前回、架空の企業、マイナビ工業に勤める若手営業マン・鈴木君が、会社から支給されたiPadで会社のネットワークにアクセスしたり、メールを利用したりして効果的に仕事を進めるストーリーをお届けした。いとも簡単に仕事でのモバイル活用を成し遂げた様子に「確かにすごく便利そうだけど、こんなに簡単でセキュリティは大丈夫なの?」という疑問を持たれた方もいることに違いない。
そこで今回は、鈴木君が何気なく行った操作の裏で展開されている高度なセキュリティ技術について、ジェイズ・コミュニケーション 営業本部 マーケティング部の佐藤恭平氏に説明してもらった。
いつでも・どこでも安全な利用を支える数々のセキュリティ要素の連携
──最初に鈴木君はリモートアクセスの設定を行うためにiPadに「構成プロファイル」というものをダウンロードしていましたが、これは一体どういうものなのでしょうか。
佐藤氏 : 構成プロファイルというのは、クライアント証明書と各種設定で構成されたものです。クライアント証明書を、アクセス元の端末にインストールすることで「確かに会社が支給した端末である」という事をリモートアクセスする際に証明する役割を果たします。各種設定は、端末の利用時に入力するパスコードをはじめとする、さまざまなセキュリティ設定を、あらかじめ管理者が意図した通りに端末に適用することができます。
JCCH・セキュリティ・ソリューション・システムズのプライベート認証局アプライアンス「Gléas(グレアス)」は、iPhoneやiPadでエンタープライズシステムを利用するためのセキュリティポリシーや制限、VPN構成情報などの設定情報をまとめた構成プロファイルの作成およびインポート機能を標準装備しています。
|
|
インポートするプロファイル |
鈴木君がブラウザでアクセスした「UA」というページは「Gléas」で作成された構成プロファイルをiPadにインポートするためのユーザー専用画面となります。管理者が鈴木君用に作成した構成プロファイルを正しくインポートするために、あらかじめ管理者が用意したユーザーIDとパスワードでログインする必要があります。そのあと、構成プロファイルのインストールボタンをタップするだけで、iPadにクライアント証明書のインポートと各種設定が完了します。
|
|
Gléasの「UA画面」 |
──なるほど、ただファイルをダウンロードしているだけのようでしたが、実はこれだけの事が行われていたのですね。次に鈴木君はカフェからiPadでGoogle AppsをユーザーIDやパスワードを入力することなく使っていましたが、ここでも何か“裏方”が活躍していたのでしょうか。
佐藤氏 : その通りです。鈴木君はiPadのホーム画面にある「Junos Pulse」のアイコンをタップして現れたメニューからGoogle Appsにアクセスしましたよね。このJunos Pulseというのが、ジュニパーネットワークスが提供するSSL-VPNアプライアンス「Juniper Networks MAGシリーズ」のSSL-VPNクライアントです。Junos Pulseはマルチデバイス対応ですので、iOSやAndroid、Windows系プラットフォームなど多様な環境での利用が可能です。また、MAGシリーズは、小規模から大規模までのユーザーに対応し、さまざまな環境からのネットワーク接続に対してアクセスコントロールと認証ポリシーを同時に実行することができる製品です。
|
|
Junos Pulseの画面 |
鈴木君がJunos Pulseを立ち上げた時に、iPadと会社にあるMAGとの間でクライアント証明書による認証が行われるとともにSSL-VPNのセッションが確立しています。すると今度はMAGとGoogle Appsとの間でSAML(Security Assertion Markup Language)連携による認証が行われたのです。SAMLというのは複数のサービス間の認証を連携するための標準的な規格です。つまりiPadとMAGとの間で確立した認証をGoogle Appsとの認証にもそのまま引き継ぐことで安全にシングルサインオンを実現しているわけです。また、社外にある端末からGoogle Appsという、クラウドサービスへのアクセスであっても一度MAGを経由することになるので、会社にとってもより安全に管理できるという点も付け加えておきましょう。
|
|
シングルサインオンなので、ID、パスワードの入力をしなくても、受信トレイに直接アクセスできる |
──アプリケーションごとにいちいち認証する手間が省けるのでユーザーにとっても有難いですよね。ではGoogle Appsを使った後に鈴木君は会社にある自分のPCに仮想デスクトップでアクセスしましたが、そこではどういったことが行われていたのですか。
佐藤氏 : Citrix Receiverのアイコンをタップした後に仮想デスクトップのログイン画面が表示されて、鈴木君はここにCitrix Receiver用のユーザーIDとパスワードを入れてログインしました。この時点で既にクライアント証明書による認証が確立していますから、Citrix ReceiverのユーザーID・パスワードによる認証と合わせて異なる二種類の認証方式を使っていることになります。こうした電子証明書と別の方式の認証とを組み合わせた多要素認証を用いることで社内へアクセスする際のセキュリティをより一層強固なものにしているのです。
|
|
Citrix Receiverのログオン画面 |
|
|
Citrix Receiverにより、iPadでWindowsを起動 |
企業がモバイル活用する場合にとりわけ注意しなければならないのが情報漏えいですね。仮想デスクトップならば端末側には貴重な業務上のデータが残りませんので、情報漏えい防止にきわめて有効だと言えるでしょう。
あと今回の鈴木君の場合は、先にJunos Pulseを立ち上げていたので、VPN接続が確立していましたが、Junos PulseとCitrix ReceiverはどちらもiOSが提供しているオンデマンドVPNに対応しているので、Citrix Receiverを起動するとVPN接続も自動的に行われるようになっています。つまり、鈴木君のようなユーザーが意識しなくても、安全な接続ができるのです。この便利なオンデマンドVPNの機能を使うためには、IDとパスワードの認証ではなく、電子証明書による認証が必須条件になっています。
|
|
端末の左上にVPNの文字が表示される |
セキュリティと言うとどうしても管理者目線に陥りがちなのですが、MAGとGléasを使えばユーザーの利便性との両立が実現できるということをぜひ知っていただきたいですね。
──クライアント証明書とVPN接続の組み合わせはユーザーにとっても管理者にとってもスマートデバイス活用に欠かせないものと言えそうですね! ありがとうございました。
当たり前になった“革新的な”技術たち 第1回 単純そうで複雑な「ETC」 パナソニックの試験場に潜入