 |
情報漏えいのリスクを抑えながら、26,000 台もの Windows Mobile® 端末がアクセスする先進のモバイル アクセス環境を構築。
|
マイクロソフト株式会社では、社内外どこにいても効率よく働ける環境を提供するために、携帯電話、Windows Mobile 端末、会社もしくは自宅の PC などさまざまな端末から、必要なときに社内システムにアクセスし、必要な情報に効率よくアクセスするためのインフラを提供しています。特に Microsoft® Windows Mobile 5.0 に、セキュリティ機能を強化する MSFP (Messaging and Security Feature Pack) が搭載されたことで、PC と携帯電話が一体となった“スマート フォン”の導入が進み、ウィルコム「W-ZERO3」シリーズや NTTドコモ「hTc Z」をはじめとする Windows Mobile 端末が全世界で 26,000 台、日本でも 500 台規模で運用されています。
<背景>
選択肢の広いマイクロソフトのモバイル アクセス環境
マイクロソフト株式会社 (以下、マイクロソフト) では、モバイル ユビキタス コンピューティングを目指し、ユーザーの使い勝手を考慮した選択肢の多いモバイル アクセス環境を構築。たとえば PC に関しても、一般に「リスクが高い」といわれるモバイル活用が積極的に行われています。
マイクロソフトでは、ハード ディスクを暗号化した会社所有 PC であれば 社外への持ち出しが認められています。また、社内ネットワークに検疫機能を持たせることで、個人所有 PC の社内持ち込みも認められています。このほか、ワイヤレス LAN の設置など一般の企業では情報漏えいリスクに対する懸念から導入に踏み切れない環境が社内標準インフラとして全社員に提供されています。
マイクロソフト株式会社
Microsoft IT
Regional IT Japan
ディレクター
荒瀬 達也
|
|
外部から社内システムへのアクセス方法は、RAS (Remote Access Service) を用いた VPN (Virtual Private Network) 接続のほか、RPC over HTTP や OWA (Outlook® Web Access)、OMA (Outlook Mobile Access)、ActiveSync® など多くの手段 (図 1 参照) を提供。社員が時と場合に応じて好きなやり方を選ぶ方式が取られ、一見するとセキュリティは社員の自主性に任されているように見えます。Microsoft IT、Regional IT Japan ディレクター 荒瀬達也は、マイクロソフト社内のモバイル アクセス環境を次のように説明します。
「実は VPN 接続というのは、いったん接続してしまうと何でもできてしまうため、セキュリティ上のリスクになりやすいのです。ですから、なるべく社員が VPN 接続を使用しないで済むように、Exchange Server の標準機能である RPC over HTTP や OWA、OMA、ActiveSync の使用を推奨しています。実際に社内で調査した結果、社外からアクセスする際のニーズの 70% がメールの送受信でした。であれば社員にしてもスマート カードによる認証が必要で、アクセス認証やら検疫やらに数分間かけて VPN 接続するくらいだったら、外出先の PC を使って Web ブラウザ上でメールを見たり (OWA)、Windows Mobile 端末を使ってボタン一発でメールを同期させたり (ActiveSync) する方が手軽で合理的なわけです」。
個人所有 PC の持ち込みやワイヤレス LAN の活用、多様なモバイル端末からの社内メッセージング環境へのアクセスは、「セキュリティ」の問題が常に付いて回ります。自由に持ち運べる利便性の裏に存在する不正アクセスや紛失、盗難などによる情報漏えいのリスクは、少なくありません。
そこでマイクロソフトでは、フレキシブルなモバイル環境の実施とセキュリティを同時に確保するため、次のようなモバイル活用のインフラを構築しています。
|
図 1 マイクロソフトのモバイル アクセス環境 [拡大図]
|
社内ワイヤレス LAN アクセス
通信プロトコルとして IEEE 802.1x が使用され、RADIUS (Remote Authentication Dial-in User Service) サーバーによりワイヤレス LAN に認証機能を付加しています。そのため、ユーザーがワイヤレス LAN にアクセスする際には、証明書を使って端末の認証とユーザーの認証を行い、認証にパスして初めてログオンできるしくみを採用しています。このしくみは、ワイヤレス LAN にアクセスする端末がノート PC でもワイヤレス LAN 機能付の Windows Mobile 端末でもまったく同じになります。
ログオンが完了すると端末には Active Directory® を介してポリシーの適用が行われます。さらに、ファイアウォールと検疫を行う Microsoft Internet Security and Acceleration Server (以下、ISA Server) により、ウイルス ソフトのパターン ファイルのバージョン、デバイスのハードウェア情報、サービス パックの有無などがチェックされ、ポリシーに適合しない場合には必要なデータを SMS (Systems Management Server) から自動的に配信、端末をアップデートするしくみになっています。端末がポリシーに適合することが確認されて初めて、社内ネットワークへのアクセスが許可されるのです。
社外からのアクセス
社外からのアクセスで一番利用されるのは、メール利用のための Exchange Server への接続です。このため Exchange Server との接続には RPC over HTTP や OWA、OMA、ActiveSync などさまざまな手段 (図 1) が用意され、社員が場所 (社内/外出先/家) と端末 (PC/Windows Mobile 端末/携帯電話) に合わせて適切なものを選べます。ユーザーからのアクセス要求は、DMZ 上に設置される ISA Server (ファイアウォール) と Exchange Server (フロントエンド) に届けられます (図 1)。ここでは RPC over HTTP や OWA などの各種プロトコルのハンドリングならびに複合化/暗号化の処理が行われ、社内の Exchange Server に送信されます。これらシステム構成の詳細については US 事例 (翻訳版) を参照してください。また、メール以外の社内ネットワークへの接続 (社内サーバーへのアクセスや会社の個人所有 PC へのリモート デスクトップ接続など) が必要なときには VPN アクセスを利用します。
・Exchange Server へのアクセス
Exchange Server へのアクセスに関しては、さまざまなプロトコルが用意されていますが、社員が意識するのは「どのデバイス (PC/Windows Mobile 端末/携帯電話) を使うか?」だけで十分です。家庭や公共の PC からはインターネット経由の OWA を利用し、携帯電話からは OMA を利用してメールの送受信やスケジュールや連絡先の確認が行えます。Outlook 2003 からは RPC over HTTP を利用して、PC の Outlook を HTTP 経由で直接 Exchange Server に接続できる環境も整備しています。また、Windows Mobile 5.0 搭載端末では、ActiveSync 機能によって、Exchange Server と同期をとり、メールの送受信、スケジュールや連絡先などをいつでも簡単に活用することができるようになっています。
セキュリティに関しても、たとえば OWA では、S/MIME (Secure/Multipurpose Internet Mail Extension) をサポートし、メッセージの暗号化によってセキュリティを強化しています。これにより、Web ブラウザでデジタル署名とメッセージの暗号化が行えるようになり、送信者が本人であることを受信者に証明できると共に、転送時の内容の改ざんを防止します。このメッセージが暗号化されていることで、不正に盗聴された際にもメッセージ内容を保護することが可能になっています。また、OWA では、ログオフ後にキャッシュを自動消去するため、共有施設を使って電子メールを参照した際に、ユーザー情報の漏えいなどを防ぐことも可能です。OMA でも、キャッシュ自動消去以外は OWA と同様の暗号化技術を利用しており、セキュアなメールの送受信を可能にしています。
|
OWA (Outlook Web Access)
|
|
OMA (Outlook Mobile Access)
|
・社内ネットワーク アクセス
社外から社内ネットワークへの VPN を利用したアクセスには、セキュリティ確保のために多層的な防御を行っています。Active Directory 認証に加え、スマート カードによる個人認証を利用して認証を二重化しており、VPN 回線を PC 単位で確立させます。そして、ISA Server を経由し、セキュリティ更新プログラムの適用や、アンチウイルスや最新のウイルス定義ファイルの適用などを検疫。そのうえで RADIUS サーバーでの認証を実施しています。
<導入の経緯>
モバイル活用を実現するインフラにより進む、スマート フォン導入
マイクロソフトでは既に Windows Mobile 5.0 搭載端末のスマート フォンである、ウィルコム「W-ZERO3」シリーズの最新機種や、NTTドコモ「hTc Z」などを 500 台規模で導入。今後、さらに台数を増やしていく計画をしています。
マイクロソフトでは、これら Windows Mobile 端末をどのように運用しているのでしょうか。荒瀬ディレクターは、まず、その使用状況を次のように説明します。
「やはり、最も多いのはメールの送受信です。さらにスケジュール管理、連絡先のチェックなどにも利用されており、Exchange Server のクライアントとしての利用がメインになります」。
さらに、Windows Mobile 5.0 にあらかじめ組み込まれている Word Mobile や Excel® Mobile によるデータ編集、PowerPoint® Mobile を使ってプレゼンテーション スライドの確認を行うなど、社外/社内を問わずさまざまなシーンで活用されています。もちろん、Windows Mobile 端末は携帯電話の機能も備えていますから、Outlook Mobile で連絡先を確認し、そのまま電話をかけるといった使われ方もしています。
モバイル端末導入時の検証と運用
|
マイクロソフト株式会社
Microsoft IT
Regional IT Japan
リージョナルサイト マネージャー
小平 伸
|
スマート フォン端末の検証を実際に行った Microsoft IT、Regional IT Japan リージョナルサイト マネージャーの小平伸は、導入までの作業について次のように語ります。
「マイクロソフトでは、アメリカの本社が中心となって、セキュリティのガイドラインを策定しています。PC 標準機同様、Windows Mobile 端末も標準化が進められているため、本社から届くガイドを基準として、機種ごとにテスト、管理していくことが基本となります」。
しかし、日本と海外における無線通信環境の相違点や、発売されている Windows Mobile 端末によっては、独自の仕様となっていたため、本来は本社が行うテストをすべて日本側で行ったり、日本のインフラを利用した検証や、本社との調整が必要になったと言います。
「『W-ZERO3』シリーズや『hTc Z』の実機を使って、機種ごとに 2 〜 3 週間かけてさまざまな検証を行いました。一番時間がかかったのは、セキュリティ ポリシーに関する本社との調整およびテストでした。Exchange Server ポリシーは世界で統一されており、日本独自の端末のために例外を作るようなことはありません。そのような環境ではたして国内の端末が期待どおりの動きをするのかなどの調整確認が重要です。その他の機能確認としては、IEEE 802.1x ワイヤレス LAN は証明書を使ってユーザーと端末を認証するしくみを導入しているため、その検証に多くの時間を費やしました」。
また、「W-ZERO3」シリーズが PHS 端末、「hTc Z」が FOMA 端末と料金体系も異なることから、実際の使い方を想定し、必要とされる通信費用の目安もそれぞれ検証をしたと言います。
そのうえで、マイクロソフトでは、Web による情報提供やマニュアルを作成。万一端末を紛失した際の社員がとるべき手続きなどを規定したと小平は説明します。
「マイクロソフトといえど、すべての社員が IT 機器に精通しているわけではありません。たとえば、Windows Mobile 端末ではディスプレイ画面で動作を選択する行為を『タップ』と呼びますが、これまで使っていなかったユーザーにはこの言葉がわからない可能性もあります。ですから基本的な用語や使い方、活用の TIPS (ノウハウやコツ)、紛失した際の手続きなども含めて、初心者にもわかりやすい情報提供を心がけました。また、常にユーザーからのフィードバックを受け付け、マニュアルの改良も行っています」。
|
Microsoft IT が作成した、モバイル端末購入時に配布されるセットアップ マニュアル
|
MSFP + Exchange Server 2003 SP2 が、よりセキュアな運用を実現
モバイル端末の中でもスマート フォンは、その軽量さから置き忘れや紛失、盗難のおそれが多く、さらに携帯端末に比べ情報量が多く蓄積されることから情報漏えいのリスクが高くなります。そこで、モバイル端末を活用するためには、「紛失時にはこうする」というマニュアルの整備など、人的な教育が大前提として欠かすことができません。さらに、ユーザーに本当に安心して活用してもらうためには、システムやハードによるセキュリティ対策の充実が必要不可欠です。
今回、マイクロソフトがスマート フォンを大量導入した要因の 1 つには、Windows Mobile 5. 0 の追加機能である MSFP (Messaging and Security Feature Pack) が登場し、Exchange Server 2003 (SP2 以上) や、今後発売される Exchange Server 2007 と連携することにより、「パスワード ポリシーの設定」や「ローカル ワイプ/リモート ワイプ」機能が利用できるようになった点にあります。
・「パスワード ポリシー」と「ローカル ワイプ/リモート ワイプ」
「パスワード ポリシー」は端末にログインする際のパスワードの長さ、試行回数などのポリシーをサーバー側から端末に設定する機能、「ローカル ワイプ」は設定回数以上のパスワード入力失敗で端末内のデータを削除する機能、「リモート ワイプ」はサーバー側から端末のデータを強制的に削除する機能になります。これら 3 つの機能により、スマート フォンには多重の安全策が施されます。
マイクロソフトでは Microsoft IT が選定した標準機器 (PC、周辺機器、Windows Mobile 端末、携帯電話) の中から社員が予算の範囲内で好きな端末を選んで発注できる方式を採っています。
たとえば、社員に新しい Windows Mobile 端末が届くと、社員は設定マニュアルを見ながら自分で簡単な設定をしていき、自動的に Exchange Server と接続され、パスワード ポリシーが適用されます。したがって自動的に全社員が同一のポリシーのかかったセキュアな環境で自由に端末を使えるようになります。
また、社員が個人情報の入ったモバイル端末を紛失した場合、気付いた時点で直ちに管理者に連絡をとることで、リモート ワイプ機能によってサーバー経由で端末データを削除してもらうことが可能です。
もちろん、リモート ワイプ実行前に端末が第三者の手に渡ったとしても、パスワードがわからなければ端末は利用できません。パスワードをクラックしようとしても、パスワード入力を一定回数失敗すると、ローカル ワイプ機能によって端末のデータは強制的に削除されてしまいます (図 2 参照)。
|
図 2 リモート ワイプとローカル ワイプ [拡大図]
|
このように、MSFP 対応の Windows Mobile 5.0 端末と Exchange Server を組み合わせることで、モバイル端末特有の紛失や盗難のリスクを減らすことが可能になるのです。
さらに、この MSFP は、セキュリティ機能に追加して「プッシュ型電子メール配信」を実現し、利便性も高めています。これは、Exchange Server 側から端末に新着メールを配信する機能です。端末からメールを取りに行くのではなく、サーバーから端末に配信できるので、重要なメールのチェック漏れを防ぐことが可能になります。
また、今後 ISA Server 2006 を導入し、https プロトコルを使った業務用 Web アプリケーションの導入が行われると、Windows Mobile 端末を使って経費精算システムの利用や、売り上げレポートの閲覧なども可能になります。
その他に、Live Communications Server 2005 を利用した、Office Communicator Mobile も Windows Mobile 5.0 端末で利用可能な環境を構築しています。社員は Windows Mobile 端末を利用して、外出先からでも他メンバのコンタクト情報やプレセンス確認、インスタント メッセージ送信などが行え、場所を選ばずにコミュニケーション、コラボレーションを実現できます。
<今後の展開>
継続的なセキュリティ教育と今後のモバイル活用
こうした、個々の機器や機能のセキュリティの強化に加え、マイクロソフトでは毎年 1 回、オンラインのセキュリティ トレーニングを受講することが全社員に義務付けられています。
2006 年には、6 月から約 3 か月間にかけて、東京地区の全社員約 3,000 人 (契約社員も含む) を対象にセキュリティ教育プログラムが実施されました。
実施されたのは「セキュリティ」と「プライバシー」の 2 つのプログラム。「セキュリティ」プログラムは米国のコンテンツを日本語化した全世界共通のもので、「プライバシー」プログラムは個人情報保護法に対応して日本向けにアレンジした内容です。社員に対するこうした地道で継続的なセキュリティ教育があるからこそ、今回のような全社的なモバイル端末の導入もスムーズに進んでいます。
同社のモバイル活用の今後について荒瀬ディレクターは、次のように語りました。
「企業での Windows Mobile 5.0 端末の活用はまだ始まったばかりです。その意味でも、マイクロソフト自身が日常の業務の中で Windows Mobile 5.0 端末を積極的に活用し、お客様にその活用や可能性を提案できるようにならなければいけない、と考えています」。
|
| |
本ケーススタディに記載された情報は初掲載時のものであり、閲覧される時点では変更されている可能性があることをご了承ください。
本ケーススタディは情報提供のみを目的としています。Microsoftは、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。
|
|
 |
|
|
|
からできます。
