クラウド型メールの普及で問われるマルチデバイスのセキュリティ対策

クラウドを利用するメリットとして「価格」の安さを思い浮かべる人は多いかもしれません。しかし、最新の米国の調査会社のレポート(※1)によれば、「価格」をメリットと感じる順位は7位となっています。その代わりに、クラウドを利用する目的のトップ3が、能率の向上とセキュリティ、そしてデータ保管となっています。こうした変化の背景には、すでにクラウドは特別なものではなく、いかに効果的に使うかどうかが、問われる段階になっている、というCIOや情報システム部門の考えがあるのでしょう。日本でも、オンプレミスのメールサーバーから、GmailやOffice 365のExchange Onlineなどのクラウド型メールへと移行する企業が増えています。しかし、利便性や機動性の増すクラウド型メールでは、マルチデバイスのセキュリティ対策が重要な課題となっています。

(※1)調査レポート https://clutch.co/cloud#survey

●クラウド型メールの安全性に対する取り組み

GmailやHotmailなどを利用した経験がある人ならば、クラウド型メールの利便性と危険性は容易に理解しているのではないでしょうか。社内のオンプレミスな環境で運用しているメールサーバーとメールクライアントの関係とは違い、クラウド型メールは社内外を問わずに自由にアクセスできる利便性を提供しています。また、クライアントとなる端末には、PCだけではなくスマートフォンやタブレットも利用できるので、移動中でも手早くメールを読んで返信できます。この利便性は、コミュニケーションの速度をアップするだけではなく、業務の効率化や顧客対応の迅速化など、多くのメリットをもたらします。その一方で、いつでもどこからでもログインできるクラウド型メールには、不正アクセスの危険がつきまといます。メールアドレスとパスワードさえわかっていれば、誰でも容易にログインできるので、常に悪意のあるハッカーの標的になっています。そこで、クラウド型メールの利便性を損なわずに、セキュリティ対策を強化する方法として、いくつかのソリューションやサービスが注目されています。その取り組みは、求められる安全性や予算や用途によって、何段階かのレベルに分かれています。

●手軽で低コストだけど利用者のスキルに頼る二段階認証

もっとも手っ取り早くて、予算もかからないセキュリティ対策の強化が、専用のドングルによるワンタイムパスワードやスマートフォンなどを活用した二段階認証です。この方法は、以前からオンラインバンキングのワンタイムパスワードとして活用されてきたセキュリティ対策です。送金時に専用ドングルに発行されるワンタイムパスワードを入力する方法と同じように、メールへのログインや設定を変更しようとするときに、あらかじめ登録しておいたスマートフォンのアプリや別のメールアドレスなどに、認証用の数字を発行します。例えば、個人で利用しているGmailであれば、二段階認証を登録すると、スマートフォンのメールアドレスに、認証用の番号が送信されるようになります。その結果、メールアドレスとパスワードがハッキングされても、二段階目の認証に必要な数字までは、ハッカーにはわからないので、不正なログインを抑止できます。また、自分が利用していないときに、認証のためのメールが届いたりすれば、誰かが不正にログインしようと試みていることがわかります。

 

illust01_0722.jpg

(二段階認証の仕組み)

二段階認証による不正ログインの抑止は、Gmailのように標準のサービスとして提供している例もあれば、サードパーティのサービスと組み合わせて構築する場合もあります。最近では、認証用のサーバーもクラウドサービスとして提供されているので、スマートフォンのアプリと組み合わせることで、安価に導入できるようになっています。ただし、二段階認証によるログインは、認証用の仕組みを不正に利用されてしまうと、容易に破られてしまうので、社員ひとりひとりのセキュリティに対する意識やリテラシーの向上といった教育も必要になります。

●外部からのアクセスを抑止するモバイルデバイス認証

モバイルデバイスには、紛失や盗難のリスクが伴います。そのため、二段階認証だけでは不安だという場合には、モバイルデバイス管理を組み合わせた認証システムがあります。例えば、大手キャリアが提供しているモバイルデバイス認証サービスでは、端末ごとのMacアドレスや製造番号などを管理して、あらかじめ登録されているスマートフォンやタブレットのみのログインを許可します。さらに、紛失や盗難に遭った場合は、リモートでデータを消去して漏えいを防ぎます。モバイルデバイス認証は、各社から多様なサービスや認証機器が提供されているので、実際の導入では予算や利用数や求める安全性などを考えて、運用規模に適した認証システムの構築が必要になるでしょう。

●すべてをコントロールできる仮想化環境との組み合わせ

モバイルデバイス認証と二段階認証を組み合わせることで、クラウド型メールの社外からの利用は、通常よりも数段レベルの高い安全性を確保できるようになります。それでも、セキュリティ対策という観点からは、いくつかの不安が残ります。例えば、各自が所持している端末で業務のメールを読み書きできるのは、便利である一方で、メールでやりとりされる情報は、すべて持ち出せてしまう、という危険性があります。性善説で考えるならば、各自がモバイルデバイスにダウンロードしたデータを適切に管理すればいいのですが、もしも何らかの不正な利用が起きた場合には、情報システム部門としての責任が問われてしまうかもしれません。そこで、クラウド型メールのセキュリティ対策の有効策として、仮想化環境を組み合わせたシステムの構築があげられます。この方法を積極的に取り入れているのは、金融機関や大手商社に製造業などです。その基本的な仕組みは、社外からのインターネットによるログインを仮想化環境だけに制限するアクセスルートの確立です。GmailやOffice 365などのクラウドサービスの利用は、インターネットに公開しないで、社内のネットワークと仮想的な専用線で接続します。そして、社外からは仮想化環境のみでログインして、社内の仮想化サーバーや仮想デスクトップを介して、クラウド型メールを利用するのです。この方法を導入すると、モバイルデバイスと社内の仮想化サーバー間では、操作に必要な画面データのみがインターネット回線を流れるので、データをハッキングされる心配が限りなくゼロになります。また、仮想化サーバーによって、ログインできるユーザーだけではなく、端末なども厳密に管理できるので、不正なモバイルデバイスからのアクセスを抑止できます。さらに、クラウド型メールへのログインを外部に晒すことがないので、安全なメールの運用も実現します。
ただし、この仕組みは仮想化環境の構築が必須となるので、セキュリティ対策も含めて高度なスキルのあるシステムインテグレータのサポートが必要になるでしょう。

 

illust02_0722.jpg

(仮想化環境を利用したクラウドメールの利用例)

** コラム執筆 **
ユント株式会社
田中 亘