新型インフルエンザ流行!パンデミック時でも事業継続するための対策とは
シンクライアントリモートアクセス実感セミナー
- ありがとうございます!
- いいね!した記事一覧をみる
在宅勤務、インフルエンザ・パンデミック対策、BCPとリモートアクセス
|
新型インフルエンザの場合、本人は健康であっても、家族あるいは隣席の社員が感染の疑いがあるというだけで、自宅待機になるケースもありうる。それが企業のキーマンであったり、いま現在、重要なプロジェクトに関わっている人物であったりすると、業務に与える影響は深刻である。
こうしたBCPを実現する重要なツールとして、大いに注目されているシステムが「リモートアクセス」である。実際に、今年の5月以降、問い合わせが急増していると、NEC 第二コンピュータソフトウェア事業部 主任 早坂真美子氏は言う。
「今年5月の新型インフルエンザ発生以降、リモートアクセスに関するお問い合わせが急増しています。特に、企業の役員やキーマンに対してリモートアクセス環境を提供することで、パンデミック時でも事業を継続できるインフラを整備したい、というご相談を受ける機会が増えました」(早坂氏)
リモートアクセスが注目される背景はBCPだけではない。「仕事と生活の調和」を意味する「ワークライフバランス」の観点からも、リモートアクセスに注目する企業が増えている。たとえば、育児をしながら働く女性社員や開発系業務の在宅勤務を実現するインフラとして、導入を検討している企業が増えているのである。
もちろん、社外での業務が多い外回りの営業マン、出張の多いビジネスマンにとっても、リモートアクセスが重要であることは言うまでもない。
NECが開発したSecureBranchは、こうした企業の要望に応えることのできる、セキュアかつ短期間で導入が可能なリモートアクセス製品である。と書くと、「ああ、要するにVPN製品のことだね」という反応が返ってきそうだが、ちょっと違う。いわゆる一般のVPN製品とはコンセプトを異にし、"コペルニクス的な逆転の発想"で開発されたVPN製品が、SecureBranchなのである。
社内に確立されたセキュリティ空間を外に広げるという「逆転の発想」
「一般的なSSL-VPNでは、特定のURLにアクセスし、ユーザー名とパスワードを入力すれば、任意の端末からリモートアクセスが可能です。特定の端末に縛られないという利点はありますが、セキュリティ確保の為に外部認証との連携やホストチェックの仕組みが別途必要になる可能性があります。そこで、SecureBranchでは、管理者の許可した社有端末だけが、アクセスできる設計となっています」(早坂氏)
具体的には、専用のクライアントソフトウェアをインストールし、あらかじめ社内ネットワークでSecureBranchサーバと証明書を交換した端末だけがリモートアクセスできる。この手順を踏むことで、社内ネットワークに接続可能なセキュリティレベルを持っていることが接続端末の条件となり、任意の端末からでもアクセスできる一般的なSSL-VPNより、高いセキュリティを実現しているのである。
もう1つの特徴が、情報漏えいやマルウェア感染のリスクを低減できる点である。それを実現しているのがクライアントソフトウェアに実装されている「カーネルファイアウォール機能」だ。これは、Windowsのドライバレベルですべてのパケットをフィルタリングし、リモートアクセスに必要な通信以外を完全にシャットアウトする機能である(下図)。
※クリックで拡大 |
図1:カーネルファイアウォールにより リモートアクセスに必要な通信以外を完全にシャットアウトする |
「たとえば持ち帰った端末を自宅のLAN環境につないでも、自宅PCとのデータのやり取りや、直接インターネット上のWebサイトの閲覧を行うことはできません。このため、端末から個人情報が漏えいしたり、インターネットからマルウェアに感染したりするリスクを大幅に低減することができます。」(服部氏)
リモートアクセスだけが許可されているので、すべての通信は、必ず社内経由で行われることになる。社内にあるSecureBranchのサーバを通じて社内システムを制限なく利用できるのはもちろん、インターネット上のWebサイトの閲覧も社内を経由して行われる。当然、社内で閲覧が禁止されているWebサイトには社外からもアクセスができない。
つまり、「社内ネットワークに接続できる」だけではなく、「社内ネットワークにしか接続させない」制御を行うことで、社内のセキュリティポリシーを社外に持ち出した端末にまで適用させることが可能なのである。
概念的には、セキュアな社内LAN空間がインターネット上に枝(ブランチ)を伸ばしていくイメージである。リモートアクセス用のセキュリティポリシーを策定した上で端末が社内LANにアクセスしにいくのではなく、「すでに適用されているセキュリティポリシーごと社内LAN空間が端末に伸びてくる」と言えばいいだろうか。まさに、“コペルニクス的な逆転の発想“で開発されたVPN製品なのである。
ネットワーク構成の変更が不要で運用・コスト面でのメリットも大きい
|
また、通常のリモートアクセスを導入する際には、社内LAN用のセキュリティポリシーに加えて、リモートアクセス用のセキュリティポリシーも策定しなければならない。これが情報システム部門の大きな負担となっているが、前述のとおり、SecureBranchならその作業は必要ない。
「通常のリモートアクセス製品の場合、端末側からサーバにセッションを張るため、セキュリティ上サーバをDMZに置いて、アクセスしてきた相手を認証する仕組みを導入しなければなりません。しかし、SecureBranchはサーバをDMZに置く必要も、リモートアクセス用に新たな外部認証システムを導入する必要もありません。また、既存のファイアウォール等のネットワーク機器の設定を変更する必要がなく、社内LANのセキュリティポリシーをそのまま適用できるため、初期導入時だけでなく運用面での手間やコストも大幅に軽減できます」(早坂氏)
最小限のコストで、短期間で導入が可能であるという点も、SecureBranchの大きな特徴の1つと言えそうである。
※1: DMZ(DeMilitarized Zone:非武装地帯)
インターネットなどの信頼できないネットワークと社内LANなどの信頼できるネットワークの中間のセグメント。Webサーバやメールサーバなど、インターネットに公開するサーバを置く。
アプライアンスと仮想アプライアンスの2製品をラインアップ
すでに他製品のVPNを導入していても、個人情報などの機密情報を扱う部署で「セカンドVPN」としてSecureBranchを導入するのもよいアイデアだ。端末認証ができるのでセキュリティレベルは確実に向上する。社内LANのセキュリティポリシーで管理できるため、運用の手間も増えないし、新たなシステム投資も必要ない。
なお、SecureBranchには、アプライアンス製品となる「UNIVERGE SecureBranch Eシリーズ」と仮想アプライアンス(※2)製品である「SecureBranch VM-Edition」の2つがラインアップされている。手軽さのアプライアンス、仮想環境への導入なら仮想アプライアンスという選択になると思うが、機能は同等なので、現在のシステムに合わせて検討してほしい。
また、NECではSecureBranchと仮想PC型シンクライアントシステムを組み合わせた「シンクライアントリモートアクセスソリューション」も提供している。本ソリューションは、在宅勤務に最小限必要となるハードウェア・ソフトウェア・SIをパック化した「シンクライアント パンデミック対策パッケージ」の主軸になっており、最短2週間でシンクライアントによるリモートアクセス環境を構築できることから、インフルエンザ・パンデミック対策として非常に有効であると言えよう。
NECは、ソフトウェアもハードウェアも自身の力で供給できる数少ないベンダーの1つである。SecureBranchの開発コンセプト、アプライアンスと仮想アプライアンスの2ラインアップでの提供形態などを見ると、そのNECの力が結集された製品が「SecureBranch」といってよいだろう。逆転の発想と高い技術力で開発されたSecureBranchが、リモートアクセスの世界をより身近な存在にしてくれることは、間違いなさそうである。
※2: 仮想アプライアンス
ソフトウェアがOSごとセットアップされたパッケージアプリケーション。ソフトウェアの形態で提供され、仮想環境上で動作する。配信、可搬性にすぐれ、仮想化ソフトの持つ機能の恩恵を受けることが可能。