[製品サーベイ]

2011年10月13日(木)鳥越 武史（IT Leaders編集部）

リスト

外出先から社内の基幹業務システムにアクセスし、部材の在庫情報を確認。もし不足があれば即座に調達指示を出す─。リアルタイム性を重視した業務スタイルを追求する上で、スマートフォンやタブレット端末といったスマートデバイスが大いに役立つ。

スマートデバイスから社内システムにアクセスするとなれば、適切なセキュリティ対策が不可欠となる。特に社外から社内ネットワークにアクセスするケースの多いスマートデバイスにおいては、データをやり取りする通信経路の安全性の確保は必須事項だ。

こうした背景から、スマートデバイスから社内ネットワークへの通信経路の安全性確保を容易にするサービス（セキュアアクセスサービス）が登場し始めた。今回は導入や検討が進みつつある、アップルのiOSとグーグルのAndroid搭載端末を対象としたサービスに焦点を当てて紹介する。

[サービスの特徴]
VPNや閉域網で通信を保護

セキュアアクセスサービスは、スマートデバイスから社内ネットワークまでに安全な通信経路を提供するサービスだ。VPNや閉域網といったセキュアな通信手段を利用することで、これを実現する。デバイスの接続検証や認証システムの構築/運用といった作業はサービス事業者が担うので、ユーザー企業にとっては手間を減らしつつ安全性を確保できるメリットがある。

デバイスから社内ネットワークにアクセスする際にはユーザー認証が必要で、IDやパスワードによるチェックをパスすることで、社内ネットワークにはじめてアクセスできる。サービスによっては、パスワードは固定のものだけでなく、接続ごとにパスワードを変えるワンタイムパスワードによる認証が選択可能だ。社内ネットワーク内のサーバーに対して、特定のポート番号やIPアドレスへのアクセスを制限できるサービスもある。

iOSやAndroidの搭載端末には、標準でVPNクライアントが搭載されている。双方ともPPTPとL2TP/IPsecと呼ぶVPNプロトコルでの通信が可能だ。VPNを利用するほとんどのサービスはこれらのプロトコルを利用するため、特別なクライアントソフトを端末に導入する必要はない。独自のプロトコルを利用するサービスや、特定の機能を利用するために、専用クライアントソフトの導入が必要なものもある。

[サービスの仕組み]
接続形式は大きく3タイプ

国内で提供済みのサービスの仕組みを見ると、接続形式によって大きく3つのタイプに分けられる（図）。スマートデバイスからインターネットVPNを利用してサービス事業者の施設にアクセスし、施設内にある認証システムで認証を受けたうえで、改めてインターネットVPNや専用線を介して社内ネットワークに接続するタイプAの「インターネットVPN型」、Aとほぼ構成は同じだが、デバイスからサービス事業者の施設までの通信にインターネットを利用せず、携帯電話事業者が運用する独自網のみを利用するタイプBの「独自網型」、事業者の施設内ではなく、社内ネットワークに認証システムを設置し、事業者が遠隔運用するタイプCの「直接接続型」、の3つだ。

図　セキュアアクセスサービスを利用した社内ネットワークへの接続方法。スマートデバイスから社内ネットワークへの接続方法で大きく3種類に分けられる（画像をクリックで拡大）

AやBは、認証システムの運用保守をサービス事業者に任せられるという利点がある。Cは自社内に認証システムを構築するため相応の手間がかかるが、認証方法の追加といったカスタマイズがしやすい。

AとBの違いは、安全性と回線選択の自由度にある。Bは携帯電話事業者の独自網を利用するため、インターネットを利用するAに比べて第三者から攻撃を受ける可能性を抑えられる。一方、Aはどの携帯電話事業者の3G回線でもサービスを利用できるのに対して、Bの場合は特定の携帯電話事業者の回線に限られる、という制限がある。

Bの形式でサービスを提供するのは、現在のところ携帯電話事業者か、携帯電話事業者の基地局やアンテナといった設備を借りて通信サービスを提供する「MVNO（仮想移動体通信事業者）」に限られる。MVNOとしてサービスを提供しているものに、NTTPCコミュニケーションズの「Master'sONE タブレットモバイルソリューション」（NTTドコモの設備を利用）がある。

[サービスのトレンド 1]
接続させる端末を限定

社内ルールに沿ったセキュリティ対策を施したデバイスのみを社内ネットワークに接続させたい、というニーズに応えるため、社内ネットワークにアクセスしようとしているデバイスが事前登録しておいたものかどうかを確認する「デバイス認証」の機能を盛り込む動きが活発だ。

主流な方法は、事前登録したデバイスであることを証明する電子証明書（デバイス証明書）をデバイスに導入するものだ。NRIセキュアテクノロジーズの「端末認証サービス」や京セラコミュニケーションシステムの「NET BUREAU スマートデバイス端末認証サービス」、三菱電機情報ネットワークの「セキュアスマートフォンアクセスサービス」が、この方法を採用する。いずれもサイバートラストのデバイス証明書発行/管理サービス「サイバートラスト デバイスID」を利用する。

厳密にはデバイスではなくSIMカード単位での認証になるが、NTTドコモの「ビジネスmoperaアクセスプロ」はSIMカード内にある電話番号情報による認証機能を提供する。

[サービスのトレンド 2]
設定適用や端末管理を効率化

セキュアアクセスサービスの利用に当たっては、デバイスに対するネットワーク設定の適用が必要になる。この作業を効率化するため、複数の端末にネットワーク経由で設定を一斉適用できる「スマートデバイス管理（SDM）」を備える動きがある。加えてSDMが持つ遠隔操作での端末ロック（リモートロック）や遠隔操作でのデータ消去（リモートワイプ）といった機能により、セキュアアクセスサービスでカバーできないデバイス紛失時の情報漏えい防止効果も期待できる。

各社は標準機能や有償オプション、関連製品/サービスとして、SDM機能を提供する。標準でSDM機能を利用できるサービスは、主要なものでは現在、丸紅OKIネットソリューションズの「スマートフォン@PTOP」のみである。2011年11月にはKDDIが、リモートワイプやリモートロックに加え、カメラや電子マネーといったデバイス機能の利用制限や、アプリケーション配布機能、SDカード内のデータ暗号化機能を標準で利用可能な「KDDI 3LM Secu-rity」を提供開始する。