スマートフォンやタブレット端末を使って企業内のシステムを利用するリモートアクセスでは、セキュリティと利便性の両立が難しい。ランサムウェアや標的型攻撃などのウイルス被害を防ぎつつ、快適に利用する――こうした目的のために開発されたのが、インテリジェントブラウザ「DoCAN」だ。セキュアブラウザと知能化ゲートウェイを一体化し、端末・ネットワーク・通信コンテンツの管理制御を実現した。
インテリジェントブラウザ「DoCAN(土管)」は、単なるセキュアブラウザではなく、シンクライアント端末の代替としても利用できることから、金融機関を中心に5万人以上の導入実績がある。
さらに2017年9月上旬には、メールに添付されたMicrosoft Officeファイル(以下、Officeファイル)をブラウザ内で安全に閲覧・編集することを可能とする新機能の提供も順次開始する。
インテリジェントブラウザによって、どのようなリモートアクセスの世界を実現しようとしているのか、DoCANを開発・提供するコネクトワンの代表取締役社長 吉田晋氏に話を聞いた。
スマートフォンやタブレット端末の普及が進み、セキュアブラウザやシンクライアントを使って社内のWebシステムやクラウドにリモートアクセスするニーズが高まっている。しかし従来の既存技術には課題が多いのだという。
これまでのセキュアブラウザやシンクライアント技術では、リモートアクセスの際にマルウェアの検疫が不十分であり、個人情報保護に役立つスクリーンショットの禁止が、難しい。端末管理が不十分になる。さらに端末利用者がメールの添付ファイルを安全に閲覧・編集できないなど、さまざまな課題を抱えている。
こうした課題を解決するためにコネクトワンは、安全で柔軟性が高く、コストを低く抑えることができる新しいコンセプトのリモートアクセス基盤「インテリジェントブラウザ」を開発した(図1)。
単に「セキュアブラウザ」を提供するのではなく、ブラウザの通信を全てフック(横取り)し、サーバ側のゲートウェイ(「知能化ゲートウェイ」)を経由させるという一体構造が「インテリジェントブラウザDoCAN」である(図2)。
この構造により、従来のブラウザ単体では実現不可能であった、「通信コンテンツやネットワーク経路の制御管理」が可能となったという。
DoCANの開発に踏み切った理由を吉田氏はこう説明する。「WebブラウザのエンジンはOSごとにオープンソースで提供されているので、ソフトウェアベンダーはそれを使ってセキュアブラウザを開発できます。しかし、セキュアブラウザ単体では、実現できる機能は限定的です。端末やネットワーク、アプリケーションを細かく制御することはできません。当社では、これらをきちんと制御できるように、クライアント側のセキュアブラウザと、サーバ側のゲートウェイを一体構造としました。レンダリング以外に必要な機能は全てサーバ側に実装するというコンセプトを考えました」
通常、Webブラウザから社内のWebサーバへアクセスする際には、VPNを使用する。しかしVPNを使った通信では、インテリジェントブラウザの主要な機能を実現することはできない。
インテリジェントブラウザの第一の特徴は、通信経路の制御と管理である。
従来のVPN通信では、ネットワークの下位レイヤーで経路制御を行うため、アプリケーションレベルで接続先のサーバごとに経路を制御することが困難である。
DoCANでは、プロキシ技術を応用した独自のネットワーク経路を確立することで、接続先のサーバごとに通信経路を動的に変更できるようにした。これにより通信先が公開クラウドであっても、閉域社内環境であっても、DoCANがネットワーク経路を一元的に管理できる(図3)。
インテリジェントブラウザの第二の特徴は、通信コンテンツの制御と管理である。
従来のVPNによる通信方式などではコンテンツデータを制御、管理することができない。DoCANでは、暗号化されたコンテンツをゲートウェイ上でいったん復号して内容を制御、管理できる。復号されたコンテンツを再び暗号化して、Webブラウザに送る仕組みを実現している(図4)。
こうした処理によって、処理速度は導入当初10〜15%低下するものの、知能化ゲートウェイがキャッシュ機能を備えているため、継続使用しているうちに速度低下はほとんどなくなるという。
このように、DoCANを利用することによって、クライアント証明書やWebブラウザのユーザーエージェントを使用しなくても、接続元IPで端末のアクセス制限を実現できる。さらに、社内のDoCANを組み合わせて独自VPNを構成することにより、社内Webアプリケーションにも安全にアクセスできる。
DoCANの有効性について、吉田氏はさまざまなメリットを強調する。「DoCANブラウザは、通信経路やコンテンツを制御管理できるインテリジェントブラウザと位置付けることができます。Webブラウザ側で行っているのはレンダリングの処理だけで、制御や管理は全てサーバ側(知能化ゲートウェイ)が担っており、必要に応じて機能を追加可能です。例えば、タブレット端末のユーザーがDoCANブラウザを起動する際に、サーバがセキュリティチェックを行って、問題がないことを確認したうえで起動を許可するといった機能も組み込んでいます」
実際に、DoCANブラウザを使ってどのようなことが実現できるのか。既に金融機関を中心に多くの企業が導入して成果を上げているのが、端末管理とネットワーク管理の分野である。吉田氏は、「5万人のユーザーがDoCANの端末/ネットワーク管理を利用しています」と力を込める。
保険会社では、個人用のスマホやタブレット端末を使って社外から社内システムにアクセスする業務が拡大しており、DoCANの端末管理機能を導入する会社が増えている。吉田氏によると、大手損害保険会社で8500ユーザー、某大手外資系生命保険会社で6000ユーザーが利用していることをはじめ、多くの保険会社が採用しているという。
保険会社の端末管理の現状について、吉田氏は次のように指摘する。「顧客の個人情報を扱う保険会社では、とりわけ安全な端末管理を実現し、全ての端末を統合的に管理する必要があります。しかし、MDM(Mobile Device Management)などの端末管理専用のシステムを使っても、数千単位の端末に機能を実装して管理するのはほぼ不可能であり、マルウェアの検疫やスクリーンショットの禁止といった対策も実現することはできません」
DoCANでは、知能化ゲートウェイ上に機能やサービスを組み込むことにより、マルウェア検疫やスクリーンショット禁止を実現している。加えて端末不正改造防止や端末ID認証、リモートワイプ、接続先サーバ管理、シングルサインオンなどを利用できる(図5)。
例えば、スクリーンショットの禁止に関しては、ユーザーが端末側でDoCANブラウザを起動すると、ゲートウェイ側で端末がスクリーンショットを許可する状態かどうかを判断し、許可していれば、それを禁止するための構成プロファイルをインストールし、スクリーンショットを撮らせないように強制的に設定する。DoCANを使っていない状態であれば、必要に応じて構成プロファイルをオフにすることもできる。
今後もDoCANの機能強化は続く。直近の目玉は、添付ウイルス対策を実現する新機能を備えた新機能版の提供だ。2017年9月上旬を予定する。新機能は、Webメールなどに添付されたOfficeファイルをDoCANブラウザ上で安全に閲覧・編集できるようにするもの。Officeファイルをゲートウェイ内でWeb化することで、ローカル端末に直接ダウンロードさせない。
セキュリティ対策の中でも、標的型攻撃やランサムウェアなど添付ファイルを用いたウイルス対策にはまだまだ改善の余地がある。従来の手法では、添付ファイルを完全に削除してしまうか、検疫することが一般的であった。しかし、添付ファイルを削除してしまうと業務に支障を来す。パターンファイルを利用した検疫やサンドボックスによる検疫では、標的型攻撃を防ぐ能力が不十分だ。完全な対策とはいえない。
DoCANの添付ウイルス対策機能では、OfficeファイルをDoCANブラウザにダウンロードしようとすると、知能化ゲートウェイ内でOfficeファイルを無害なWebページに変換する(図6)。
これによりユーザーはファイルダウンロードを意識することなく、DoCANブラウザ上でOfficeファイルの参照、編集が可能となる。ユーザーが編集したOfficeファイルは添付ファイルとして再送信できる。
OfficeファイルのWeb化は、オープンソースのLibreOffice Onlineをベースに開発して実現した。類似機能を持つMicrosoftのOffice Web Appsとの違いは大きく2つある。Office 365/OneDriveなどのMicrosoftのサービスではないにもかかわらず、DoCANが接続するサーバに対して利用できること。OfficeファイルパスワードやZIPファイルパスワードにも対応していることだ。
吉田氏によれば、新機能としてOfficeファイルのWeb編集機能を期待するユーザーが多いのだという。「新機能では、添付ファイルをPC上にダウンロードすることがありません。このため標的型攻撃やランサムウェアなど、添付ウイルスによるサイバー攻撃を完全に防御できます。リモート環境でのOfficeファイルの安全なやり取りはニーズが高いと考えており、実際に既に多くの企業から、問い合わせをいただいています」とアピールする。
例えば既存の業務システムが、Internet Explorer専用に作られたWebアプリケーションだった場合、iPadでアクセスするとどうなるか。正しく表示されなかったり、そもそも動作しないこともあるだろう。
多くの企業が、タブレット端末を導入しても業務に生かし切ることができない大きな理由の1つが、PC用に作られた既存業務システムにタブレット端末でアクセスできないことにある。
インテリジェントブラウザDoCANは、Internet Explorer用に開発されたWebアプリケーションでもOSを問わずタブレットでの表示や操作を可能とする(図7)。
事例もある。NTTデータと共同開発したマルチOS対応の地方銀行向け保険商品販売サービスだ。NTTデータは2017年4月からASPサービスとして提供を開始している。
同サービスは、生命保険会社各社が運営するサイトの一部機能を、iOS(iPhone、iPad)やAndroid、Windowsタブレットで利用できるようにしたもの。DoCANのゲートウェイ上でマルチOS対応に必要なコンテンツ変換を行うことによって、OSやバージョンの差異を吸収し、銀行窓口やお客さま先でタブレット端末を使った保険販売を実現している。
吉田氏によると今回の機能が必要な理由があったという。地方銀行ではこれまで、契約者に紙ベースの保険申込書に必要事項を記入してもらい、保険会社に送っていた。しかし、そのうちの何割かは、記入漏れや記載ミスにより差し戻され、銀行の事務手続き効率化のネックとなっており、このような問題の解消に向け、申し込みの電子化が課題になっていたという。
このような金融機関のサービスがDoCAN技術を利用するメリットは何だろうか。吉田氏は次のように語る。「リモートデスクトップ製品を使ってシンクライアント化する場合と比較すると、インテリジェントブラウザではコストを1桁低く抑えることができます。さらに仮想デスクトップのような画面転送ではありませんから、ネットワーク負荷も削減できます。通信回線の品質にも左右されません。DoCANブラウザでは、シンクライアントアプリなどとは異なり、ピンチイン、ピンチアウトなど、スマートフォンならではの操作が可能で、窓口で契約者が操作する場合も使いやすくなります」
これまで見てきたように、DoCANの強みは、ブラウザ部分とゲートウェイ部分が協働することにある。ブラウザ部分は単純化でき、ゲートウェイ部分に機能を追加することで、暗号化されたデータをいったん復号して内容をチェックするといったさまざまな機能やサービスを追加できる。
「時代の変化に対応して、セキュリティ対策を強化したり、機能性を高めたり、ビジネスロジックを追加したりすることも容易です。ゲートウェイを通過するデータをログとして記録して活用することも可能です。コンプライアンスの強化が必要になれば、監査ログとして記録するなど、さまざまな可能性が考えられます」と、吉田氏は今後の展望を語っている。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社コネクトワン
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年7月25日