日本電気株式会社（NEC） 第二コンピュータソフトウェア事業部 マネージャー 尹 秀薫（ゆん すふん）氏

-昨今の企業が抱えるモバイルセキュリティの課題についてお聞かせください。

尹氏●近年はモバイルワーキングが急速に進展し、いつでも、どこでも、社内と同じように作業できる環境が整いつつあります。その一方で、社外に持ち出したPCがウイルスに感染したり、ファイル交換ソフトなどを通じて重要な情報が第三者に漏えいする事故も相次いでいます。そこで、多くの企業では外部認証システムを導入するなど、リモートアクセス環境におけるセキュリティ強化に取り組んでいます。
　しかし、多くの場合、セキュリティポリシーは社内接続用と社外接続用で、別々に分けて運用されているケースがほとんど。それだけセキュリティに対する投資が増大する上、2つのセキュリティポリシーを使い分けなければならないため、運用管理負荷の増大も大きな課題となっています。また、社内で使えるアプリケーションが社外接続では使えなくなるなどの不具合をきたすことも少なくありません。

-モバイル環境の進展に伴い、セキュリティの課題が複雑化しているわけですね。では、NECが考えるモバイルセキュリティとは？

尹氏●社内用、社外用と別々に運用管理していたセキュリティポリシーを一本化し、統合的なセキュリティ対策を講じることが有効でしょう。それを可能にするのが、VPNアプライアンス「UNIVERGE SecureBranch」です。従来のリモートアクセスVPNは、VPN装置自体でホストチェックを行う方法が一般的ですが、SecureBranchはその発想を転換し、社内LAN内のセキュリティ機能をそのまま利用し、ホストチェックを行うという仕組みです。

　具体的には、社内LAN内にSecureBranchを設置し、外部で利用するPCに専用クライアントソフトをインストールします。その上で、管理者コンソールから、証明書交換方式によるPCの登録を実施し、端末個体認証を行います。実際にリモートアクセスする場合は、社外からの接続要求に対してSecureBranchにて端末個体認証を確認。その結果、認証が正常であれば、Ethernet over SSLによるコールバック方式でHTTPSプロトコルを使い、社内から社外へのリンクを確立します。そして、パスワードなどのユーザー認証を行った上で、VPN接続を行います。

図1：SecureBranchの仕組み

-では、SecureBranchの特徴についてお聞かせください。

尹氏●SecureBranchには大別して3つの特徴があります。1つ目は社外でも社内と同じセキュリティを実現できること。すべての通信はVPN接続で社内LANを経由する仕組み。社外からインターネットへの直接アクセスを遮断し、社内経由とすることで、社外からの接続でも社内LANのセキュリティポリシーを一元的に適用できるのです。そのため、ウイルス感染や情報漏えいなどのセキュリティリスクを軽減。ユーザー認証に加え、端末の個体認証も行うことから、なりすまし防止にも有効です。

　2つ目は社内と同じ利用環境を社外でも実現できること。クライアントPCは社外でも社内環境と同じIPアドレスを活用できるため、各種業務アプリケーションやファイル共有、VoIPなど社内のLAN環境をそのまま再現できます。モバイルを活用した業務の効率化や生産性の向上が期待できるでしょう。

　3つ目は運用管理の容易さです。先ほど述べたように、SecureBranchは社内LAN内でホストチェックを行う仕組み。一般的なリモートアクセスVPN装置はDMZへ設置するため、導入する際にはファイアウォールやプロキシの設定変更などの作業が必要でした。しかし、SecureBranchはDMZではなく、社内LAN内に設置するため、ファイアウォールやプロキシの設定変更などが不要。短期間でセキュアなリモートアクセス環境を構築できます。また、社外のPCも社内LANの制御下に置くことで、運用管理の負荷を軽減。リモートアクセス用に新たなセキュリティ対策を施す必要もないため、導入費用だけでなく、維持管理コストも大幅に削減できます。


■では、具体的にどのような利用例が考えられますか？

尹氏●社外でも社内と同じ環境、セキュリティポリシーを再現できるというメリットを活かせば、様々な活用ケースが考えられます。外出先の社員が社内の業務システムにセキュアにアクセスし、業務効率を向上させるなどのテレワークとしての利用方法が一般的です。最近では、建築現場やモデルルームなどの一時的な作業場所から、本社にリモートアクセスしたいというケースもあります。




-今後、ユーザー企業に向けてSecureBranchをどのようにアピールしていきますか。

尹氏●SecureBranchは効率的かつ効果的なリモートアクセス環境を実現する上で極めて有効なインフラです。今後は社内のセキュリティポリシーを社外にも適用できるメリットを最大化し、リモートアクセスの活用を包括的にサポートしていく方針です。具体的にはSecureBranchをベースにシンクライアント端末、ドキュメント転送型PC（OSやアプリケーションのみ端末にインストールし、ドキュメントはHDDに保存せずサーバへ自動転送するPC）、通常PCを組み合わせた「PC安心持ち出しソリューション」の提供を始めています。例えば、在宅勤務用にはシンクライアント、出張時にはドキュメント転送型PC、使い勝手や既存資産の有効利用を重視するには通常PCといった具合に、コストや利用シーン、セキュリティポリシーに応じて最適な使い分けが可能です。これにより、PCの社外利用による利便性と情報漏えいリスクの低減という相反する課題を両立することが可能になるでしょう。

　なお、PC安心持ち出しソリューションの主要構成製品であるSecureBranchは、アジア最大規模のネットワーク・コンピューティングイベント「Interop Tokyo 2007」において、優れた製品に与えられる「Best of Show Award」のプロダクトアワード部門アプライアンス関連製品で特別賞を受賞しています。

　リモートアクセス環境を整備する本来の目的はワークプレイスを広げ、オフィスワーカーの生産性を高めること。これからはリモートアクセスのインフラを整備するだけでなく、それをビジネスにどのように活用し、業務の効率化や生産性の向上、さらにTCO削減につなげていくかが重要なポイントになります。9月26日に開催するモバイルPCセキュリティ対策セミナーではSecureBranchの特徴、メリットなどに加え、実践的なソリューションを紹介し、具体的な活用形態などを提案していく予定です。当日はぜひ会場に足をお運びください。

図2：PC持ち出しソリューションの構成概念図