モバイル環境からの安全なクラウド・社内システム利用 再確認したい「セキュリティ」の３つのポイント

ポイント2：「サービス専用アプリ」か「ブラウザ」か

　さて、多くのクラウドサービスでは、サービスにアクセスするための「専用アプリ」をスマートデバイス向けに提供している。同時に、Webブラウザからアクセスできる「Webインターフェイス」の環境も合わせて用意している場合が多い。

　クラウドサービスを業務で利用する場合、社員に「サービス専用アプリ」と「ブラウザ」のどちらを利用させるかというのは、実は難しい問題だ。使い勝手の面では一般的に「専用アプリ」側に分がある。多くの場合、専用アプリのユーザーインターフェースは、そのデバイス（OS）向けに作り込まれており、スムーズに扱うことができる。また、サービスによっては、キャリアの電波が届かない「圏外」（オフライン）の状態であっても、アプリ自体の操作は可能で、後で「オンライン」の状態になった時にクラウド側とデータの同期を行うといった動作が可能なものもある。

　ブラウザによるアクセスの場合、ユーザーインターフェースについては、専用アプリに匹敵する使い勝手を実現しているサービスも増えている。しかし、基本的に「端末がオンラインの時に限って利用できる」という点が、専用アプリと比較した場合のデメリットになる。

　ただ、業務用途での「セキュリティ」を考える場合、「専用アプリ」の利用を前提とすると、運用が複雑になるケースが多いことは考慮しておくべきだろう。専用アプリは、基本的にユーザーの端末に対して個別にインストールする必要がある。もし、複数のクラウドサービスを専用アプリから利用している場合、その手間も利用しているサービスの数だけ増えることになる。また、端末へのデータ保存や、他のアプリとの連携なども制限なく行えるケースが多い。これらを会社のセキュリティポリシーに照らして適切に管理しようとすると、端末全体にかなり厳しい制限をかける必要があり、そのためのツールの導入や運用に手間がかかる可能性が増す。

　一方で、Webインターフェイスからの利用では、Webブラウザから利用できるため、サービスを使うためのアプリを個別にインストールしたり、アップデートしたりする必要は基本的にない。また、長い実績を持つHTMLやJavaScriptを技術ベースとしているため、個々のデバイスやOSの変化にも、長期的に見て影響を受けにくいと考えることができる。

　「サービス専用アプリ」と「ブラウザ」のどちらを業務に使わせるかは、「ユーザーインターフェースの使い勝手」「オフライン利用の必要性」「セキュリティを考慮した長期的な運用管理に対応できるかどうか」といった複数の要素を考慮した上で慎重に検討する必要がある。

※クリックすると拡大画像が見られます

ポイント3：端末からのデータ漏えい要因を押さえる

　モバイルワークにおけるセキュリティ確保の観点で考慮すべきポイントの3つ目は「端末からのデータ漏えい要因を押さえる」ことだ。

　スマートフォンやタブレットの持つ大きなメリットのひとつは、「持ち運びがしやすい」ことだが、これは「紛失」や「盗難」のリスクと表裏一体である。デバイスそのものに何らかのセキュリティ対策を施しているケースも多いだろうが、もしその対策が破られた場合、業務に使用したデータがそのまま端末に保存されていれば、漏えいのリスクは非常に高くなる。

　このリスクを軽減する最もシンプルな対策は「業務のために利用、参照したデータを端末側に残さない」ことだ。

　この際、業務システムへのアクセスを「ブラウザ」のみに統一している場合でも注意が必要になる。一般的なWebブラウザでは、取得したデータを端末の記憶領域内にダウンロードできる。さらに、ユーザビリティの向上などを目的に、サイトにアクセスする際のIDやパスワードなどをブラウザ側で記憶しておく機能がある。加えて、Webブラウザには体感的なアクセス速度を向上させるために「キャッシュ」と呼ばれるデータ領域に、各種のデータが一時的に保存される。一部のマルウェアでは、端末の記憶領域や、ブラウザのキャッシュに残されたデータを読み取り、第三者に送信するようなものも存在する。こうした被害を避けるためには、基本的に「端末側にデータを残さない」ようにすることが重要になるというわけだ。

※クリックすると拡大画像が見られます

セキュアなクラウド活用をシンプルに実現する「Soliton SecureBrowser サービス」

　ここまで、クラウドサービスを使ったモバイルワーク環境をセキュアに実現するためのポイントについて見てきた。実は、かなり多くの要素を考えなければならないことを改めて認識できたのではないだろうか。ただし、難しく考えることはない。これらの要素をシンプルに実現できるソリューションの例として、ソリトンシステムズが提供する「Soliton SecureBrowser サービス」について紹介したい。

　「Soliton SecureBrowser サービス」は、ソリトンシステムズが企業向けのハード、ソフトのパッケージ製品として提供してきた「Soliton SecureBrowser（SSB）」と「Soliton SecureGateway（SSG）」の組み合わせによるソリューションを、文字どおり「サービス」として提供するものである。機器購入の初期コストや、導入に当たってのネットワーク構成変更の手間を省き、より多くのユーザーにソリューションのメリットを提供しようという意図で企画されたサービスで、7月31日より提供が開始されている。価格は、初期費用が10万円より、月額基本費用（100ユーザー込み）が3万円からとなっている。

　SSBは、業務用途向けに、セキュリティに関する機能が強化されたWebブラウザだ。OS標準ブラウザと同じブラウザエンジンを使用しているため、様々なWebシステムに広く対応できる。Webコンテンツの変換も行っていないため、Webシステムが提供するリッチなWebインターフェイスをそのまま使える。また、SSB内に独自のドキュメントビューワーを搭載しているため、パスワード付のOfficeドキュメントやZipファイルも閲覧・解凍可能だ。iOS、Androidといったスマートデバイス用OSのほか、Windows、Mac OS Xといった、PC向けのOSにも対応している。

　SSBでは、ブラウザがダウンロードしたデータ（ファイルやキャッシュ）をSSB内の専用領域で管理する。この領域にあるデータには、他のアプリからアクセスできず、他のアプリとのデータ連携も禁止されている。もちろん、ブラウザに表示されている文字の外部アプリへのペーストもできない。SSB内にあるデータは、SSBアプリ終了時や定期的に自動削除されるようになっており、できる限りモバイルデバイス上に「データを残さない」セキュアな状態で作業ができるようになっている。

※クリックすると拡大画像が見られます

　「Soliton SecureBrowser サービス」では、端末側でSSBを起動するとソリトンシステムズが用意したゲートウェイに接続した上で、そこを通じて、各種のクラウドサービスにアクセスするようになっている。通信経路の暗号化が行われるほか、ユーザー認証、さらには電子証明書を用いた端末認証がゲートウェイ上で行える。これにより、「人」と「端末」の双方に対して、正当な資格情報を持っているかを確認した上で、クラウドサービスにアクセスさせることが可能になっている。

　このサービスを利用した場合、セキュリティ上の大きなメリットがもうひとつある。クラウドサービス側の「接続元IPアドレス制御機能」と組み合わせることで、「SecureBrowserサービスのゲートウェイを経由していないアクセスを拒否する」という運用が可能な点だ。また、クラウドサービス側で接続元IPアドレス制御機能を持っていない場合（Google Appsなど）であっても、他のIPアドレス制御サービスや今後別途オプションとして用意される予定のシングルサインオンサービスと連携させることで、同様のアクセス元の制御が可能になる。

　ブラウザでのクラウドサービス利用を前提とした場合には、「Soliton SecureBrowser サービス」で、「人と端末の認証」「端末側にデータを残さない」といった要素を満たした、よりセキュアな「クラウドサービスによるモバイルワーク」を実現できるというわけだ。

　さらに「Soliton SecureBrowser サービス」は、社内へのリモートアクセスも可能だ。企業ネットワーク側に専用の「コネクタ」を設置することで、別途VPN環境などを用意する必要なく「Soliton SecureBrowser サービスを経由した社内のWebアプリへのアクセス」も可能になる。企業システムがクラウドと社内にまたがっている場合でも、社外から安全にアクセスできる。

※クリックすると拡大画像が見られます

　「クラウドサービスによるモバイルワーク」を、できる限りシンプルに、かつセキュアに実現したい企業にとって、導入時の手軽さに加え、将来的な拡張性も備えた「Soliton SecureBrowser サービス」は有力な選択肢のひとつとなるのではないだろうか。

　なお、「Soliton SecureBrowser サービス」は、基本的にWebアプリへのアクセスを前提としたソリューションとなっている。専用アプリに匹敵する使い勝手やより高度な機能、「オフラインでの作業」などを求める企業向けに、ソリトンシステムズでは「Soliton SecureContainer」と呼ばれる別製品の提供も行っている。こちらの製品については、また改めて、別の機会に紹介したい。