スマートデバイスは紛失・盗難の危険性があるだけに、セキュリティ設計が必要である。ここでは、特に重要な「認証の設計」と「情報漏洩対策」の方法を解説する。別掲記事で、特徴的な機能を備える業務用タブレット端末を取り上げた。

 客先でスマートデバイスから社内の業務システムのサーバーにアクセスし、在庫数を確認して引き当てる――。業務システムではこのように、スマートデバイスと社内システム間でデータをやり取りする必要が生じる。

 そのためスマートデバイス向けの業務システムを開発する際には、十分な安全性を確保できるように、セキュリティポリシーを策定しその実現方法を検討するセキュリティ設計が重要になる。セキュリティ設計では、PCとは異なる認証方法および情報漏洩対策について検討し、適切なやり方を導くことが、主たる作業となる。

 そこで以降で、「認証の設計」と「情報漏洩対策」について解説する。

認証の設計
端末を識別しアクセス制御

 スマートデバイスから社内システムへのリモートアクセスを可能にするには、安全な通信経路の構築が不可欠である。AndroidやiOSは、PPTP(Point-to-Point Tunneling Protocol)やL2TP(Layer 2 Tunneling Protocol )/IPsecといったVPN(Virtual Private Network)プロトコルに標準で対応している。そのため、スマートデバイスに特別なモジュールを導入することなく、社内ネットワークにVPN機器を導入するだけで比較的容易にVPNを構築できる。そこでVPNの設計では、認証システムの構築をどうするかを中心に検討する。

 スマートデバイスが3G回線(あるいは公衆Wi-Fi)経由で社内システムにアクセスする際、接点となるVPNゲートウエイにおいて、ユーザー認証が欠かせない。一般には、IDとパスワードの照合によって、アクセスしているスマートデバイスのユーザーが本人であることを確かめる。

 IDとパスワードによる認証のセキュリティレベルを高めるには、PCの場合と同様に「パスワードの文字数を増やす」「ワンタイムパスワードを用いる」といった対策が必要になる。ただしそうすると、スマートデバイスでは文字入力に手間取って、使い勝手が大きく低下しかねない。

NFC使った3要素認証が今後広がる

 そこで期待されているのが、AndroidやWindows Phoneなどのスマートデバイスの一部機種が備える「NFC(近距離無線通信技術)」の活用である(iOSの端末は非搭載)。オープンストリームの両角博之氏は、「社員証として付与したFeliCaなどの非接触ICカードによる認証を、IDとパスワードに加えた3要素認証や、ID入力の代わりに用いる認証方法が今後広がる」と見ている。

 スマートデバイスを使ったシステムにおいては、ユーザー認証だけでは十分でない。例えば、会社貸与の端末からのみアクセス可能にしたいときや、会社貸与の端末と個人所有の端末で利用できる機能に差を付けたいときなどには、ユーザー認証に加えて端末認証が必要になる。端末を識別することにより、例えば個人所有の端末に対しては接続先の社内サーバーを制限する、といった制御が可能になる。

運用性高いアクセスサービス

 スマートデバイスの業務システムでユーザー認証や端末認証を行うには、大きく二つの接続方式がある。一つは(a)社内ネットワークにダイレクトに接続する方式、もう一つは(b)リモートアクセスサービスを利用する方式だ(図1)。二つの方式にはそれぞれ長所と短所があるので、よく検討して適切なものを選びたい。

図1●スマートデバイスから社内ネットワークに接続する二つの方式
二つの方式には長所と短所があるので、それを踏まえて選びたい
[画像のクリックで拡大表示]

 (a)社内ネットワークにダイレクトに接続する方式なら、パスワードの文字数を増やしたり、非接触ICカードによる認証を採用したりするなど、認証方法を自由に変更できる。ただし、VPNゲートウエイなどの専用機器が社内に必要になる。加えて自社で認証局を設けている場合は、端末認証で一般に使われる電子証明書の管理(電子証明書の発行など)に手間がかかる。

 一方の(b)リモートアクセスサービスを利用する方式では、サービス事業者の設備を利用するので、専用機器の導入が不要だ。さらに、サービス事業者が電子証明書を管理するので、自社で証明書を管理する手間がかからない(端末に証明書をセットする作業は除く)。半面、認証方法はサービス事業者が対応しているものに限られ、自由に変えられない。

 携帯電話会社のリモートアクセスサービスでは、電子証明書の代わりに端末の電話番号(正確にはSIMカードの電話番号)を利用するケースがある。この場合、端末に証明書をセットする作業も必要なくなる。

 この利点に着目したのが、沖電気カスタマアドテックだ。Android端末(韓国Samsung ElectronicsのGALAXY Sもしくは同Tab)を使ったメンテナンス業務支援システムを構築した際に、電話番号で端末認証を行うリモートアクセスサービスを採用した。

 沖電気カスタマアドテックの松浦健豪氏(ITシステム本部 担当部長)は「ユーザーは約1200人に上るので、端末をキッティング(初期設定)する際に電子証明書をセットする手間が問題になっていた。これをなくせたことは大きい」と話す。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。