なし崩しBYOD対策に有効な「NetAttest EPS」

私物スマートデバイスの無断業務利用、いわゆる「なし崩しBYOD」の排除には端末認証の実施が必要不可欠だ。前回はその理由について紹介した。そして、個々の端末を識別し、安全で利便性も損なわない企業ネットワーク環境を実現するために有効なソリューションとして、ソリトンシステムズが提供するオールインワン認証アプライアンス「NetAttest EPS」を挙げた。

同製品は、無線、VPNのほか有線ネットワーク機器などとも連携し、不正端末が企業ネットワークに侵入することを防ぐオールインワン認証アプライアンスだ。

セキュアなネットワーク環境の実現

健全な企業ネットワークを実現するためには、適切なセキュリティポリシーの策定と、それを確かなものとするシステムが欠かせない。

「NetAttest EPS」は「なし崩しBYOD」の防止に有効なデジタル証明書による認証を実現するほか、一般的なID・パスワードによる認証、MACアドレス認証、ワンタイムパスワード認証といった、さまざまな方式にも対応する。また、これらの認証方式を組合せてより高度なセキュリティ要件にも応えることもできる。

例えば、モバイルワークにおける安全なリモートアクセスを検討する際には、デジタル証明書で「端末」を識別し、同時にワンタイムパスワード認証により確実に「人物」の"なりすまし"を防止する、といった環境を実現することも可能だ。

「ID・固定パスワード認証方式のみでセキュリティを強化しようと思うと、複雑なパスワードを頻繁に変更しなければなりません。これではユーザーが付いていけません。そこで、パスワードにワンタイムパスワードを利用することで、セキュリティを強化できるだけでなく、パスワードの運用負荷も軽減することができます。ID・ワンタイムパスワード認証でユーザーを識別し、デジタル証明書で端末を識別することで、安全なリモートアクセス環境が実現できます」とソリトンシステムズ プロダクトマーケティング部 製品担当である竹谷修平氏。

「NetAttest EPS」は、企業ネットワークのセキュリティ確保に有効な「認証」の機能を、アプライアンスとして1台に納めた製品となっている。

「通常はRADIUSサーバ、ID等を格納したデータベース、証明書発行を行うCA、ワンタイムパスワード認証用のサーバなどは、それぞれ個別に作らなければなりませんが、NetAttest EPSの場合は1台で対応可能です。起動して管理者がWebブラウザからアクセスすれば、あとはウィザードに従って値を入力していけば初期設定が完了します。仮にRADIUS、CA、データベースなどに精通されていない方であっても、15分程度で利用開始できます」と竹谷氏は導入の容易さを説明する。

サーバを個別に用意した場合、脆弱性が見つかるたびにOS、ミドルウェア、アプリケーションそれぞれに修正パッチを適用する必要あり、管理の手間も大きくなる。「NetAttest EPS」の場合はソリトンシステムズが提供する1つのパッチを適用するだけで済む。もちろん、サーバシステムでありがちな「OSのパッチを適用したら、OS上で動作しているアプリケーションの動きがおかしくなった」というようなことはない。

最適化され信頼性の高いハードウェア・ソフトウェア設計、バックアップ・リストア機能などと合せて、システムの停止が許されない認証サービスにおいて、管理の手間を大幅に低減できる「NetAttest EPS」は、魅力的だ。

規模や拠点数に合わせて選択できる

「NetAttest EPS」はシステムの規模にあわせて3モデルから選定できる。

大規模向けモデルとなる「EPS-DX04」は、最大ユーザー数10万と、非常に大規模なネットワークに対応できるものだ。一方小規模向けモデル「EPS-SX04」では最大ユーザー登録数は200となる。小規模なネットワークならばこれで十分だろう。

この中間に位置する「EPS-ST04」は多くの企業にとって導入メリットの高いモデルだ。標準では最大ユーザー登録数が200だが、機能拡張オプションにより2000、5000と拡大できる。「EPS-SX04」では搭載されていない二重化機能、外部サーバ証明書発行、RADIUSプロキシにも対応している。

「EPS-ST04」は中規模ネットワークへの導入はもちろん、スモールスタートしたいという要望にも、必要に応じてオプションライセンスを投入していく事で応える。 「まずはシステム部門内で数十台規模の調査利用。その後に外出の多い営業部門や役職者を対象に数百台規模に拡大し、最終的には全社的に利用し数千台が利用する」といった場合にも、初期に購入した機器を無駄にすることはない。

端末認証に用いるデジタル証明書の効率的な展開

強固な認証を実現するデジタル証明書については、証明書発行を行うプライベートCA機能を「NetAttest EPS」は標準搭載している。別途サーバ等を用意する必要はなく、管理者は最短2回のクリックでクライアント証明書を発行できるという手軽さだ。専用の無償ツールを利用することで大量のデジタル証明書の一括発行もできる。

デジタル証明書を取り込む端末の数が多いのであれば、取得や更新をユーザー主導にすると効率的かもしれない。

「NetAttest EPSでは、オプションライセンスを追加することで、ユーザー自身がPCからデジタル証明書の利用をWebブラウザで申請し、オンラインで取得する仕組みを利用できます」と竹谷氏。

さらに、iPhone/iPad等のiOSデバイス向けには専用オプション「NetAttest EPS-ap」も用意。この製品は、スマートデバイスからの利用申請を受けるワークフローシステムだ。ユーザー自身がスマートデバイスの利用を申請し管理者が許可すると、デジタル証明書のインポート、ネットワーク・アプリケーション設定、セキュリティポリシー設定の適用までを自動で行ってくれる。

「9月25日には5万台のデバイスに対応したハイエンドモデルのNetAttest EPS-ap(EPS-AP-DX04)もリリースしました。また、従来モデルにも適用できる新版ファームウェアも同時にリリースし、お客様の要望に応えてiPhone/iPadのリモートワイプ、リモートロック機能も搭載しました。今後はこうしたMDM的な機能も含めて、よりスマートデバイスの業務利用を円滑に行うための機能を搭載して行く予定です」と竹谷氏。

前回から2回に分けて、すでに足元で進行しているかもしれない「なし崩しBYOD」のリスクとその対策方法について解説してきた。「なし崩しBYOD」は、早急な対策が必要な課題だが、スマートデバイスの業務活用が発展途上であることを考えると、数年先の状況を的確に予測する事は難しい。

直ちに対策を実施したいが投資を将来まで無駄にしたくない。確かな認証サービスを効率的に実現でき、運用性、拡張性にも優れる「NetAttest EPS」「NetAttest EPS-ap」は、そういった企業の強い味方となるだろう。