はじめに

東京オリンピック・パラリンピック開幕まであと1年を切りました。来年の今頃は日本中が大いに盛り上がっていることを想像するワクワクしますね。先月弊社は「テレワーク・デイズ2019」実施団体に登録しました。自らテレワークの実施を推進していくとともに、お客様にもテレワークに関するソリューションをご提供していきますので何なりとご相談ください。さて、このテレワークは「『いつでも、どこでも、誰でも』業務をできるようにすること」が至上命題だと思います。この点では、数年前から言われている働き方改革やワークスタイル変革とほぼ同義になるかと思いますが、 「1人1端末時代」では、この『いつでも、どこでも、誰でも』だけで十分だったと思います。しかし現在は1人が複数台の端末を所有していることが多く、また、複数台保有していなかったとしてもBYOD(Bring Your Own Device）により個人端末を業務にも利用する可能性もありますので、新たに『どんな端末からでも』という文言を追記する必要が出てきていると思います。

『いつでも、どこでも、誰でも、どんな端末からでも』には”ヒト“と”端末“の特定が必要

新たに“どんな端末でも”を実現するには、管理側が“どの端末にどの程度の権限を与えるのか”をきちんと管理できる必要があります。コンピュータセキュリティの基本的概念に

• 認証（Authentification）：本人確認
• 承認/認可（Authorization）：アクセス権限（制限）
• アカウンティング（Accounting）：ユーザー情報収集・ログの記録

の3つがあり、これらの頭文字を取って一般的に『トリプルA』と呼ばれていますが、特に最初の『認証』が重要になります。残念ながら前述の「1人1端末時代」の名残があるためか、どうも『認証』=『”ヒト”の特定』に偏向しているように思います。実際に現在利用されている認証方式は「”ヒト”の特定」はできても「”端末”の特定」まではできないものがほとんどです。また『MACアドレス認 証』についてはツールを利用すればPC/スマートフォンを問わず簡単に変更できるので事実上”認証の用を為さない”とされ始めています。

クライアント証明書認証なら二要素認証も実現できる

そこで現在導入する企業が増えているのが『”端末”の特定』もできる「クライアント証明書」による認証です。上記の表の通り、 『”ヒト”の特定』は勿論のこと、 『”端末”の特定』もOSの種類を問わず実施することができます。これにより、”ヒト”と”端末”の情報が一致しなければアクセスができないという二要素認証を確立することができます。また万が一端末を紛失・盗難した場合は証明書を失効させれば良いのでセキュリティの面でも安心です。

最も重要で大変なのは端末展開

良いこと尽くめのクライアント証明書認証ですが、端末展開が最も重要かつ大変な作業になります。端末に証明書を配布してインストールするためには、大別して下記の2通りの方法がありますが、どちらの方法も一長一短があり、ややもすると却って「安全でない端末の認証」や「管理者側のオーバーワーク」を招いてしまいます。

1. ユーザーがクライアント証明書をダウンロードまたはメールで配布
   →ユーザーが証明書をコピーして未許可端末にインストールする可能性がある。
   
2. 管理者が全てのユーザー端末をキッティング
   →管理者に膨大な負荷が掛かる。

そこで管理者が許可した端末だけにクライアント証明書を自動的に配布できる仕組みが必要になるのです。