの認証基盤「NetAttest EPS」がBYOD実現の“近道”となる理由

　調査会社の米IDCの発表した予測によると、タブレット端末の出荷台数が2013年中にデスクトップPCを上回り、2014年にはノートPCを上回るらしい。いまオフィスの中を見渡せば、誰かしらがスマートフォンやタブレット端末などの“スマートデバイス”を手にとっていることだろう。

　このような状況をうけ注目されているのが「BYOD（Bring Your Own Device）」――私物端末の業務利用だ。普及の著しいスマートデバイスを活用することで業務の生産性を向上させる。スケジュールやメールを外出先からチェックするだけでなく、客先でプレゼンを行いその場で見積もりを作成するなど、その可能性は限りなく広がっている。

　しかし、一方で懸念されるのが、スマートデバイスが不適切に利用されることによる情報漏えいリスクだろう。例えば、システム部門の管理下にない端末やITシステムによる業務を「シャドーIT」と呼ぶことがある。スマートデバイスの急増により、多くの企業でこのシャドーITへの対応が差し迫った課題となっているのだ。

　本連載では、BYODについて考察したい。スマートデバイスを用いたBYODには、確かにセキュリティ面で課題が存在する。しかし、この課題を克服し、うまく使いこなすことができれば企業にとってこれほど魅力的なソリューションはない。どのように進めるべきなのか、どのような対策が効果的なのか。コストと効果のバランスを見極めて、可能な限り推進していくべきだと考える。本連載がその一助となれば幸いである。

　一回目となる今回は、スマートデバイスの活用に不可欠なネットワーク接続、そのセキュリティ確保に役立つ製品として、株式会社ソリトンシステムズ（以下、ソリトン）の認証アプライアンス「NetAttest EPS」を取り上げる。多くの企業にとって「BYODのはじめの一歩となる」という同製品。その特長やスマートデバイスの有効活用に向けての位置づけ、その先の展開について、株式会社ソリトンシステムズ プロダクトマーケティング部の宮崎洋二氏に話を聞いた。

宮崎洋二氏

NetAttest EPS

「シャドーIT」がはびこる前にまず認証基盤

　NetAttest EPSは、デジタル証明書やワンタイムパスワードによる“高度な認証”を1台で提供するアプライアンス製品だ。無線LANアクセスポイントやVPNゲートウェイと連携することで、不正な端末や人物による企業ネットワークへの侵入を確実に阻止できる。
利用規模に応じて3モデル提供されており、200ユーザーまで対応する「EPS-SX04」、200～5000ユーザー（オプションで拡張）まで対応する「EPS-ST04」、10万ユーザーまで対応する「EPS-DX04」から選択できる。

　NetAttest EPSは、ソリトンが10年以上わたり開発販売を続けてきた長い歴史を持つ。もちろんスマートデバイス専用という訳ではなく、企業ネットワークのセキュリティ確保の必需品として堅調に実績を重ねてきた製品である。それが、宮崎氏によると、スマートデバイスの企業利用が本格化してきたここ２年、需要が急拡大し出荷台数も倍増したという。

　宮崎氏はその背景について、「スマートデバイスの急速な普及と、それにともなうBYODへの期待の高まりは、良くも悪くも社員が日々オフィスに持ち込む私物端末に注目を集めました。『この私物端末と今後どう向き合っていくのか。』その検討の中で当社製品の有用性が評価されたようです」と分析する。

　もともと、多くの企業では私物のノートPCやUSBメモリなどの業務利用を禁止し、何らかの対策を講じてきた。基本的にスマートデバイスもその延長上にあるはずである。更にノートPCやUSBメモリと比較して、社員側に「持ち歩く必要・必然性」があり、「企業システムへの接続性」「オフィス風景への溶け込み」の面も考慮すると従来のデバイスよりもシャドーIT化しやすい特性を持っているといえる。このことがスマートデバイスの魅力や可能性と相まって、いま改めてシャドーITの問題を浮き彫りにしたのだろう。

　「現在、多くの企業の会議室ではスマートデバイス活用の方針が話し合われている。しかし、その足元では社員による“勝手”なBYOD、シャドーITがはびこっているかもしれません。」という宮崎氏は、日々オフィス内に持ち込まれているスマートデバイスの急増と、それら私物端末が企業ネットワークに接続できてしまうリスクを指摘する。

オフィスに蔓延するスマホ

スマホのシャドーIT化は「必然」

スマホの強みが情報漏えいにつながる「ジレンマ」

　スマートデバイスの活用を検討する場面では、最初にMDM（Mobile Device Management：モバイル機器管理）というキーワードを挙げられることが多い。MDMは多種多様な製品が多くのベンダーから提供されており、スマートデバイスを安全かつ有効に活用するために無くてはならないソリューションとなる。その有用性に疑う余地は無いのだが、シャドーITがはびこる現状は待ったなしだ。BYODを実現するにはこのMDMの選定をはじめ、考慮しなければいけないことが多く、実現までにそれなりの時間を必要とするだろう。その間の安全を確保するために「まずはネットワーク・認証基盤を整えるところから始めよう」というのがソリトンの考え方なのだ。

　そこで「NetAttest EPS」。まず同製品でネットワーク基盤を整備し、シャドーITが勝手にネットワークに接続できない環境とする。実際に「アプライアンスですぐ使えるNetAttest EPSの導入が進んでいます」と宮崎氏は語る。

セキュリティ対策を考える順序

認証基盤を整備することでシャドーITを排除できる

マルチデバイスに対応できるデジタル証明書認証

IDとパスワードは、人を区別するだけで端末を区別しない。そのためシャドーITには効果がない

　シャドーITを排除する手段としてデジタル証明書は最適だと宮崎氏は語る。現在、IDとパスワードはもっとも広く普及している認証方式だ。企業ワイヤレスネットワークやリモートから接続する際にも用いられ、長く外部からの不正侵入を防いできた。ただし、このIDとパスワード認証は基本的に「人」を区別するものであり、使用している「端末」までは意識していないことが多い。IDとパスワードは、（正当な人物であれば）私物端末からでも認証情報を入力できてしまう。特定端末のみネットワーク利用を許可するといった、シャドーIT対策には効果が期待できない。そこで「デジタル証明書で端末認証する」（宮崎氏）という訳だ。

　NetAttest EPSは、自身に搭載するプライベートCA機能でデジタル証明書の発行を行う。同製品から発行される証明書は「プライベート証明書」に分類されるものだ。今回のように企業内ネットワークのセキュリティ確保を目的として端末認証を行う場合には、自社のポリシーにあわせて柔軟な運用ができるという点で、このプライベート証明書が向いているという。例えば、スマートフォンの運用期間に一致させたデジタル証明書を自由に発行することができる。さらには、デジタル証明書の発行にかかる費用も不要のため、運用コストを抑える効果も期待できるだろう。

　なお、認証局やブラウザベンダーが集まる業界団体CA Browser Forumが定めた「BR」（Baseline Requirement）では、2015年11月よりイントラネット用のパブリックな証明書の発行を停止し、2016年10月より強制失効することになっている。そう考えると、BYODの普及に伴い、さらにプライベートCAの必要性が高まるかもしれない。

　また、ソリトンでは企業向けの主要な無線LANや有線LAN、VPNの機器ベンダーと相互検証を実施し、その結果を公開している。「認証サーバーは、安定して長期運用できることが求められます。当社では一部の機器でなければ利用できないような機能の実装を避けています。広く利用できる標準的な技術を採用し、マルチベンダー環境においても確実に運用できることを重視しています」（宮崎氏）。

10年の実績で培った導入しやすさ

　NetAttest EPSはデジタル証明書認証の環境を構築できる。日本語GUIとウィザード形式による設定は、システム導入の敷居を低くしている。バックアップ/リストアなど運用を補助する機能も豊富で、技術面での難しさも感じさせない。マルチベンダー対応を意識し多くの場面で活躍できそうだ。

　あとに残る課題はいかに特定端末を基盤に参加させるかだけかもしれない。一般に大量のスマートデバイスへのデジタル証明書の配布は骨の折れる作業である。これに対してソリトンでは、NetAttest EPSのオプション「NetAttest EPS-ap」を用意している。

　同オプションは、デバイスを利用したいユーザーからの申請を受け、あらかじめ設定されたルールに従って、「許可」するか「拒否」するかの判断を行うワークフローの仕組みを提供する。管理者が許可したスマートデバイスに対しては、端末認証に利用するデジタル証明書のインポート、ネットワークやアプリケーション（利用可否を含む）の設定、セキュリティポリシーの設定までを自動的に行う。「1人の情報システム担当者が千台のスマートデバイスをキッティングするのではなく、千人の利用者がそれぞれ自身の1台をキッティングするイメージです」（宮崎氏）。そのほか、リモートロックやリモートワイプといったMDMの基本機能も持っている。

スマートデバイス専用オプション「NetAttest EPS ap」の特徴

　宮崎氏は「NetAttest EPSは10年以上開発を続けてきました。いろいろなお客さまの声を反映してきた実績は製品の“細やかさ”に反映されています。また、NetAttest EPS-apのように、その時々のお客様の課題を解決するための機能強化も行ってきました。」とコメント。

　最近では企業の経営層からトップダウンで「スマートデバイスによる業務改善」が推進されることも多いと聞く。情報システム部門が急いで対応しなくてはならない場合も少なくないだろう。「当社は長年培ってきた豊富なノウハウを持っています。『急ぎ対応しないといけないが、失敗も許されない』とお悩みのお客様にもご安心頂ける実績とサポート体制があります。」と宮崎氏は語った。

BYODへの次のステップも用意

　ただし、先述したように、NetAttest EPSはあくまで、企業でスマートデバイスの利用方針や方法などを決める際、「BYODのはじめの一歩となる」認証基盤だ。BYODを実現するためには、許可端末からの情報漏えいをいかに防ぐかというハードルが残る。個人の端末で安全に会社のデータを扱うための仕組みが必要となるのだ。ソリトンではそれに対し、BYODプラットフォーム製品「DME（Dynamic Mobile Exchange）」を提供している。
これは、個人のスマートデバイス内に設けた暗号化された専用領域（セキュア・コンテナ）の中でのみ、メール、アドレス帳、スケジュール管理、ToDo管理といった専用の業務アプリを利用できる製品。セキュア・コンテナ内でのやりとりは端末のプライベート領域とは完全に隔絶され、いざというときにはセキュア・コンテナのデータのみを遠隔から消し去ることができる。

　NetAttest EPSとDMEを組み合わせれば、BYODの枠組みが整う。しかしいきなりそこへ到達するのは難しいかもしれない。シャドーITへの対策が一刻を争う問題である以上、まずはNetAttest EPSでシャドーITがはびこりようのない環境を整えてしまおう、という考え方は、1つの方向性を指し示しているといえる。

　昨今、ベンダー各社からもBYODソリューションは多種多様なものが発表されている。その方法もさまざまだ。肝心なのは、私物端末のプライベートな部分を残しつつ、いかに業務にマッチさせるか。そして従業員の生産性を高められるかにある。本連載ではその点に着目し、今後もさまざまなトピックを紹介していく。