携帯端末がこれだけ普及し,グループウエアなどが携帯電話に対応している現在,携帯電話を使って社外から社内LANのサーバーにアクセスしたいというニーズは増えているだろう。今回のコラムでは,そのようなシステムをセキュアに構築する方法を考えてみる。

RASとOTPでセキュリティを保つ

 まず,インターネットを経由しない場合を考える。この場合には,RAS(Remote Access Sever)とワンタイム・パスワード(OTP)の利用で,ほぼ問題がないレベルまでセキュリティを高められる。

 具体的には,RASサーバーを社内に設置しダイヤルアップする。サーバーにログインする際には,スマートカードなどのトークンで生成したOTPを送信し,社内の認証サーバーでユーザー認証する。通信路はセキュアであるし,OTPを使っているのでなりすまされる可能性は低い。RASサーバーの電話番号が知られれば,総当りによるパスワード破りが理論上可能だが,まず安全といってよい。

 しかし,通信費や回線の速度などの理由で,インターネットを経由してアクセスしたいという要望もあるだろう。その場合には,社内LANとインターネットの接続部分および通信路の一部分が不特定多数のユーザーにさらされることになる。そのため,セキュアなシステムを構築するためには,接続時の「ユーザー認証」と通信経路上での「暗号化」が必須(ひっす)となる。

 PCからアクセスする場合には,複数の認証方式や暗号化の方法が存在する。しかしながら,それらを携帯電話で利用できるようになるまでには,しばらく時間がかかると思われる。携帯電話には処理能力の制限があるからだ。携帯電話を利用するシステムでは,クライアントに負担がかからない方法で,認証や暗号化を行う必要がある。

OTPで認証

 インターネットを経由する場合でも,OTPの利用は有効である。例えば,携帯電話からグループウエアにアクセスする場合,そのグループウエアが動作しているWebサーバーがACE/Serverなどの認証サーバーと連携していれば,OTPを使用できる。これはPCが携帯電話に置き換わっただけの話なので,SecurIDなどのトークンを持ち歩かなければならないものの,既に認証サーバーを運用している組織ならば,そのまま利用できる。

VPNを利用する

 VPN(Virtual Private Network)を使う方法もある。ただし,PCのようにクライアントから社内LAN(サーバー)までVPNを張るのではない。上述のように携帯電話では無理である。キャリアと社内LAN(ルーター)間をVPNでつなぐのだ。

 インターネットを経由した場合の通信経路は次のようになる。 

[携帯端末]-[通信会社(キャリア)]-[インターネット]-[社内LAN(サーバー)]

 キャリアと社内LANをVPNでつなげば,インターネット上での盗聴を避けられる。例えば,NTTPCが提供する「NNCSサービス」などがある。ただし,VPNも万全ではないことに留意しておく必要がある *1

専用ゲートウエイが登場

 携帯電話から社内LANへアクセスするための専用ゲートウエイ製品が市場に出ている。それらを利用するのも手だ。例えば,以下のような製品がある。

(1)オレンジソフトの「xGate」

(2)ロータスの「ドミノ フォンコネクト」

(3)サイボウズの「サイボウズ ケータイ 4 for iモード」

 (1)は一般的なメール・サーバーのゲートウエイとして機能し,(2)と(3)はそれぞれグループウエア「ロータス ノーツ/ドミノ」と「サイボウズ Office 4」のゲートウエイとして機能する。

 専用ゲートウエイの一番のメリットは,直接LANのサーバーにアクセスさせないで通信が可能になることだ。万が一ゲートウエイが攻撃されても,LANが影響を受けることはない。また,認証サーバーと連携してOTPを利用できる製品や,キャリアとの間でSSLコネクションを張って,通信を暗号化できる製品もある。

 以上のように,携帯電話を使ったシステムをセキュアに構築する方法は複数存在する。導入環境に合わせて選択したい。ただし,セキュリティに万全はない。VPNのところでも触れたように,たとえ高価な製品やサービスを導入しても,破られる可能性はある。お金をかけても,ユーザーのセキュリティに対する意識が低かったり,管理が杜撰(ずさん)ならば,何の意味もない。これは携帯電話を使ったシステムに限らない。その点に留意して,「セキュアなシステム」を構築する必要がある。

*1 例えば,「Man In The Middle 攻撃」がある。ネゴシエーション時のカギ交換を読み取り,セッションをハイジャックする攻撃である。VPNで接続しようとする2ホスト間の経路上に,悪意のある攻撃者が管理するルーター(もしくはホスト)が存在した場合,正当なホストになりすまして通信を行われる恐れがある([参考文献])。


◇ ◇ ◇ ◇ ◇ ◇

【参考記事】「米QUALCOMM,次世代CDMAチップセットでSSLをサポート。CDMA端末からインターネットへの安全な無線アクセスが可能に」

 現状では,iモードをはじめとする携帯電話だけでのネット接続は,携帯電話がIP端末として機能しているわけではない。しかし,次世代携帯電話では,フルIP化も視野に入っている。さらに,Java対応やチップセットでのSSL対応など,携帯電話自体にセキュリティ機能を載せられるようになりつつある。そうなれば,携帯電話から社内ネットまで,エンド・ツー・エンドのVPNの可能性もある(IT Pro編集)。

斎藤松彦(SAITO Matsuhiko)
株式会社ラック 不正アクセス対策事業本部
m_saitoh@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。