携帯端末を使ったシステムのセキュリティ対策（後編）

　それでは、先に紹介した対応策を利用してシステムを構築するときのポイントを紹介しよう。

■RAS+認証サーバ

　PDAに携帯電話などを接続し、ダイアルアップ接続でLANに直接アクセスする場合のシステム。メールやプリンタサーバの利用など、リモートから社内LANに接続されているPCと同じ環境を実現することもできる。

図4　RAS+認証サーバによるシステム構築例

　このシステムを構築する場合のポイントは次のとおりだ。

1. 実際の利用人数（同時接続数）を考えて、回線、サーバのスペックを選ぶ
2. RASサーバと認証サーバを1台で構成することも可能
3. クライアントには動的にIPアドレスが割り当てられるが、これを決められた範囲内のアドレスを割り当てることもできる。また、すでにLANにDHCPサーバがある場合は、それを利用することも可能
4. RASサーバとLANの間にファイアウォールを設置する場合は、この間のアドレスがクライアントに割り当てられるので、LANのアドレス空間と衝突しないように注意する

■専用ゲートウェイ

　特定のサービス（メールやグループウェアなど）だけを利用したい場合には、専用のゲートウェイを使ったシステムが便利である。

図5　専用ゲートウェイを使ったシステム構築

　このシステムを構築する場合のポイントは次のとおりだ。

1. SSLでの暗号化通信が使えない携帯端末もあるので注意が必要
2. 専用のゲートウェイは別セグメントに設置することで、攻撃された場合でも本体のサーバへの影響を少なくできる
3. ゲートウェイからメールサーバへのアクセスに使われるプロトコルと、社内LANのクライアントPCからアクセスする場合のプロトコルが違う場合は注意する（例えば、ゲートウェイからはIMAP4、PCからはAPOPなどでアクセスしている場合は、その両方をメールサーバでサポートしなければならない）
4. SSLを使う場合は、認証局から発行される証明書が必要

■IP-CUG

　IP-CUGサービスを利用し、LAN上にアクセスポイントを新たに設けるシステム構成の場合は、先にも説明したがアプリケーションサーバなどは別途必要となる。そのほかのポイントとしては、以下のとおりだ。

1. LAN側には回線速度に応じたルータまたはTAを用意する必要がある
2. TCP/IPの専用線なので、携帯電話だけでなく、PCなどからでもダイアルアップで使うことができる
3. 携帯電話から（例えばグループウェアを）使うのであれば、専用のアプリケーションサーバがLAN内に必要である

図6　IP-CUGを利用したシステム構成

■そのほかの注意点

1.ユーザー管理
　ここまで読んで、お気付きになった方もいるかもしれないが、外からのアクセスポイントが増えるに伴い、LANに入る認証やサーバアプリケーションの認証で、さまざまなユーザーリストが必要になってくる。例えば、RASサーバ上のアカウントやメールのアカウント、認証のサーバやグループウェアで使うユーザーリストなどである。

　実際に運用を始めてみると、これらを1つ1つ個別に管理していくのでは、社員数が多い場合は、システム担当者にかなりの負担がかかることになる。また、そのせいでアカウントを削除し忘れるなど、運用面だけでなくセキュリティ面においてもあまり好ましいシステムとはいえない。

　これらユーザーの一元管理の問題も念頭に置いて、システムの設計・構築を行うことが重要である。例えば、LDAPなどを利用してシステムを構築するのも方法の1つであろう。製品紹介で取り上げたものの中にもLDAPをサポートしているものがある。

2.ユーザー登録内容の通知方法
　これも運用面での注意であるが、アプリケーションによっては、新規のユーザーの登録を行った場合に、ユーザーIDやパスワードをメールで通知する機能がある。確かにこの機能は口頭や書面で登録内容を伝える手間が省くことができ、ユーザー数が多い場合には管理者にとってはありがたいだろう。しかしこの場合には、そのメールが安全に送られるかどうかを確認して欲しい。例えば、通知先が社外のメールアカウントや携帯電話に設定されており、パスワードを書いたメールも平文で送信される場合などである。インターネットでユーザーIDやパスワードを盗聴される危険性があるので、通知方法には注意を払いたい。

　携帯電話やPDAを使って出張先や自宅から社内のLANにアクセスしたいという要望が増える一方で、アクセスしたいがセキュリティ面で漠然とした不安があるという方も多いのではないだろうか。今回はこういった要望や疑問に応えるために、想定される危険性とその対応策、そして具体的な構築例をいくつか示した。

　実際にまだ携帯端末を使って何をするか、あるいは何ができるか？ というソリューションの部分も発展途上であるし、次世代携帯電話など端末自体も開発途上である。従って、今後、それらに対応するセキュリティも変わってくるであろう。しかし、認証や盗聴・なりすまし防止、あるいはOSやサーバアプリケーションを脆弱性のない状態に保つなど、セキュリティに対する基本的な考え方は、大きく変わらないはずだ。

　今回は、現状のモバイル環境で、どのように安全にシステムを構築するかということについて説明してきた。実際に社内のシステムに導入を検討されている場合は、参考にしていただきたい。

4/4

Index
携帯端末を使ったシステムのセキュリティ対策
	どんな用途で安全に使いたいのか？
	携帯端末利用時の危険性 LANへの経路 メールの転送 携帯端末に固有の問題点 クライアント認証
	どのようにして危険性に対応するか ワンタイムパスワード 専用ゲートウェイ IP閉域網（IP-CUG） SSL
	システム構築時のチェックポイント RAS+認証サーバ 専用ゲートウェイ IP-CUG そのほかの注意点 まとめ