端末のセキュリティー

 外出先で利用するために導入するスマートデバイスは、物理的に社内に端末を閉じ込めておくことができません。端末の所在やハードウェア・ソフトウェア構成を把握・管理することが難しくなりますので、下記のようなリスクを考慮する必要があるでしょう。

端末の盗難・紛失に備える

 外出中に携行する端末は、うっかり紛失したり、悪意をもった第三者に盗まれたりする可能性があります。その時に、データを漏洩させないためには、「とにかく端末にデータを残さない」ことが大原則です。

 ネットワークにアクセス出来ない地下や過疎地などで、オフラインでのデータ参照を行うには、端末にデータを残す必要がありますが、このように端末に保持するデータは、暗号化して保持し、解読用パスフレーズの入力が参照の都度求められるようにした方が安全です。(ここでも、利便性とセキュリティは相反します)

 FileBlogでのファイルサーバのブラウズおよびプレビュー閲覧では、原則として端末にデータを残しません。
明示的に「ダウンロード」を実行したファイルのみが端末に保存されるデータとなりえます。iOSの場合はデータをダウンロードして開く際に、他の(データ管理用)アプリにデータを転送することが可能です。

端末の構成・能力を制限できるか?

 例えばOS標準機能としての画面ハードコピーを利用できれば、閲覧画面のイメージを画像を介して取得することができるため、この機能を無効化できなければ、データ漏えいについて絶対安心とはいえません。

 また、悪意を持って改造したプログラムを使ってサーバに接続するハッカーが居た場合、そこからのアクセスを通常のツールを使ってのアクセスと区別することはなかなか出来ません。

 これらの問題への対策としてよくあるのが、各端末に自社社内環境にアクセスするための専用ビジネスブラウザをインストールし、この専用のブラウザ以外からのアクセスを拒絶する、という方法です。

 FileBlogは一般的なWebKitのブラウザのほとんどで問題なく動作しますので、iPad / iPhone / Android向けの各社の「セキュアブラウザ」製品からもアクセスできるはずです。

ドメイン認証の利用

ユーザ管理の難しさ

 ユーザ数が数十人を超える環境では、ユーザID管理の手間も相当なものになります。

  • 新人が入社したら、ユーザIDを作成して配布しなければなりません。
  • 人事異動が発生したら、所属グループを保守しなければなりません。
  • プロジェクトが立ち上がったり、プロジェクトメンバに変更があったりする都度プロジェクトに対応づけられるグループを作成・保守しなければなりません。

 全社で一元化されたユーザ管理の仕組みがなければ、サーバ毎やアプリケーションシステム毎にユーザ管理を行わなければなりません。

 そういう環境(ワークグループ環境)においては、各アプリケーションサーバごとにユーザを作成し、各PCにそのPCを使うユーザを作成しますので、3台のアプリケーションサーバを全部利用するユーザがいたら、そのユーザのアカウントは、3台のサーバそれぞれに登録しなければなりません。

 これではユーザ数とサーバ台数の掛け算で、作業量が増えていきます。

Active Directoryは、ユーザ管理・グループ管理のデファクト標準

 ユーザ管理の手間を抑えるために、一定以上の規模のWindowsネットワークでは、ユーザ・グループの管理を一元化するために「Windows Active Directory」が導入されているのが一般的です。

 100人以上の企業規模では殆どの場合Active Directory環境が構築されているのが実情です。

  • ドメインコントローラ(サーバ)が、全ユーザ・全グループの情報を一元的に管理します。
  • ドメインに参加した各サーバは、ドメインコントローラと連携してユーザ認証を行います。

iOS端末やAndroid端末は、ドメインに直接参加できません

 かつて社内LANの端末は100%がWindows PCであったため、Active Directoryドメインに参加することができていました。しかし、最近利用機会が増えているスマートデバイスでは、Windows OSのシェアが低く、iOSとAndroidが圧倒的な割合を占めています。

 iOSはApple, AndroidはGoogleが開発したOSですが、いずれの会社もWindowsを開発しているマイクロソフトとは極めて敵対的な関係にあります。それが理由なのかはわかりませんが、iOSデバイスもAndroidデバイスも、OSの標準機能としてActive Directoryに基づいたユーザ認証を行うことができません。

FileBlogはWeb上で Active Directoryに連動した認証を行います

  • WebアプリであるFileBlogは、ユーザにログインを求めます。このとき、FileBlogサーバはWindows サーバ上で稼働しており、Active Directory(AD)に基づいたユーザ認証を行います。
  • ファイルにアクセスする際には、ログインしたユーザのユーザIDおよび、所属グループのIDを、ファイル/フォルダのアクセスセキュリティ定義に照らし合わせて、操作の可能性を評価します。

ご質問・ご相談はお気軽にお問い合わせください