企業を脅かす「なし崩しBYOD」

スマートデバイスの活用方法として「BYOD」が注目されている。これは、企業が一括で端末を購入して支給するのではなく、社員が個人で所有している端末を業務に利用する、いわゆる「持ち込み端末利用」方式だ。

BYODは初期導入コストの削減が見込める一方で、セキュリティに対する懸念がある。そのため、セキュリティ対策をしっかり行った上でBYODを導入しようと考える企業は多いだろう。しかし、企業がセキュリティ対策の準備を進めている間に、すでに実質的な「BYOD」が始まっているケースがある。「なし崩しBYOD」だ。

スマートデバイスがこれまでのデジタルデバイスと異なるのは、企業導入が始まる前にコンシューマー市場で広く普及している点だ。すでに多くの社員が日常的にスマートデバイスを利用し、その便利さを実感している。たとえ、会社がポリシーで利用を禁止していても、内心では業務で使いたいと考える人がたくさんいるのだ。

IPAが発表した「2012年版 10大脅威 変化・増大する脅威」の中でも、今後対策が重要となる脅威として、「企業におけるスマートデバイスの管理」を挙げている。

「BYODに対する方針を検討している足元で、実質的にBYODが始まってしまっているという例が多くあります。こうした"なし崩し的"な状況は、今後BYODを推進していくにしろ、検討の結果として禁止することになるにしろ、先ず早急に対策すべき問題です」と語るのは、ソリトンシステムズ プロダクトマーケティング部の製品担当である竹谷修平氏だ。

いくらPCで万全のセキュリティ対策を講じていても、『なし崩しBYOD』によって企業の重要機密が漏洩する危険があるのだ。

「企業が持つ名簿や設計図などのデータは昔から狙われ続けてきました。企業ではネットワーク経由で各種データを利用するワークスタイルが当たり前になっており、企業ネットワークに接続できるということは、直接的か間接的かは別にして、そうした重要データにアクセスできるという意味でもあります。そう考えれば、管理者は『悪意のある人には使ってほしくない』と思うはず。そのためには認証が必要です」と竹谷氏は語る。

スマートデバイス時代には「証明書」が最適

最も導入が平易であり、古くから利用されてきた認証といえば「ID/パスワード」の組み合わせだろう。しかし、「ID/パスワード」は人物を識別することに関しては有効だが「なし崩しBYOD」への対策としては、効果が薄い。ID/パスワードを知っている「正規の人物」であれば、私物のスマートデバイスに対して認証情報を入力することは容易だからだ。やはり、「なし崩しBYOD」の対策には端末自体の認証が必要だ。

企業の中には、企業無線ネットワーク環境において事実上の標準となっているIEEE802.1Xを採用している企業も多いだろう。しかし、スマートデバイスの導入を見据え、環境のセキュリティーポリシーを見直す良いタイミングかもしれないと竹谷氏は指摘する。

「IEEE802.1X認証は、その普及率の高さから多くのデバイスが標準的に対応しており、マルチデバイス環境でも有効です。既に無線ネットワーク環境を構築されているのであれば、認証方式としては馴染みの深いID/パスワード認証(EAP-PEAP)を採用している企業が多いのではないでしょうか」(竹谷氏)

先に述べたとおり、正規の人物の特定に重きを置くのであれば、そのままの環境で構わない。しかし、今後BYODと向き合う必要があるのであれば、確実な認証方法として導入を推奨したいのは「デジタル証明書による認証」だ。

「デジタル証明書は、ID/パスワードによる認証とは異なり、たとえ正規の人物であっても認証情報を自身が持つ別の端末に移し替えることはできません。また、MACアドレスのように偽装される恐れもないため、確実な端末認証を考えた場合には最適の仕組みです」と竹谷氏はその理由を説明する。

課題をオールインワンで解決する「NetAttest EPS」

ただ、セキュリティ面では高い効果が期待できるデジタル証明書認証であっても、利用するためには証明書発行サーバや、更新のためのシステムづくりが必要になるなど、ハードルは高いことが多い。また、すべて機器を一気に証明書認証に対応させることも難しく、ID/パスワード認証、MACアドレス認証等を組み合わせて利用したいと考える企業も多いだろう。そのため、企業にとってはこれらすべてに対応したソリューションが望まれる。

「無線LANを利用する上でセキュリティの”合格点”を取れるシステムや実現方法は多く発表されていますが、その運用までをご検討頂く場合におすすめしたいのが『NetAttest EPS』です」と竹谷氏。

ソリトンシステムズが開発・提供する「NetAttest EPS」は、1台のアプライアンスを導入するだけでさまざまな認証方法に対応し、本格的なプライベートCA機能も提供する。さらに、ワンタイムパスワードの利用や、利用者自身の操作による証明書の申請・取得・更新もオプションの追加などにより対応できる。

もちろん、無線LAN環境だけでなく、有線LANやVPNにも対応する。ネットワークの入口を簡単に、確実に守ることができるソリューションなのだ。

「手持ちのスマートデバイスを企業の無線LANに接続するユーザーに、明確な悪気は無いのかもしれません。便利だからという軽い気持ちで使ってしまうケースが大半の筈です。そして、企業側も便利さを理解しているからこそ黙認状態になってのではないでしょうか。また、『たぶん利用しているだろう』と管理者は薄々わかっていても、現在のシステムでは防げないからと目を背けているケースもあるかもしれません。しかし、やはり"なし崩しBYOD"を放置すべきではありません。先ずはNetAttest EPSでしっかり対策を施し、前向きな気持ちでBYODと向き合って頂ければと思います」と竹谷氏は語った。

そこで次回は、NetAttest EPSの実際の導入方法について解説しようと思う。