二木 真明氏 SSE エスシー・コムテクス・カンパニー ネットワークソリューション第一事業部 セキュリティシステム部副部長
吉田 柳太郎氏 SSE エスシー・コムテクス・カンパニー ネットワークソリューション第一事業部 セキュリティシステム部 セキュリティシステム営業第2課 NetSceenチーム チーム長
ノート・パソコン紛失が多発
クライアント証明書を導入
出先からのアクセスなど,接続相手の状況が完全に把握できない環境では,アクセス制御だけでなく,ファイアウォールでの認証も併用する。認証と運用の方法を工夫すればエンドユーザーの負担を軽くできる。
製薬会社のC社は,全国各地の医療機関を巡回する営業員のために,ノート・パソコンから社内ネットにインターネットVPN接続する仕組みを導入した。社内サーバーに格納した情報を顧客に紹介するためである。
ノート・パソコンの置き忘れが露呈
新システムは,営業員の使い勝手に配慮した。ノート・パソコンにPHS通信用のアダプタを差し込んで起動すれば,インターネットVPNに自動的に接続するよう設定した。
しかし,しばらくたってソフトの改修のためにパソコンを回収しようとしたときに,問題が発覚。営業員から「置き忘れた」,「行方不明」という申告が数件あったのだ。外部の人間がノート・パソコンを使えば,社外秘のデータにアクセスできてしまう。
|
|
図3 C社は出先からのアクセスをクライアント証明書で認証 C社は営業員がノート・パソコンからインターネットVPNにアクセスする。紛失や置き忘れが多発したため,クライアント認証を導入。即座に証明書を一時無効にできる体制を整えた。 |
クライアント証明書で紛失即無効に
C社のインターネットVPNの認証は,VPNクライアントが自動的に全パソコン共通のID,パスワードをファイアウォールに送信する仕組みだった。システム担当者は,営業員ごとに異なるIDとパスワードを割り当て,起動のたびに入力させることを考えた。しかし,設定の手間や営業員の負担を考えると現実的ではなかった。結局C社は,クライアント証明書による認証と,運用上の工夫でより高いセキュリティを実現することにした(図3[拡大表示])。社内に認証局を設置し,ノート・パソコンに個別の電子証明書を発行。紛失した場合には,ただちに証明書を無効にしてアクセスを拒否できるようにした。VPN経由でアクセス可能なサーバーは,大幅に制限した。
運用にも気を使った。紛失申告用の電話ホットラインを用意。紛失しても責任を問わないことを明確にした。一方で,パソコン管理を抜き打ちで監査することもアナウンス。問い合わせの際にパソコンが無ければ,アクセスを禁止するというルールを定めた。
