企業 Webアプリケーションへ のセキュアな iPhone

F5 テクニカルブリーフ
企業 Web アプリケーションへ
のセキュアな iPhone アクセス
企業におけるモバイルデバイスの活用においては、企業所
有のデバイスではなく従業員が個人所有するデバイスが使
用されるようになってきています。エンドポイントを直接
管理できないため、一般的に、IT 部門は個人所有のモバ
イルデバイスの使用を禁止するか、ファイアウォール内のア
クセスを危険にさらすリスクを負った上でその使用を許可
することになります。しかし、モバイルデバイスの管理は、
企業ネットワーク内で使用されるモバイルデバイス数が増
えるにつれて IT の主要な業務になりつつあります。
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
目次
はじめに
3
ビジネスへの展開
4
iPhone と BIG-IP
5
F5 BIG-IP Edge アプリケーション
5
まとめ
10
リファレンス
11
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
はじめに
モバイルデバイスは、莫大な数のアプリケーション、強力な処理機能、高帯域幅
接続への対応によって、コンピュータとしての独自の地位を確立しました。個人使
用目的でもビジネス用でも、多くの人にとって主要な通信デバイスとなっています。
多くの IT 担当役員が、従業員が個人所有するスマートフォンやモバイルデバイス
から社内のビジネス・アプリケーションを利用できるように計画しています。その
対象は電子メールに限らず、CRM アプリケーション、ERP システム、そして社内
の専用アプリケーションにも及びます。個人所有のモバイルデバイスが広く普及し
ているため、多くの組織が、自社所有のデバイスの使用の強制から、従業員が個
人的に所有しているデバイスを業務使用に許可するように移行しつつあります。一
部の企業ではこれをコスト削減の手段と捉えていますが、このような個人所有の
デバイスを正当なエンドポイントとして識別するには依然として課題が存在します。
とりわけ、セキュリティおよびコンプライアンスへの対応は複雑です。スマートフォン
に加えて、Apple iPad のようなタブレットデバイスおよびその他の新しい形態の
コンピューティング・デバイスによる企業リソースへのアクセスには、厳しい要件
が存在します。
2007 年の iPhone の登場により、社会におけるモバイルデバイスの位置付けと使
用形態は一変しました。iPhone は技術に詳しい人々、著名人、小売り業者だけの
ものではなく、iPhone を愛好するだれもが、個人用および仕事用に使うことがで
きるものです。最初の iPhone には、ビジネス対応のデバイスとしては重要な機能
が幾つか不足していました。しかし、新世代機が爆発的に普及し、iOS が成熟して
いくにつれ、iPhone は明らかにビジネス用デバイスと進化を遂げました。iOS 4
は Microsoft Exchange ActiveSync アカウントおよび Exchange Server に対応
しており、複数の電子メールアカウントを iPhone でのセキュアなアクセス用に設
定できます。Documents To Go のようなビジネス・アプリケーションのおかげで、
iPhone ユーザは Microsoft Word や Excel のドキュメントを表示できるだけでな
く、作成したり編集することができます。Salesforce、SAP、および Oracle など
モバイル従業員の増加
IDC によると、全 世 界 の モバイルワー
カ ー は 2008 年 に 全 世 界 の 従 業 員 の
29% を占める 9.194 億人から増え続け
ており、2013 年には 34.9% に相当す
る 11.9 億人となることが予測されてい
ます。1
の企業各社が、汎用のビジネス・アプリケーション、ビジネス・インテリジェンス
および HR アプリケーションをリリースしています。
1
http://www.idc.com/research/viewdocsynopsis.jsp?containerId=221309&sectionId=null&elementId=null&pageType=SYNOPSIS
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
ビジネスへの展開
IT インフラストラクチャおよびヘルプデスクスタッフは、企業環境で管理下にある
Apple iPad および iPhone と未管理の Apple iPad および iPhone のサポートに
追われています。エンドポイントを直接管理できないので、IT 部門は、ファイア
ウォール内のアクセスのセキュリティを低下させることを防ぐために、これらのサ
ポート要求を却下することになります。モバイルデバイスは個人所有であっても企
業所有であっても、IT 部門に常に課題をもたらします。モバイルデバイスのプロビ
ジョニングや、モバイルデバイスを許可する(有効にする)アプリケーションおよび
サービスの決定は、厄介な問題です。モバイルデバイスの処理能力は強力ですが、
従来のラップトップやデスクトップ PC とは機能が大きく異なります。また、メー
カー、モデルおよび OS の違いにより、モバイルデバイスの種類間でも大きく機能
が異なっています。一部のセキュリティとコンプライアンスの問題については、多
くの IT 組織が解決済みで、現在では個人のホームコンピュータにビジネスリソース
へのアクセスを許可するようになっています。そこで、個人所有のモバイルデバイ
スへのアクセス許可が、次に解決すべき問題として浮上してきました。
SSL VPN のような機能により、組織では、簡単にホストを調査したり、セキュリティ
に対する姿勢を知ることができ、それらのチェックの結果を基に特定レベルのア
クセスを許可します。モバイル・プラットフォームでは、パッチが最新であるか、マ
ルウェアが存在しないか、未承認のプログラムが存在しないか、そして、企業のア
クセスポリシーを遵守しているかを判定することは困難です。モバイルデバイスに
適用されるセキュリティポリシーは従来のデバイスに適用されるセキュリティポリ
シーとは異なります。個人所有のデバイスのセキュリティが侵害され、機密情報が
含まれていたとして、企業がそのデバイスを無効にできるでしょうか。
VPN アクセスが許可されている場合、IT 部門は認証と承認のメカニズムをそれぞ
れ適切に設定する必要があります。ユーザがさまざまなモバイルネットワークを移
り歩くのに伴い、利用状況の追跡、ライセンスの遵守、セッション・パーシステン
スの問題も存在します。多くの企業ではアクセス制御にポータル、プロキシ、IDS/
IPS も使用しています。特に政府や軍などの組織が導入した場合、GPS データも
組織にリスクをもたらします。さらに、ネットワーク・トラフィックの増加も監視
が必要です。企業ネットワーク上で使用される従業員所有のモバイルデバイス数が
増えるにつれて、モバイルデバイス管理が IT 部門の主要業務となりつつあります。
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
iPhone と BIG-IP
ビジネスユーザは、企業環境での Apple iOS デバイスの活用に、より大きな関心
を寄せるようになっています。それに伴い、IT 組織は、セキュリティを損なわずにエン
ドポイント制御を維持したままアクセスを許可する方法を模索するようになりまし
た。iPhone の活用に消極的であった多くの IT 組織が、企業のリソースのセキュリ
ティを高めたままモバイルアクセスのニーズとユーザの生産性のバランスを調整す
るリモート・アクセス・ソリューションを求めています。
F5 BIG-IP Edge アプリケーション
F5 は iPhone 用に 2 つのアプリケーションを作成しました。F5® BIG-IP® Edge
Portal™ と BIG-IP Edge Client™ です。
BIG-IP Edge Portal
iOS デバイス用 BIG-IP Edge Portal アプリケーションは、BIG-IP Access Policy
Manager™(APM)、BIG-IP Edge Gateway™、および FirePass® SSL VPN ソリュー
ションの背後に存在する企業 Web アプリケーションへのセキュアなモバイルアク
セスを合理化します。BIG-IP Edge Portal アプリケーションを使用すると、ユー
ザは企業内の Web ページや Web アプリケーションに安全にアクセスすることが
できます。
BIG-IP Edge Portal は、既存の BIG-IP Edge Gateway および BIG-IP APM ま
たは FirePass SSL VPN ソリューションと連携して、イントラネットサイト、Wiki、
および Microsoft SharePoint などの企業内の Web アプリケーションへのポータ
ルアクセスを提供します。このポータルアクセスは、
IT 管理者に特定の Web リソー
スへのモバイルアクセスを許可するための環境を提供しますが、管理されていない
不明なデバイスからのネットワークへのフルアクセスは許可しません。iPhone ユー
ザは、FirePass と ActiveSync プロトコルを介して、電子メール、カレンダーおよ
び連絡先を企業の Microsoft Exchange Server と同期させることができます。ま
た、このソリューションは、iPhone および iPad から Web ベースのリソースへセキュ
アなアクセスを提供する手段としても利用できます。
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
IT 管理者は、レイヤ 7 アクセス制御リスト(ACL)を作成および管理して、特定の
リソースへのアクセスを制限することもできます。たとえば、ホワイトリストやブラッ
クリストを作成して、ユーザがアクセスできるサイトを明示的に指定できます。また、
/contractors や /partners のように記述して、Web アプリケーション内の特定の
パスを指定することもできます。デバイスチェックや認証済みのユーザグループに
基づいて、デバイスは、これらの割り当てられたリソースパスにのみ移動すること
ができます。契約者でも、パートナーパスを推測してサイトに移動しようとした場
合はアクセスが拒否されます。管理者は BIG-IP Edge Gateway を設定して、デ
バイスへの認証情報の保存の許可など、ユーザのクライアントにポリシーを強制す
ることができます。
クライアントの資格情報が必須に設定されている場合、ユーザは Web から、ま
たは iTunes から指定できます。再度接続したいサイトをブックマークに追加して
保存し、ページを開くためのキーワードを指定することができます。たとえば、
企業のイントラネットページに移動するためのキーワードとして「intra」と指定
します。ユーザがサイトをブックマークするときにキーワードを指定しておけば、
BIG-IP Edge Portal アドレスバーにキーワードを入力することによってブックマー
クしたページを表示できます。
BIG-IP Edge Portal アプリケーションは、企業内の Web アプリケーションへのセ
キュアなアクセスをユーザに提供し、次の機能を備えています。
• ユーザ名およびパスワード認証
• クライアント証明書のサポート
• 認証情報とセッションの保存
• BIG-IP APM との連携によるさまざまな企業 Web アプリケーションへの
SSO 機能
• ローカルのブックマークとお気に入りの保存
• キーワードを使用したブックマークへのアクセス
• 組み込みの Web ビューア
• ネイティブの Mobile Safari でサポートされているすべてのファイルタイプ
の表示
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
F5 BIG-IP Edge クライアント
iPhone が信頼されているデバイスであり、iPhone/iPad からのネットワークア
クセスが許可されている場合、あるいはその両方が該当する場合、BIG-IP Edge
Client アプリケーションは、BIG-IP Edge Portal の上記の機能すべてに加えて、
企業ネットワークへの最適化された暗号化 SSL VPN トンネルを作成する機能を
提供します。BIG-IP Edge Client は、iOS デバイスから企業リソースへの完全な
ネットワークアクセスを提供する、iPhone と iPad 両方にとっての包括的な VPN
ソリューションです。VPN へ のフルアクセスによって、iPhone/iPad ユーザは、
RDP、SSH、Citrix、VMware View、VoIP/SIP およびその他の企業アプリケーション
にアクセスすることができます。
BIG-IP Edge Client および Edge Portal は、BIG-IP Edge Gateway および FirePass
SSL VPN ソリューションと連携して動作し、企業リソースおよびアプリケーションへ
の管理されたアクセスを提供して、モバイルユーザに対するアプリケーション・アク
セス制御を一元化します。企業リソースへのアクセス提供はユーザの生産性向上の
鍵であり、オンデマンド IT を提供する F5 のダイナミック・サービス・モデルの中核
となっています。
図 1: Apple iPhone 上の BIG-IP Edge Portal
VPN 接続は、BIG-IP Edge Client を使用して明示的に、または iOS の VPN オン
デマンド機能を使用して暗黙的に、ユーザが開始することができます。たとえば、
管理者は、特定のドメインまたはホスト名のパターンが一致したら自動的にトリガ
されるように接続を設定することができます。クライアント証明書認証タイプが
使用されている場合、VPN オンデマンドを設定できます。クライアント証明書と
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
一緒にユーザ名とパスワードも使用できますが、これらはオプションです。VPN
オンデマンドによって開始された接続にはユーザの介入は不要です(たとえば、パ
スワードが設定時に提供されておらず、認証に必要な場合、接続は失敗します)。
BIG-IP Edge Gateway コントローラは、ゲートウェイとデータセンター間のクラ
イアント・トラフィックを最適化および高速化します。最適化が iOS デバイスに
拡張された BIG-IP Edge Client アプリケーションを使用することによって、クラ
イアントアクセスは高速化され、モバイルユーザのパフォーマンスが向上します。
BIG-IP Edge Client と BIG-IP Edge Gateway の併用は、iOS デバイスへのセキュ
アで最適化されたアクセスを提供します。ユーザが高遅延のモバイルネットワーク
上に存在し、企業のインフラストラクチャからファイルをダウンロードする必要が
ある場合、独自の適応性の高いアルゴリズムがファイルの高速なダウンロードを可
能にします。ユーザがモバイルを使用している場合でもセキュアな LAN 同様のパ
フォーマンスを得られます。
BIG-IP Edge Portal アプリケーションのように、BIG-IP Edge Client も、認証情
報のキャッシングのように管理者によって定義されたアクセスポリシー同様、特定
のリソースへの ACL の制限に基づいたアクセスに従います。BIG-IP Edge Client
の場合、管理者はレイヤ 7 およびレイヤ 3/4 ACL 両方を作成できます。iPhone
が信頼されたデバイスであり、IT 部門がデバイスへのネットワークアクセスを許可
していても、組織、役割およびその他の条件に基づいて、企業のインフラストラ
クチャ内の特定のサブネットへのユーザアクセスを制限することが必要な場合が
あります。企業のインフラストラクチャに関するコンプライアンス要件が存在し、
ユーザアクセスとアプリケーションのログ作成が必要な場合、BIG-IP APM および
BIG-IP Edge Gateway は詳細なロギングおよびアカウンティングを提供します。
組織が所有するデバイスではなく未管理のデバイスからアプリケーションにアクセ
スする場合でも、IT は規制遵守の要件を満たすことができます。
F5 独自のビジュアル・ポリシー・エディタ(VPE)でポリシーを作成してアクセス
を管理します。高度な VPE を使用することによって、管理者は、個人またはグ
ループベースでセキュアかつ詳細なアクセス管理ポリシーを簡単に作成できます。
フローチャートのような GUI をタップしていくだけで、管理者は iPhone および
iPad デバイスを既存のシステムにシームレスに追加したり、iOS デバイス専用の新
しいマクロポリシーを作成することができます。
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
図 2: Apple iPhone の BIG-IP Edge Portal 設定ページ
BIG-IP Edge Client アプリケーションは、Smart Reconnect などの追加の機能
を提供します。この機能は、ユーザがネットワーク間を移動中に(モバイルから
Wi-Fi 接続エージェントの切り替え時などに)ネットワークが停止した際、または
デバイスが休止 / スタンバイモードから復帰した際のモビリティを強化します。ス
プリット・トンネリング・モードもサポートされており、ユーザはインターネットお
よび社内リソースに同時にアクセスできます。
図 3: Apple iPad 上の BIG-IP Edge Client
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
企業の BIG-IP アクセスコントローラ(BIG-IP APM および Edge Gateway)また
は FirePass SSL VPN を、セキュリティ・ゲートウェイとして iOS デバイスに簡単に
追加できます。BIG-IP Edge Client を起動して、
「Server」フィールドに、FirePass
SSL VPN コントローラ、BIG-IP APM または BIG-IP Edge Gateway の IP アドレ
スまたは FQDN ドメイン名を入力します。このサーバの名前を
「Description」フィー
ルドに入力して、探しやすくすることもできます。ヘルプデスク案件を最小限に抑
制するため、ユーザの認証情報の追加は、ユーザ名とパスワードを入力する程度で
簡単になっており、
「Save」および「Done」をクリックすると完了します。
まとめ
iOS 用の BIG-IP Edge Portal アプリケーションは、BIG-IP APM の背後に配置さ
れている Web アプリケーションへの、簡単で合理化されたアクセスを提供します。
VPN のフルアクセスを必要とせず、ユーザのログインを簡素化して、管理者に制御
用のレイヤを新たに提供します。BIG-IP Edge Portal を使用すると、ユーザは企
業内の Web ページや Web アプリケーションに安全にアクセスすることができま
す。また、管理者は、iPhone および iPad モバイルデバイスの管理を既存の BIGIP インフラストラクチャにシームレスに追加できます。
BIG-IP Edge Client アプリケーションは、iPhone および iPad からの SSL VPN
のフルアクセスを提供するだけでなく、BIG-IP Edge Gateway との併用によって
アプリケーション・パフォーマンスを高速化します。管理者は F5 のビジュアル・ポ
リシー・エディタを使用して詳細に管理することができ、ユーザは BIG-IP Edge
Gateway に組み込まれた最適化と高速化の統合テクノロジによって、高速なダ
ウンロードおよび迅速な Web アクセスを利用できます。企業アプリケーションを
継続して高速かつ安全に iPhone および iPad ユーザに提供するために、IT が複数
のユニットを提供し管理する必要はもうありません。
10
F5 テクニカルブリーフ
企業 Web アプリケーションへのセキュアな iPhone アクセス
リファレンス
iPhone in Business
F5 BIG-IP Edge Client Users Guide
〒530-0017 大阪市北区角田町 8-47 阪急グランドビル 20 階
TEL 06-7711-1655 FAX 06-7711-1501