ペーパーレスとセキュリティ(2)：クライアント証明書とBYOD

前回は、ペーパーレス化による在宅勤務においては、セキュリティの観点からは、真正なサーバ・クライアントの識別が大切であることをご説明しました。

ここでは、クライアントの識別と派生する課題・対応方法についてご説明したいと思います。

まず、クライアント証明書はどのような仕組みなのでしょうか？
各端末にはクライアント証明書を保存します。クライアントからクライアント証明書が送付され、サーバ側は公開鍵でクライアント証明書を検証し、真実のクライアントであることを確認します。

＜クライアント証明書の運用イメージ＞

この様な方式だと、通信が漏洩するだけでは、直ちに不正アクセスには繋がりません（「公開」鍵は、通信で漏れても問題ありません）。
もちろん、各端末・各クライアントのクライアント証明書等の管理が重要であることは、言うまでもありません（これらが窃取されると悪用される可能性があるので、これらの配布等の運用方法を検討する必要があります）。

ここで問題となるのは、スマートフォンからのアクセスになります。
PCであれば、会社貸与のPCに限定して、PCにクライアント証明書をインストールした上で従業員に貸与することが実施しやすいと言えます。
スマートフォンについても、会社貸与のスマートフォンに限定して、クライアント証明書をインストールした上で貸与する運用が考えられます。

一方で、スマートフォンについては、会社貸与を行うと、個人用の端末と2台持ちになり、各従業員の利便性が落ちてしまいますし、会社貸与を行わないと個人用の端末で業務を行ってしまう、いわゆるシャドーITの問題が発生します。各端末を会社が把握できず、セキュリティ面が脆弱になり、情報が漏洩するリスクが高まります。
具体的には、個人用の端末で自由にファイルをダウンロードした結果、マルウェアもダウンロードしてしまい、例えばマルウェアが中間者となり通信を仲介され、暗号化を行っても複合され、通信が全て漏洩することになります。また、アプリの脆弱性を突いてその制限を取り除き、開発者が意図しない方法でアプリを動作できるようにする（ジェルブレイク）といったことも起こり得ます。

これに対応する考え方が、BYOD（Bring Your Own Device）といった考え方になります。
BYODとは個人用のPCやスマートフォンを仕事に使用することですが、BYODの場合は会社に利用を承認されたスマートフォンを業務上使用します。これに対して、シャドーITは会社が未承認の機器の利用を指します。もちろん、会社は個人端末の利用を認めるにあたりその安全面を把握し管理しています。だからこそ、利用が承認されているのです。
BYODを導入するにあたって、個人用の領域と業務領域を使い分けができるソフトウェアを活用する場合もあります。つまり、個人用のスマートフォンにソフトウェアをインストールして、個人用の領域と業務領域を使い分けて、活用するのです。1台2役と言えます。

ペーパーレス化の実現のためには、こうしたセキュリティ上の検討を欠かすことができません。

ペーパーレス化の検討の際には、セキュリティの検討が十分に行われているか、今一度振り返ってみていただければ幸いです。