「創造的な仕事(クリエイティブワーク)」を進めるために、PCの機動性を高め、「いつでも、どこでも、誰とでも」協働できるようにする。そのためには、サーバー側で、アクセスしてくるPCが正しいものかどうかをチェックしなければならない。その具体策をシグマクシスの戸田輝信パートナーは説く。本講義に質問や意見がある方は、最後のコメント欄に記入頂きたい。連載終了後、代表的な質問について戸田氏から回答してもらう予定である。(EnterprisePlatform編集部)
本講義の第1講では、クリエイティブワークのために新しい情報インフラが必要であると述べた。続く第2講で、PCの持ち出し持ち込みを実現するための考え方として「遊牧型アプローチ」を提案した。そして具体策として、第3講で、PCのセキュリティを担保する方法を述べた。今回は、サーバー(データセンター)側の方策について提示する。
PC統一がサーバー認証を容易にする
サーバー側では、インターネットをはじめとするパブリックネットワークからのアクセスを受け入れる必要がある。よって単なる認証行為のみならず、アクセスしてくる端末の正当性を確認・認証してから接続させる仕様にするなど、高度なセキュリティチェックが必要になる。第3講で、社内のPCを統一し、同じOSと同じアプリケーションを使うことによりTCO(所有総コスト)が下がると話した。ここには、各PCが統一のOSとアプリケーション構成になっていれば、PCの内部構成の正当性を評価し、接続させるかどうかを最小のテンプレートと運用で判断できるということも含まれている。シグマクシスでは、PCをサーバーにつなごうとする時、通常のファイヤウオール(F/W)に加え、さらに3重のロジカルF/Wがチェックする。つまり、サーバー側のメカニズムが、アクセスしてくるPCの「正当性と論理的構成の正しさ」を検証できるようになる(図7)。以下、このメカニズムについて説明する。
1.ユーザー認証
まず、VPN(仮想専用線)装置がユーザー認証を行う。ID、パスワード(ネットワーク接続専用)によってユーザーの正当性を認証する。ここでさらに安全性を確保したいのであれば、ワンタイムパスワードなどを導入する手もあるだろう。
VPN接続には、もう一つ重要な役割がある。IPv6の世界では当たり前のことであるが、通信パケットをエンドツーエンドで常に暗号化するのである。第2講で述べたとおり、有線でも無線でも「通信は盗聴されるもの」という前提の下、暗号化しておく。通信が盗聴されてもその内容を読めないようにしておくほうが、通信の盗聴をゼロにすることを実現するより現実解に近いと考えている。
