モバイル環境からの安全なクラウド・社内システム利用 再確認したい「セキュリティ」の３つのポイント

「クラウドサービス」と「スマートデバイス」が普及するのに伴って、業務の中でも「クラウドサービスを活用したモバイルワーク」を検討、実施する企業が増えている。しかし、その際十分考慮しなければならないのはモバイル環境特有の「セキュリティリスク」だ。「クラウド利用のモバイルワーク」を実現する際に検討しておくべきセキュリティ上のポイントについて、改めて確認しておこう。

　業務に必要なITシステムを、必要な時に、必要な分だけ利用できる「クラウドサービス」は、今や多くの企業においてIT環境に不可欠な要素の一部となっており、その活用範囲も広がっている。

　特に、社内外とのコミュニケーションに用いられる「メール」「カレンダー」「掲示板」のようなアプリケーションは、既に社内に持たずクラウドを活用しているという企業も多いだろう。こうしたクラウドサービスのメリットとしては「初期導入や運用管理のコストが削減できる」といった点が挙げられることが多いが、近年では特に「インターネットを通じたアクセスの容易さ」も、大きな魅力としてクローズアップされている。

　その背景には「スマートフォン」や「タブレット」といったスマートデバイスの急速な普及がある。インターネットにつながる環境さえあればすぐにアクセスできるクラウドサービスは、モバイルPCやスマートデバイスを活用した「モバイルワーク」との相性がとても良い。オンプレミス（自社運用）で利用していたシステムの「クラウド移行」と、業務効率の向上や事業継続計画の一環としての「モバイルワーク環境の実現」とをセットで検討するケースも増えているのではないだろうか。

　ただし、その際に十分考慮しなければならないのは「セキュリティリスク」だ。多くの企業では、既に業務向けのシステムへのアクセスに関して、情報漏えいや不正アクセスを防止するための何らかのセキュリティポリシーの施行や技術的な対策を行っていることと思うが、「クラウドサービスを利用したモバイルワーク」を安全に実現するにあたっては、モバイル環境特有の事情も考慮した対策を改めて検討する必要がある。

　ここでは、「クラウドによるモバイルワーク」を導入するにあたって、主に技術的な観点での対策が可能なセキュリティ上のポイントについて改めてまとめてみよう。

ポイント1：アクセスできる「人」と「端末」の両方を限定する

　最初に確認すべきポイントは、クラウドサービスにアクセスできる「人」と「端末」双方の管理だ。「人」の管理を行うための方法として一般的なのは「ID／パスワード」などを用いた認証である。多くのクラウドサービスでは、ログインにあたってユーザーごとに発行された「ID」と「パスワード」の組み合わせで認証を行っている。最も基本的な管理方法だろう。

　一方の「端末の管理」は、そのサービスにアクセスできる「端末」を制限するという考え方だ。業務で利用するシステムへのアクセスを考える場合、ID／パスワードによる「人」の認証だけでは不十分だという認識が一般になりつつある。ID／パスワードの組み合わせが、何らかの原因で他人に知られてしまった場合、その時点で不正アクセスが可能になってしまう。万が一、ID／パスワードの組み合わせが他者に知られた場合でも、正当なユーザーが所持している端末以外でのアクセスが行えなければ、不正アクセスのリスクは大きく下げることができる。

　また、近年では1人のユーザーが「PC」「スマートフォン」「タブレット」「ゲーム機」など、インターネットに接続可能な機器を複数台所有しているケースも少なくない。さらに外出時に「インターネットカフェ」などで仕事をしたいと考えるかもしれない。たとえ、正当なユーザーであったとしても、会社側が感知していない、管理が不十分な端末から業務用のサービスに制限なしにアクセスできる環境は極めて危険である。もし、その端末がユーザーの知らないうちに、マルウェアに感染していたとしたら、そこで入力したり、閲覧したりした情報が、悪意のある第三者に漏えいしてしまう可能性は高い。

　「人」の認証と合わせて「端末」の認証を適切に行うことが、モバイル環境から業務システムにアクセスする際のセキュリティを保つための基本的なポイントとなる。

※クリックすると拡大画像が見られます