オルタナティブ・ブログ > 坂本史郎の【朝メール】より >

ビジネスモバイルITベンチャー実録【朝メール】から抜粋します

iPhoneやケータイで安全なモバイルシステムを作るには(2)

»

クラウドコンピューティングが市民権を得てきています。最近の大きいところでは、IBMのLotus Liveにパナソニックグループが28万人全体で移動するというようなニュースが流れていました。会社の製造などに直結するものではない、情報系サーバーは、他社で運用してもいいのではないか、そのような考え方が一般化するのもよくわかります。

クラウド化というのは大きな流れとして歓迎されることではあります。一方、IDとパスワードだけでそれが利用できること、これ対する懸念点があまりにも希薄であることにセキュリティ的な問題点を感じます。それらについては「クラウドの企業利用におけるセキュリティ懸念」をご参照ください。

企業がクラウドを利用していくのであれば、IDパスワード利用端末とを、会社がコントロールする必要があります。各種クラウドの利用において異なったIDや、パスワードが使われ、さらに、どの端末からどのユーザーがアクセスしているかが把握できないような状態になってしまっては、セキュリティも何もあったものではありません。それこそ、ハッカーたちが喜んで情報源として使うような巣窟になってしまうでしょう。

ここで必要になってくる項目は次のようなことです。

ログイン情報の統一管理
ユーザーごとのログイン情報が、利用する各種クラウドのログイン情報を一致する必要はありません。いや、かえって、ユーザー個人には、利用しているサービスのログイン情報を伏せておいたほうがいいくらいです。いわば、許されたログイン情報から、いちどきっちりと認証されたのであれば、様々なサービスにシームレスに行き来できるという状態を実現する必要があります。SSO (シングル・サイン・オン) と呼ばれる概念です。パスワードの定期変更を仕組みとして持つことや、その紛失時の連絡管理などについても会社で対応すべきことのひとつです。

端末の特定
ログイン情報と結びつけた特定の端末からだけのアクセスを許可するということも大切な概念です。例えば、あるユーザーには、会社貸与iPhoneと個人所持のdocomo端末だけからアクセスができるようにするのです。そういった制限がかけられることが必須です。端末ブラウザからのアクセスであっても、端末を特定できるかどうかで大きな違いがあります。端末特定ができないのは、世界中のどのパソコン端末からでもアクセスできるということでもあります。端末を正確に特定するのはとても大切な技術です。

セッション管理
同じ端末を使っていたとしても、各ページに有効期限を厳格に設けておくことも重要です。モバイル端末は常に紛失する可能性があります。そこに、例えば最終ページが表示されたままで紛失したとしましょう。セッション管理が甘いものであれば、端末を拾った人がそのページから、そのままサービスを利用できるようになってしまいます。一定時間、例えば30分間、何も操作がなければ、そのページのセッション自体を無効にするということ、それを会社管理者が統合的に管理できるということ、こういった機能は必須です。そして、意外と社内で作ってあるシステムはセッション管理におおらかだったりします。性善説で作られていることが多いからです。

ログの統一的記録
ユーザーがいつ、どの端末から、アクセスをしたのかというログを残すことも重要になってきます。許可したユーザーからのアクセスだけなのかどうか、どのような使い方がされているのか、会社側としては、しっかりと記録できている必要があります。

このように、セキュリティを実現しながら、社内外の様々なシステムを統合して使えるようなモバイルシステムを作ることはなかなか困難なことです。たとえクラウドに一挙に行かないとしても、部分的には社外のサービスを使うということは徐々に浸透していきます。環境の変化に追従できる仕組みというのを最初から考えてモバイルシステムを設計していく必要があります。

次は、これらの懸念点や必要事項を高次元でバランスさせる方法について。

■関連記事

iPhoneやガラケーで安全なモバイルシステムを作るには(1)

クラウドの企業利用におけるセキュリティ懸念

Comment(0)