スマートフォンやタブレット端末を有効活用する、社内ネット変革の三つのステップ。前回のステップ1「認証」に続くステップ2は「制御」。認証済みスマートデバイスのアクセス先を適切に制限する。

 第二のステップ「制御」では、認証済みスマートデバイスのアクセス先を制限する。「現状のスマホやタブレット端末は、新種のウイルスや脆弱性がいつ見つかるか分からない。スマートデバイスがアクセスできるサーバーを制限する仕組みは不可欠だ」(ネットマークス 技術統括部セキュリティ技術部の相原弘明マネージャー)。

 通信を制御するのは、無線LANアクセスポイントを管理する役目を担う「コントローラー」である。アルバネットワークスやシスコシステムズなどの通信機器メーカーが提供しており、デバイスの種類やユーザー権限に応じて、アクセス先を制限する。

 ヤフーはこういった仕組みを実現している1社だ(図5)。同社はアルバネットワークスの無線LANシステムを採用。従業員によるスマホやタブレット端末の利用を許可するに当たって構築した無線LANネットワークで、アクセス制御を実現した。

図5●ヤフーはスマホやタブレット端末の種類別にVLANを構築
PC用に構築した既存の認証サーバーと連携し、無線LANで通信しようとする端末をポリシーに従って制御する
[画像のクリックで拡大表示]

 端末はMACアドレスで認証する。認証した端末が社内ネットにアクセスしようとすると、その通信パケットはGRE(ジェネリック・ルーティング・エンキャプスレーション)という技術を使い、いったんコントローラーである「Aruba 3600」に対して送られる。Aruba 3600は、あらかじめ設定されたポリシー通りに通信パケットを制御し、VLANに割り当てる。論理的にネットワークを分け、特定のサーバーとしか通信できないようにする。

 同社では、社員があらかじめMACアドレスを登録した端末であれば、インターネットのほか、グループウエアのサーバーやメールサーバーへのアクセスを許可する。新サービスやアプリの開発用端末であれば、開発用サーバーなどへのアクセスのみを許可するといった具合だ。

 PC向けにアクセス先を制御する技術はあった。マルチデバイス向けでは、OSや端末の種類に応じた制御を実現する点が新しい。例えばアルバネットワークスの無線LANシステムは、通信パケットのヘッダーなどを監視してOSを識別する機能を搭載する。

 それでは3G回線経由で社内にアクセスする場合はどうするか。VPNゲートウエイ製品の多くは、アクセス制御の機能を搭載しているため、PCと同様にこれを利用することになる。

 次回のステップ3は「開放」。従業員が個人で所有する端末を業務利用することはもちろん、来訪者にネットを開放することも視野に入れる。