BIG-IP APM パブリッククラウドにより、クラウドにアクセスする端末まで含めたセキュアな環境が可能になり、オフショア開発が容易に
開発環境の準備期間が短縮され、開発パートナーの負担も軽減
社員によるOffice 365アクセスのセキュリティ向上に貢献
オフショア開発を容易にするクラウド型開発環境の整備
クラウドにアクセスする端末まで含めたセキュリティの確保
クライアント証明書等の管理負担の回避
株式会社フジタでは、スマートデバイスの活用に乗り出している。VPN接続を経由して業務ネットワークに接続し、社外にいても他のメンバーとの迅速な情報共有が可能になり、これまでの携帯電話での接続に比べて利便性が向上し、外出の多い営業担当者の業務効率が向上することが期待されている。安全なVPN接続を実現するために採用されているのは、JCCH・セキュリティ・ソリューション・システムズの認証局製品「プライベートCA Gléas」と、F5ネットワークスのSSL-VPN製品「BIG-IP Edge Gateway」だ。
スマートデバイスの導入に当たっても、PCからの接続と同様に厳格なセキュリティを確保しなければならない
社外での情報共有促進のためスマートデバイス活用に乗り出す
フジタでは昨今、業務プロセス改革に注力しており、業務効率の向上・改善に向けた様々な取り組みを行なっている。そのひとつとして挙げられるのが、スマートデバイスを活用した社外での情報共有だ。
「これまでもVPNを業務に取り入れてきましたが、それらはPCで接続する前提の仕組みでした。ここ数年で一気に普及したスマートフォンやタブレットを使って、社外での情報共有をより手軽にできるのではないかという考えのもと、具体的な活用方法を検討し始めました」株式会社フジタ 管理本部 情報システム部の山口 正志氏はそう言い、社内のVPNの仕組みについて紹介してくれた。建設業を営むフジタは全国に約400もの建設現場を持ち、それぞれに建設期間中のみ使われる事務所を展開している。ほとんどの拠点は、ADSL等の回線を利用したインターネットVPNで接続しているが、短期的な事務所や海外事業所は、回線敷設にかかる期間やコストが大きなハードルとなるため、各PCからSSL-VPN経由で業務ネットワークに接続していた。
「スマートデバイスの導入に当たっても、PCからの接続と同様に厳格なセキュリティを確保しなければならないと考え、仕組みや製品について検討を重ねました」山口氏はそう語る。実現のためには、業務のために支給された端末に限定できること、万一デバイスを紛失した際に、操作ロックやデータ消去などの遠隔操作を行なえる環境などが必要とされた。これらの要件を満たす新たなVPNの仕組みづくりが始まった。
豊富な連携実績を元にGléasとBIG-IP Edge Gatewayを採用
従来のVPN環境では、F5ネットワークスのSSL-VPN製品を利用していた。これまでの利用実績などから、新たな仕組みにおいても同社のBIG-IP EdgeGatewayの採用を前提に検討が進められたと、株式会社フジタ管理本部 情報システム部の野中 光彦氏は語る。
「BIG-IP Edge Gatewayは、幅広い認証製品との連携実績があるのが魅力でした。スマートデバイスを安全に利用するために必要な認証製品の選択に当たっても、多くの選択肢の中から選べるのではないかと期待したのです。そうした期待に加え、iPhoneやiPadといったスマートデバイスとの連携も保証されているので安心して使えます」
懸案となったのは、BIG-IP Edge Gatewayと組み合わせるスマートデバイスの認証の仕組みだった。ユーザ認証だけでは、支給された端末からの接続に限定することはできない。MACアドレスを登録することで接続可能な端末を限定する案も検討されたが、デバイス数が多い場合には現実的な手段とは言えない。そこで目をつけたのが、クライアント証明書を使ったセキュリティだったと株式会社フジタ 管理本部 情報システム部の上田 三恵氏は言う。
「電子証明書を持つ端末だけに限定すれば、他の端末からの接続を排除できます。そのために必要な認証局は、BIG-IP Edge Gatewayとの連携実績が多いこと、iPhoneなどへの証明書配布が容易なことを基準に選定しました」
そうして選ばれたのは、JCCH・セキュリティ・ソリューション・システムズのプライベートCA Gléasだった。TCO抑制などの観点からアプライアンスとしての導入ではなく、IIJ社のクラウドサービスであるGIOとパッケージで提供される「Gléas on GIO」が採用されている。
iPhoneやiPadといったスマートデバイスとの連携も保証されているので安心して使えます
PC、iPhoneの双方から安全にアクセス可能な環境を実現
GléasとBIG-IP Edge Gatewayを使った新たなVPN環境は、営業担当者など外出の多い従業員から展開を始めている。利用可能な端末は、クライアント証明書の取り扱いが容易なiPhoneに一本化。他機種への展開は順次行なわれることとなった。iPhoneから業務ネットワークの接続時には、電子証明書の有無がBIG-IP Edge Gatewayによりチェックされる。有効な電子証明書を持つ端末のみ、業務ネットワークに接続可能な仕組みだ。これらにスマートデバイス管理のためのMDM製品を組み合わせることで、接続時のセキュリティと紛失時の情報漏洩対策の両面の守りを固めている。
認証に必要なクライアント証明書およびF5ネットワークスのリモートアクセスクライアントであるBIG-IP Edge Clientの接続設定は、Gléasの構成プロファイル機能で手軽にiPhoneに配布することができるため、デバイス配布時の作業負荷も少ない。実際に管理や設定を担当する上田氏はGléasの扱いやすさについて次のように感想を語った。「証明書の配布、その後の運用などでGléasの管理画面を実際に操作してみて、とても使いやすいUIだと感じています。実際、導入時に2時間程度のレクチャーを受けただけで、基本操作を理解できました」
従来の環境ではアプリケーショントンネル機能を使って業務アプリケーションにアクセスしていたが、新環境ではSSLでネットワークをトンネリングさせる方式へと改められた。従業員もVPN接続に慣れているため、操作の簡易性よりも自由度を優先した結果だ。ネットワークトンネリング接続であれば、TCPアプリケーションを幅広く活用できる。またPCからの接続の際には、エンドポイントセキュリティ機能を活用して端末のセキュリティ状況をチェックするとともに支給されたPCであることを確認している。
認証局はクラウド上に設置されているため、機器の購入コストやハードウェアのメンテナンス作業は不要だ。証明書の配布や設定作業においても、クラウド上に設置されていることによるデメリットは感じられないと、山口氏は言う。「クラウドサービスが提供されていたことも、Gléas採用の理由のひとつでしたが、期待通りの効果を感じています。今後も、コストが見合うものはクラウド化を進め、アウトソース化していきたいと思っています」
安全な接続環境が整ったことで、業務効率向上だけではなく、BCPやワークスタイル変革にもスマートデバイス活用を広げて行きたいと今後の展望について語る担当者たちの心は、すでに次の一手に向けて動き始めているようだった。