【モバイル/検証】VPN、Exchange−iPhoneの「ビジネス度」を検証する−テックターゲットジャパン[08/09/17]
1 :依頼@台風0号φ ★:
2008年7月に発売されたiPhone 3Gが世間の注目を集めたのは記憶に新しい。発売当初はどこの
ショップも品切れ起こし、国内スマートフォン市場で久々にブームを巻き起こしたといえるだろう。この
背景にはアップルのブランド力や宣伝戦略もあっただろうが、製品自体の先進性や革新性がなければ、
ここまで多くのユーザーに支持されることはないはずだ。
iPhone 3G(以下、iPhone)は、音楽もビデオも、電子メールもWebも楽しめるという、「エンターテインメント
性の高い携帯電話」ととらえられがちだ。だが、実際にはスマートフォン市場を意識し、ビジネスユーザー
に向けてIPsec VPN、およびMicrosoft Exchange Serverのサーバ同期機能である「ActiveSync」への対応
を果たしている。これにより、ほかのスマートフォンと同様に、社内ネットワークへ携帯電話網や無線LAN
経由でVPN接続し、メール、予定表、連絡先のプッシュ配信が可能になる。これらが一定のセキュリティ
要件を満たし、企業でも安全に運用できるのかどうかを、詳しく見ていくことにしよう。
◆PPTP/IPsec経由で社内リソースを利用
iPhoneはソフトバンクモバイルの3G携帯網とIEEE 802.11b/gの無線LANに対応しており、VPNゲートウェイ
に対して、「L2TP over IPsec」「PPTP」および「IPsec(Cisco IPsec)」の3つのVPN方式で接続できる。今回は、
最も一般的に利用されるPPTPとIPsecについて検証を行った。PPTPについては、筆者オフィスのLAN内に
設置した検証用の Microsoft Exchange Server 2007(以下、Exchange Server)とiPhoneとの接続を行った。
VPNの接続は非常に簡単だ。iPhoneでVPNの方式や接続先のアカウント、サーバアドレスなどを入力
するだけでPPTP接続ができる。この状態でExchange Serverを利用するためのメール設定を行えば、
ActiveSyncでメール、予定表/連絡先の情報が常にiPhoneにプッシュされ、iPhone でのメール送信や
予定表/連絡先の更新情報がExchange Serverにも反映される。
IPsec VPNの接続についても問題はない。今回の検証ではIPsec VPN経由でExchange Serverに接続
するためのテスト環境が残念ながら用意できなかったが、社内メールサーバやイントラネットへのアクセス
は問題なく行えた。Exchange Serverへの接続に関して特別な設定は必要ないため、PPTP接続時と同様に
ActiveSyncが利用できるはずだ。
記事は>>2以降に続きます。
ショップも品切れ起こし、国内スマートフォン市場で久々にブームを巻き起こしたといえるだろう。この
背景にはアップルのブランド力や宣伝戦略もあっただろうが、製品自体の先進性や革新性がなければ、
ここまで多くのユーザーに支持されることはないはずだ。
iPhone 3G(以下、iPhone)は、音楽もビデオも、電子メールもWebも楽しめるという、「エンターテインメント
性の高い携帯電話」ととらえられがちだ。だが、実際にはスマートフォン市場を意識し、ビジネスユーザー
に向けてIPsec VPN、およびMicrosoft Exchange Serverのサーバ同期機能である「ActiveSync」への対応
を果たしている。これにより、ほかのスマートフォンと同様に、社内ネットワークへ携帯電話網や無線LAN
経由でVPN接続し、メール、予定表、連絡先のプッシュ配信が可能になる。これらが一定のセキュリティ
要件を満たし、企業でも安全に運用できるのかどうかを、詳しく見ていくことにしよう。
◆PPTP/IPsec経由で社内リソースを利用
iPhoneはソフトバンクモバイルの3G携帯網とIEEE 802.11b/gの無線LANに対応しており、VPNゲートウェイ
に対して、「L2TP over IPsec」「PPTP」および「IPsec(Cisco IPsec)」の3つのVPN方式で接続できる。今回は、
最も一般的に利用されるPPTPとIPsecについて検証を行った。PPTPについては、筆者オフィスのLAN内に
設置した検証用の Microsoft Exchange Server 2007(以下、Exchange Server)とiPhoneとの接続を行った。
VPNの接続は非常に簡単だ。iPhoneでVPNの方式や接続先のアカウント、サーバアドレスなどを入力
するだけでPPTP接続ができる。この状態でExchange Serverを利用するためのメール設定を行えば、
ActiveSyncでメール、予定表/連絡先の情報が常にiPhoneにプッシュされ、iPhone でのメール送信や
予定表/連絡先の更新情報がExchange Serverにも反映される。
IPsec VPNの接続についても問題はない。今回の検証ではIPsec VPN経由でExchange Serverに接続
するためのテスト環境が残念ながら用意できなかったが、社内メールサーバやイントラネットへのアクセス
は問題なく行えた。Exchange Serverへの接続に関して特別な設定は必要ないため、PPTP接続時と同様に
ActiveSyncが利用できるはずだ。
記事は>>2以降に続きます。
|
|
|
2 :依頼@台風0号φ ★:2008/09/17(水) 23:09:03 ID:???
>>1の続きです。
Exchange ServerとのやりとりはすべてSSLで行うことができ、そのほかのメールについてもSSLメールが
標準だ。iPhoneでアカウントを設定するときにSSLで接続できない場合は、「SSLで接続できません」という
警告ダイアログが表示され、非SSLで接続することをキャンセルすることも可能だ。
なお、ActiveSyncを有効にすると、予定表や連絡先はiPhone標準のカレンダー/連絡先欄にExchange
Serverの項目が追加され、PCと同期したデータと共存させた形で管理できる。
ただし、iPhoneはWindowsのエクスプローラに相当するファイル管理アプリケーションを備えておらず、
メールに添付された5Mバイトまでのオフィス書類(Microsoft Office Word/Excel/PowerPoint)、PDF、
画像ファイルなどは内蔵ビュワーで開いて確認する形で運用する。または、社内Webサーバにアクセスし、
Webブラウザでファイルを開くことも可能だが、ZIPなどの圧縮ファイルを開くことはできない。
ちなみに、公衆無線LANサービスからもVPNは利用できるが、PPTP、IPsecともに、グローバルIPアドレス
が払い出される HOTSPOT、Mzoneなどの一部アクセスポイント(AP)でなければ正常に接続できない。
IPsecではNATがIPアドレスを書き換えるので、「データが改ざんされた」ものとして破棄される可能性が
ある。また、PPTPでは、事業者側が払い出すプライベートIPアドレスと、ユーザーの接続先ネットワークが
払い出すプライベートIPアドレスが混在し、PPTPトンネルが切断される可能性が高い。
◆無線LANのIEEE 802.1X接続はかなり面倒
無線LANの接続では、WPA/WPA2-PSKのほか、IEEE 802.1Xベースのエンタープライズモード(EAP)
への対応がポイントとなる。iPhoneでは対応をうたっているものの、そのままで接続することはできない。
アップルから提供されるMac OS X向けの「iPhone Configlation Utility」またはWindows向けの「iPhone
Configuration Web Utility」を入手し、プロファイルを作成する必要がある。
Windows向けのユーティリティはWebベースで動作する。この[Wi-Fi]カテゴリで、接続先に応じた認証
方式や証明書に関する設定を行い、作成したプロファイルをメールに添付して送信する。そして、その
メールをiPhoneで受信し、添付ファイルを開いて設定内容を適用させる。接続先の環境ごとにプロファイル
を作成・適用する必要があり、作業がかなり面倒だ。
なお、公衆無線LANサービスで、APがIEEE 802.1Xに対応している場合、プロファイルを作成・適用
させれば利用できる可能性はある。ただし現状、公衆無線LAN事業者ではiPhoneからのIEEE 802.1X
接続を保証していない。
記事は>>3以降に続きます。
Exchange ServerとのやりとりはすべてSSLで行うことができ、そのほかのメールについてもSSLメールが
標準だ。iPhoneでアカウントを設定するときにSSLで接続できない場合は、「SSLで接続できません」という
警告ダイアログが表示され、非SSLで接続することをキャンセルすることも可能だ。
なお、ActiveSyncを有効にすると、予定表や連絡先はiPhone標準のカレンダー/連絡先欄にExchange
Serverの項目が追加され、PCと同期したデータと共存させた形で管理できる。
ただし、iPhoneはWindowsのエクスプローラに相当するファイル管理アプリケーションを備えておらず、
メールに添付された5Mバイトまでのオフィス書類(Microsoft Office Word/Excel/PowerPoint)、PDF、
画像ファイルなどは内蔵ビュワーで開いて確認する形で運用する。または、社内Webサーバにアクセスし、
Webブラウザでファイルを開くことも可能だが、ZIPなどの圧縮ファイルを開くことはできない。
ちなみに、公衆無線LANサービスからもVPNは利用できるが、PPTP、IPsecともに、グローバルIPアドレス
が払い出される HOTSPOT、Mzoneなどの一部アクセスポイント(AP)でなければ正常に接続できない。
IPsecではNATがIPアドレスを書き換えるので、「データが改ざんされた」ものとして破棄される可能性が
ある。また、PPTPでは、事業者側が払い出すプライベートIPアドレスと、ユーザーの接続先ネットワークが
払い出すプライベートIPアドレスが混在し、PPTPトンネルが切断される可能性が高い。
◆無線LANのIEEE 802.1X接続はかなり面倒
無線LANの接続では、WPA/WPA2-PSKのほか、IEEE 802.1Xベースのエンタープライズモード(EAP)
への対応がポイントとなる。iPhoneでは対応をうたっているものの、そのままで接続することはできない。
アップルから提供されるMac OS X向けの「iPhone Configlation Utility」またはWindows向けの「iPhone
Configuration Web Utility」を入手し、プロファイルを作成する必要がある。
Windows向けのユーティリティはWebベースで動作する。この[Wi-Fi]カテゴリで、接続先に応じた認証
方式や証明書に関する設定を行い、作成したプロファイルをメールに添付して送信する。そして、その
メールをiPhoneで受信し、添付ファイルを開いて設定内容を適用させる。接続先の環境ごとにプロファイル
を作成・適用する必要があり、作業がかなり面倒だ。
なお、公衆無線LANサービスで、APがIEEE 802.1Xに対応している場合、プロファイルを作成・適用
させれば利用できる可能性はある。ただし現状、公衆無線LAN事業者ではiPhoneからのIEEE 802.1X
接続を保証していない。
記事は>>3以降に続きます。
3 :依頼@台風0号φ ★:2008/09/17(水) 23:09:27 ID:???
>>2の続きです。
◆Exchange Serverからリモートデータ消去が可能
最後に、iPhoneのデータセキュリティについて見ていくことにしよう。iPhone内にはメールや連絡先など
のデータをはじめ、受信した添付ファイルや、サードパーティー製ソフトを使って転送、保存したデータなど、
たくさんのデータが暗号化されずに格納されている。これらは盗難や紛失時に簡単に第三者がアクセス
できてしまう。
4けたのパスコードで本体をロックする機能は備えているものの、パスワードによる保護とは異なり、
コードが類推される可能性が高い。また、 Jailbreakというクラック手法でiPhoneのプロテクトを解除すると、
メモリ全領域のデータサルベージが可能となってしまう。
しかし、Exchange Serverと同期していれば、「リモートワイプ」機能を使ってExchange Server管理コンソール
から操作を行い、リモートでiPhone内の全領域のデータを消去することができる。機能を実行するとiPhone
の画面がリンゴマークに変わり、ワイプ作業が開始される。この処理はバッテリー切れや強制再起動を
行っても無効にならず、充電された時点、あるいは再起動してしばらくするとワイプ作業が再開されるので
安心だ。
このように、iPhoneはVPN接続、Exchange Serverとの連携など、ほかのWindows Mobile端末とほぼ同等
のセキュリティレベルを保っているといえる。WebやメールアクセスもSSL暗号化で安全に行え、端末の
データ抹消もリモートで行える。また、iPhoneにはアップルが一定の基準で認定したサードパーティー製
アプリケーションしかインストールできず、Telnetサーバや Webサーバといったサーバ用ソフトを勝手に
インストールして外部から不正アクセスされる懸念も少ない。
だが、iPhone利用時の本人認証や本体の暗号化、使用未許可の危険なソフトウェア利用に対するリモート
チェック、マルウェア対策といった未解決の課題は残る。現状ではアクト・ツーが販売する仏Intego製
「ウイルスバリア X5」でのスキャンは可能だが、Mac環境に接続した状態でしか実行できず、外出中の
マルウェア感染は阻止できない。また、ユーザーが意図的に Jailbreakを実行したまま利用すると、外部
から不正アクセスされる恐れがある。この点は、システムやストレージ領域をロックしていないほかの
スマートフォンにも当てはまる。現状では、慎重に運用するべきであり、今後のiPhone向けのセキュリティ
ソフトの登場に期待したい。
ソース:テックターゲットジャパン(2008/09/17 08:00)
http://techtarget.itmedia.co.jp/tt/news/0809/17/news02.html
◆Exchange Serverからリモートデータ消去が可能
最後に、iPhoneのデータセキュリティについて見ていくことにしよう。iPhone内にはメールや連絡先など
のデータをはじめ、受信した添付ファイルや、サードパーティー製ソフトを使って転送、保存したデータなど、
たくさんのデータが暗号化されずに格納されている。これらは盗難や紛失時に簡単に第三者がアクセス
できてしまう。
4けたのパスコードで本体をロックする機能は備えているものの、パスワードによる保護とは異なり、
コードが類推される可能性が高い。また、 Jailbreakというクラック手法でiPhoneのプロテクトを解除すると、
メモリ全領域のデータサルベージが可能となってしまう。
しかし、Exchange Serverと同期していれば、「リモートワイプ」機能を使ってExchange Server管理コンソール
から操作を行い、リモートでiPhone内の全領域のデータを消去することができる。機能を実行するとiPhone
の画面がリンゴマークに変わり、ワイプ作業が開始される。この処理はバッテリー切れや強制再起動を
行っても無効にならず、充電された時点、あるいは再起動してしばらくするとワイプ作業が再開されるので
安心だ。
このように、iPhoneはVPN接続、Exchange Serverとの連携など、ほかのWindows Mobile端末とほぼ同等
のセキュリティレベルを保っているといえる。WebやメールアクセスもSSL暗号化で安全に行え、端末の
データ抹消もリモートで行える。また、iPhoneにはアップルが一定の基準で認定したサードパーティー製
アプリケーションしかインストールできず、Telnetサーバや Webサーバといったサーバ用ソフトを勝手に
インストールして外部から不正アクセスされる懸念も少ない。
だが、iPhone利用時の本人認証や本体の暗号化、使用未許可の危険なソフトウェア利用に対するリモート
チェック、マルウェア対策といった未解決の課題は残る。現状ではアクト・ツーが販売する仏Intego製
「ウイルスバリア X5」でのスキャンは可能だが、Mac環境に接続した状態でしか実行できず、外出中の
マルウェア感染は阻止できない。また、ユーザーが意図的に Jailbreakを実行したまま利用すると、外部
から不正アクセスされる恐れがある。この点は、システムやストレージ領域をロックしていないほかの
スマートフォンにも当てはまる。現状では、慎重に運用するべきであり、今後のiPhone向けのセキュリティ
ソフトの登場に期待したい。
ソース:テックターゲットジャパン(2008/09/17 08:00)
http://techtarget.itmedia.co.jp/tt/news/0809/17/news02.html
4 :名刺は切らしておりまして:2008/09/17(水) 23:23:21 ID:E/GM+mjP
VPN 対応程度でビジネス度?
それ自慢になるのか iPhone…
それ自慢になるのか iPhone…
5 :名刺は切らしておりまして:2008/09/17(水) 23:25:39 ID:BaE1/yKQ
一方日本の携帯メーカは 顔文字、お財布、携帯専用サイトなどで日本のユーザの囲い込が
完璧と豪語し、 小銭稼ぎのための、更なるガラパ規格を推し進めた。
完璧と豪語し、 小銭稼ぎのための、更なるガラパ規格を推し進めた。
6 :名刺は切らしておりまして:2008/09/17(水) 23:38:19 ID:Cid2cPkc
4Gだか5Gだかで世界と規格を統一するんでしょ
いつまでもガラパゴスってわけじゃないよ
いつまでもガラパゴスってわけじゃないよ
7 :名刺は切らしておりまして:2008/09/17(水) 23:47:31 ID:miifSkPl
セキュリティを気にしなけりゃ意外につかえるということ
8 :名刺は切らしておりまして:2008/09/18(木) 00:26:52 ID:BiNcRJIL
なげぇので 一応要約しておいた
テスト環境が残念ながら用意できなかった
PPTPトンネルが切断される可能性が高い
ファイル管理アプリケーションを備えておらず
ZIPなどの圧縮ファイルを開くことはできない
無線LANの接続では、そのままで接続することはできない
簡単に第三者がアクセスできてしまう。
iPhoneのプロテクトを解除すると、メモリ全領域のデータサルベージが可能となってしまう。
マルウェア対策といった未解決の課題は残る
外部から不正アクセスされる恐れがある
以外に使えるな
テスト環境が残念ながら用意できなかった
PPTPトンネルが切断される可能性が高い
ファイル管理アプリケーションを備えておらず
ZIPなどの圧縮ファイルを開くことはできない
無線LANの接続では、そのままで接続することはできない
簡単に第三者がアクセスできてしまう。
iPhoneのプロテクトを解除すると、メモリ全領域のデータサルベージが可能となってしまう。
マルウェア対策といった未解決の課題は残る
外部から不正アクセスされる恐れがある
以外に使えるな
9 :名刺は切らしておりまして:2008/09/18(木) 02:28:30 ID:Xpa19eh3
会社だと専用VPNソフト必要な場合も多いからなぁ。
他にもできないことを挙げたらきりが無いわけで、
結局ノートPCじゃなきゃビジネスなんて無理ぽ。
併用するならまぁわかるけど、それなら普通の
携帯でも十分なのよね。
まぁこれはiPhoneに限らずスマートフォン全般の話。
他にもできないことを挙げたらきりが無いわけで、
結局ノートPCじゃなきゃビジネスなんて無理ぽ。
併用するならまぁわかるけど、それなら普通の
携帯でも十分なのよね。
まぁこれはiPhoneに限らずスマートフォン全般の話。
10 :名刺は切らしておりまして:2008/09/18(木) 02:35:01 ID:gUODBy5N
キラーアプリが出るかどうかだな。
11 :名刺は切らしておりまして:2008/09/18(木) 03:18:58 ID:NTcgezfv
>>6
通信規格だけ統一されても規格の統一されてない絵文字、
i-modeやEzWebのサービスやコンテンツに依存してたら
いつまで経ってもガラパゴスだろ。
felicaはNFCに置き換えで何とかなるけど。
通信規格だけ統一されても規格の統一されてない絵文字、
i-modeやEzWebのサービスやコンテンツに依存してたら
いつまで経ってもガラパゴスだろ。
felicaはNFCに置き換えで何とかなるけど。
12 :名刺は切らしておりまして:2008/09/18(木) 03:25:48 ID:swijEB5v
ガラパゴスって便利な言葉だよな。誰が最初に使ったんだろ。
俺には iPhone とマカーがガラパゴスに見える。
俺には iPhone とマカーがガラパゴスに見える。
13 :名刺は切らしておりまして: