仮想化で変わる、セキュリティの常識 セキュアなALL仮想化オフィス

ビジネス推進グループ
執行役員 篠浦文彦

 前回は、仮想環境を構築することにより、高度でコストパフォーマンスの高い事業継続計画が実現できることをネットワンシステムズ自身の取り組みとともにご紹介しました。
 今回はセキュリティについてです。仮想環境では情報の守り方はどう変わり、今後はどのような取り組みが必要になってくるのでしょうか。これも当社での具体的な実践例を挙げながら、推進方法を検討していきます。

仮想環境導入だけでセキュリティレベルは上がる

 セキュリティというのは、大切なものを守ることです。古代、国を率いる王を守るため、家来たちは城郭に高く堅牢な壁を築きました。時は流れてIT社会の現代、人間もさながら情報がかけがえのない価値を持つようになり、どんな組織にとってもこれが大切なものの仲間入りをしています。
 守る上で王と情報は大きく違います。王は自ら危険にさらされに出ていったりしませんから不審者の侵入だけを警戒していればいいのですが、情報の場合は不測の事態による流出という危険が伴います。つまり、入口にも出口にも気を配らなければなりません。物理環境でITシステムを構築している場合は、情報の入口と出口が数限りなく存在するため防御は非常に大変でした。

 しかし、仮想化を推進するとシステム全体を中央集中制御で運用できるため、情報の入口と出口を絞りこむことができ、そこに流れるトラフィックをチェックすることによって、怪しい動きを特定しやすくなります。

 たとえば、誰かのデスクトップにひょっこり入ってしまったウイルスファイルがシステムに影響を及ぼし始めたとき、それが物理PC環境であれば、ログやトラフィックから詳細を把握するのは困難です。これが仮想化された環境であれば、たとえマルチデバイスで多重ログインしていたとしても詳しい状況を把握することが可能です。そして、いち早くアクションを取れるため、大惨事になる前に事態を収拾することができます。

取り組むべきはセキュリティポリシー設計と強化

 このように仮想環境は組織のセキュリティレベルを大きく向上させますが、その一方で、これまで以上に重要になってくる運用管理があります。それらには、ユーザーのプロファイル管理、アクセス制御管理、ユーザー認証基盤の強化といったものがあります。多くの企業でまだまだ体系化されておらず、事業環境の変化に伴ったリアルタイムなアップデートというのも行われていません。しかし、セキュリティの重要性を考えると、これらの管理情報と実態の間にタイムラグが生じてはならないのです。

 具体的に、まずユーザーのプロファイル管理では、ユーザーの認証情報を単にID・パスワードにとどまらず、ユーザーのステータスや本人にしか知りえない人事情報を加味した管理を推進すべきだと思います。これまで、人事情報については人事部門、認証情報は情報システム部門と別々に管理を行ってきましたが、両部門で協業・連携して、ユーザーとシステムの関係がどうあるべきか議論し、一部の情報を共有するというわけです。

 一方、アクセス制御管理は、ユーザーがどのようなアクセス権限を持つかを管理するものです。どのアプリケーションのどのデータに対して、何ができる権限を持つのか。また、どのようなデバイスからどのような時間であれば、アクセスを許可できるのか。ユーザーのシステム利用を想定しながらこれも詳細に規定していきます。
 たとえば当社の例では、私は営業支援システムに関してすべてのデータを閲覧する権限を有していますが、スマートフォンからのアクセスは認められていません。私の職責で商談詳細をスマートフォンから閲覧する必要がないからです。
 認証基盤の強化も重要なテーマです。アクセスしてきたユーザーにログインの許可を与えることは大きな判断になるため、本当に本人かどうかをしっかりチェックし、証明する機能を持たなければなりません。ネットワンシステムズでは、この真正性を担保するため、第三者が発行する証明書により証明するパブリックCA(Certificate Authority)局を立てることにしました。

運用管理業務の変革で得られるメリット

 こうした取り組みで運用管理業務は大きく変わりますが、企業はいくつものメリットを享受できます。
 一つめは、BYOD(Bring Your Own Device)の展開スピードを上げられます。
 現在、BYODを推進する企業の多くは、デバイス認証方式を採っています。ユーザーに購入したデバイスを申請してもらって、その端末情報を有線ネットワークならLANスイッチに、無線ネットワークならアクセスポイントにその情報を登録してからでないと、ユーザーはそのデバイスを使い始められません。しかし、プロファイル管理が確立されていれば、ユーザーが今日購入してきたiPad miniからデバイス申請を行って、しっかり本人認証を行いながらすぐさまメインタブレットとして活用できるというわけです。

 二つめは、アプリケーション間の認証連携が容易になることです。
 企業では、ユーザーは複数のアプリケーションを行ったり来たりしながら仕事を進めるのが常ですが、認証情報がうまく連携できなければ、ユーザーはアプリケーションにアクセスするたびにID・パスワードを入力しなければならず、非常に煩雑です。ネットワンシステムズでは、パブリックCA局を中核にSAML(Security Assertion Markup Language)というXML仕様を使って認証連携を行い、社内アプリケーションのみならず社外のSaaSアプリケーションとの間ともシングルサインオン環境を実現しています。

 三つめは、BYOA(Bring Your Own Application)が許可できることです。
 BYOAというのは、ユーザーがデバイスに依存することなく必要なアプリケーションを使えるというIT利用における一つの潮流です。代表的な例としては、セールスフォース・ドットコムのようなSaaSアプリケーションがあります。オフィスでPCやiPadでアクセスする場合と、外出先からスマートフォンでアクセスする場合、GUIの見え方は異なります。しかし、結果として同レベルの機能が提供されています。このような利用を推進したいときでも、情報経路、アクセス・デバイスなどがしっかりチェックできる仮想化環境の下、プロファイル管理を行っていれば、どのユーザーにどのアプリケーションの利用を認めるかコントロールすることが可能になります。

 どのメリットについてもいえることは、情報システム部門がガバナンスを効かせ、管理の手綱はしっかりと握りながらも、ユーザーの利便性も大きく向上できること。これによって企業としての機動力が違ってくることは間違いありません。

ネットワンシステムズは全面BYODへ方針転換

 このようなメリットを鑑みて、実際、当社もIT展開に関して大きく舵を切りました。それは、“デバイス貸与を基本として望むユーザーにはBYODを許可する”という方針から、“ユーザー個人のデバイス利用したBYODを基本として、デバイスを所有しないユーザーのみデバイスを貸与する”という方針への転換です。 事前に社内アンケート調査を行ったのですが、自分にとって好ましいスペックのデバイスを自由に選べ、仕事の生産性向上に直結するので歓迎するとの声が多く出たことが決定を後押ししました。また、経営の立場としてもデバイス貸与と仮想化環境の推進で実ユーザー数以上のライセンス料を支出していた状況を解消できるため、大きなコスト削減が図れることを確信しています。


上図:社内システムと社外サイトのシームレス連係を実現するセキュアな認証基盤構成

軌道に乗せるには越えなければいけない課題もある

 仮想環境を進めていけば、その先にはセキュリティレベルの向上という果実も待っています。もちろん、いつの時代も新しい脅威は絶えず出現し、その対応には知恵を絞っていく必要はありますが、物理環境のまま防御を考えるよりははるかに優位性があります。
 ただ、運用を軌道に乗せるのはそれほどたやすいことではないでしょう。PDCAサイクルを回しながら、浮上した課題を一つ一つ解決しながら、時間をかけて洗練度を上げていくことになります。

 例をあげると、プロファイル管理やアクセス制御管理は今まで以上に大きな業務になりますから設計担当者の育成も不可欠ですし、翻れば、所有するデータ資産に関してどれが自社にとって最重要なのかを見極めて社内でコンセンサスを取るプロセスも必要になってきます。
 そして、ユーザーの意識改革も進めなければなりません。デバイスに関して登録、利用、廃棄といったライフサイクル管理をユーザー本人が主体的に行い、ヘルプデスクやサポートスタッフに頼らない本人主義を定着させるとともに、水平展開のロードマップも熟考します。ネットワンシステムズの場合は、早い段階で役員を巻き込みました。タブレットデバイスで仮想化環境を使って業務を行ってもらったのですが、そこでアプリケーションへのクレームが噴出したのです。たとえば、物理環境で構築したものを仮想環境にのせた電子決済システムが、タッチパッドではスムーズに利用できませんでした。役員が声をあげたことでさっそく改修。そのようにして仮想環境のアプリケーション・ユーザビリティがどんどん改善していきました。

 今、私の統括する部門で懸命に進めているのはペーパードキュメントのデジタル化です。資料が紙で保管されているかぎり、セキュリティ確保に盲点が残るとともに、ユーザーをワークスペースから解放する仮想環境の実現が難しいからです。ペーパードキュメントは膨大な量に上るため、なかなかゴールが見えてきませんが、デジタル化を完了しさえすれば、ユーザーのプロファイルに基づいた厳密なアクセス制御管理が行えるようになります。

 このように越えなければいけない課題はあり、ある意味で長期的な視野を持って取り組むことになりますが、大切なものをどこまでも守りぬくというセキュリティの理想が仮想化環境で実現できると私は強く信じています。

Webからのお問い合わせ、ご質問はこちらから
お問い合わせ窓口へ

イベント/レポート

pagetop