電子証明書で実現するクラウド時代のセキュアアクセス(1) “いつでも”“どこでも”、高セキュリティモバイルワーク

“いつでも”“どこでも”はOK! “誰でも”はNG!

iPhoneやiPadに代表されるスマートデバイスやノートPCを使い、外出先や自宅などのオフィス外から仕事を行うモバイルワーク。今や多くの企業・組織で取り入れられるモバイルワークは、仕事を場所や時間の制約から解放し、人々のワークスタイルを大きく変革する原動力として期待されている。この流れに拍車をかけているのがクラウドサービスの普及だ。クラウドサービスの業務利用が加速したことで、モバイル環境からより手軽に幅広い仕事が行えるようになってきている。もはや仕事に使う端末は持ち出すのが当たり前という考え方が主流になりつつあるといえる。

このように、これからのワークスタイルに欠かせない“モバイル&クラウド”だが、“いつでも”“どこでも”というメリットにばかり目が向いてしまい、あってはならない“誰でも”まで許してしまってはいないだろうか? もしそうだとしたら極めて問題だといえる。許可されていない人間が社内の機密情報を閲覧・窃取したとなれば、企業にとってのリスクは計り知れないからだ。そこで、“いつでも”“どこでも”なアクセス環境は維持しつつ、“誰でも”アクセスしてしまうのをブロックする仕組みとして活用したいのが、JCCH・セキュリティ・ソリューション・システムズ(JS3)の認証局アプライアンス「Gleas(グレアス)」だ。同製品は、SSL-VPN接続やWi-Fi接続における認証強化を実現する電子証明書を発行・管理するプライベート認証局(CA)製品である。これを用いれば、クライアント証明書が付与された端末にのみアクセスを許可することができるため、なりすましのリスクが高いID＋パスワードのみでの認証に比べ、より高いセキュリティ・レベルを実現できるのだ。

クライアント証明書による認証とは?

リモートアクセスと社内無線LAN接続を1枚の証明書に集約

Gleasの特徴の1つとして挙げられるのが、「マルチソリューション」である点だ。その用途は、社外からのリモートアクセスを安全に行うためのSSL-VPNでの認証や社内におけるWi-Fi接続での認証をはじめ、シングルサインオン、Webシステム/ロードバランサでの認証、さらにはICカードを用いたWindows PCや仮想デスクトップへのログオンと多様だ。つまり、Gleasが発行した証明書を1枚、ノートPCやタブレット端末に入れておけば、社外から社内基盤へのリモートアクセスも、オフィスでの社内ネットワークへのWi-Fi接続も、シームレスに認証が行えるようになる。

昨今では社内ネットワークにおいても有線LANに代わり無線LANでの接続が普通になりつつあるが、Wi-Fi基地局への認証をID＋パスワードで行っていたのではセキュリティ上リスクが高い。またタブレット端末を社外だけでなく社内でも利用するケースが増えている。だがタブレット端末の場合、iPadなどのように有線LANの接続端子を搭載しないものが主流だ。そのためPC、タブレットかを問わず、これからのクライアント端末にはクライアント証明書による認証が必須になるといっていいだろう。

その点においても、Gleasが発行したクライアント証明書は、端末認証と二因子認証のどちらにも使用できるので利便性が高い。証明書が格納された端末のみを認証する端末認証は、主に所有者が固定された社員の端末の認証に、デバイス(所有)と暗証番号(知識)を組み合わせた二因子認証は、取引先に証明書が格納された端末を渡して利用してもらう場合にも高度なセキュリティを担保できるのだ。

そしてもう1つのGleasの特徴となるのが、マルチデバイスへの対応だ。Windows、iOS、Android、OS Xのすべてで、容易に導入・運用できる機能を備えているのである。

運用管理をサポートする豊富な機能

リモートワークで最も注意したいのが、端末の紛失・盗難であることはいうまでもない。その点、Gleasであればこうした事態にも、クライアント証明書を無効とすることで不正なアクセスをブロックすることが可能だ。さらに端末がiPhone・iPadであれば、GleasのMDM機能を利用することもできる。これにより、社員に配布したiPhone・iPadに対して、端末を初期状態に戻すリモートワイプや、Gleasから発行された電子証明書を含む各種設定情報ファイルを削除するアンインストール、さらにはリモートロック・パスコードリセットなど、企業のセキュリティポリシーに基づいた操作が可能となるのだ。

また、管理者がクライアント証明書を発行・管理する場合には、CSVファイルからの一括発行、LDAP/ActiveDirectoryからのアカウントインポートに加えて、ユーザーが自らWeb画面で証明書の発行申請と取込みをおこなえるセルフサービス、さらには企業内ID管理システムとの連携といったように、自社の運用形態に合わせて複数のパターンを選択することができる。

クライアント証明書の管理パターンの主な例

特定のWindows PCに発行した証明書が、コピーにより他のPCでも使われることのないよう、インポートワンス機能によりインポートの回数を1回に制限するサポートもある。この場合、無線LANプロファイル(802.1x EAP-TLS)を同時にインポートさせることも可能なため、ユーザー側での無線LANの設定は不要だ。

一方、iPhone・iPadについては、企業システムを利用するためのセキュリティポリシーや制限、VPN構成情報・Wi-Fi設定などをまとめた構成プロファイルのインポート機能を標準装備している。そのため、管理者が個々の端末ごとに証明書や設定を行う手間が不要になる。

そして柔軟でキメの細かいアクセスコントロールを可能とするのが、Gleasと連携するネットワーク機器である。シスコシステムズ、F5ネットワークス、Pulse Secure(旧ジュニパーネットワークス)をはじめ、主だったメーカーのネットワーク・セキュリティ機器にGleasは対応しており、 JS3のWebサイトのサポートページには各ベンダの機器ごとに設定方法を説明する資料も充実している。

このように、SSL-VPN接続の認証もWi-Fi接続の認証も、1つのクライアント証明書で統一的に行うことができる上、PC、スマートフォン、タブレット、あらゆるデバイスで利用が可能なGleas。同製品があれば、1枚の証明書で様々な用途に利用することができるので、運用管理を効率化するとともに、高い投資効果を得ることができるだろう。継続的な成長を目指す企業であれば、Gleasの活用により、いつでもどこでも、そして安全に仕事が行える環境を実現し、企業全体の生産性を向上することを目指してみてはいかがだろうか。