今月初めにリリースされたiPhone 2.0ソフトウェアアップデートは、企業ユーザー向けのセキュリティ管理において、以前のバージョンから劇的な改善をもたらしました。しかし、これらの歓迎すべき変更点だけでは、iPhoneをシームレスに安全にするには不十分です。
1年前、私はAppleが初代iPhoneで行った設計とインターフェースの決定を批判しました。それらの決定によって、安全なネットワーク接続を確立することが難しくなり、無料または商用のWi-Fiホットスポットなどの安全でないネットワークを利用する際に、データが盗み見されることがなくなったのです。2.0ソフトウェアにはいくつかの欠陥がありますが、データの安全を確保するための対策を講じるのが容易になりました。しかしながら、企業(そして多くの個人)が安全なモバイルデバイスに求めるものを満たすために、Appleは依然としてネットワークセキュリティのクライアントに門戸を開く必要があります。
これは、他のデバイスが Apple のセキュリティを超えているという意味ではありません。むしろ、Apple は iPhone でデスクトップ オペレーティング システム レベルのセキュリティを提供できる独自の立場にあります。
元の脆弱性を確認する
iPhoneのセキュリティ問題の多くは、デバイスが通り過ぎるオープンアクセスポイントに勝手に接続させてしまうことに起因しています。これは今でも問題です。この記事の執筆時点では、AT&TはまだWi-FiネットワークをiPhoneユーザーに開放していません。ただし、サービスプロバイダーは無料アクセスが間もなく開始されるという噂を漏らしており、金曜日に誤った形で開始が行われました。しかし、AT&Tが米国のネットワークをiPhoneユーザーに開放したとしても、ユーザー自身が対策を講じる以外にセキュリティ対策はありません。
AT&Tは、ホットスポットにおいて企業レベルのセキュア接続をオプションとして提供していません。一方、競合他社のT-Mobileは4年前からこのオプションを提供しています。iPhoneは現在この種の接続をサポートしており、これは他のホットスポット利用者から自分のネットワークアクティビティを盗み見ることができないようにする簡単な方法となる可能性があります。(そのオプションとは、後述の802.1Xであり、中規模から大規模企業のエンタープライズネットワークではほぼ普遍的に採用されています。)
知らないWi-Fiネットワークに接続する際には、依然として警戒を怠ってはいけません。だからこそ、iPhoneユーザー(そしてすべてのノートパソコンユーザー)には、仮想プライベートネットワーク(VPN)への接続を強くお勧めします。VPNは、iPhoneなどのデバイスとリモートVPNサーバーの間に暗号化された接続を確立します。ホットスポットネットワークでこのデータを傍受したスパイは、暗号化された無意味なデータしか見ることができず、現在の技術では、接続の当事者以外、誰もそれを復元することはできません。(802.1Xは、コンピューターまたはモバイルデバイスとWi-Fiゲートウェイ間の接続を暗号化します。VPNは、ゲートウェイを経由して遠く離れたネットワークエンドポイントまでの接続全体を暗号化します。)
iPhoneは現在、1.xファームウェアの2種類から3種類のVPN接続をサポートしており、複数のサービスが月額料金でVPNを提供しています。iPhoneユーザーにとって最適な選択肢はWiTopia.netかもしれません。同サービスのVPNサービスは年間40ドルで、デスクトップまたはノートパソコンにSSL対応のVPNクライアントをインストールする必要がありますが、iPhoneではまだ利用できません。ただし、WiTopiaはiPhone向けにPPTP接続を無料で提供しており、PPTP接続はサポートされている接続方法の一つです。
ただし、トラフィックを保護する他の方法は改善されています。ISPのSSLメールサーバーが通常とは異なるポート(特定の種類のトラフィックが想定されるIPアドレスの番号付き小部屋のようなもの)を使用している場合、そのポートを入力するための回避策を回避できます。
「設定」→「メール/連絡先/カレンダー」→ 「メールアカウント」 →「詳細設定」で、メール受信用のポートを入力できます。同様に、メールアカウントで「SMTP」を選択し、メールサーバーを選択すると、「サーバーポート」設定に特別なポートを入力できます。これは、ISPが使用している固有のポート番号への対応に非常に役立ちます。
今のところ、App StoreにはSSH(Secure Shell)トンネルの作成を目的としたソフトウェア、組み込みタイプ以外のVPN、その他安全な接続を容易に構築できる要素は掲載されていません。これは当然のことです。AppleのiPhoneソフトウェア開発キット(SDK)の利用規約では、基盤となる情報へのアクセスは特定のチャネル経由のみに制限されているサンドボックス化されたアプリケーションのみが許可されているためです。今後、追加のセキュリティオプションはAppleと共同で開発するか、Appleからライセンス供与を受ける必要があるでしょう。
VPNプロファイル、WPA/WPA2エンタープライズによるセキュリティ強化
Appleは、2つの分野で安全な通信の維持と安全なネットワークへの接続を大幅に簡素化しました。それぞれに固有の情報を持つ複数のVPNプロファイルを設定できます。また、一般ユーザーでも、WPA/WPA2 Enterpriseで保護されたネットワークに参加できます。WPA/WPA2 Enterpriseは、Wi-Fi(またはEthernet)ネットワークへのログインにユーザーごとに固有の情報を要求する方式です。
VPNの改善は特筆すべき点です。なぜなら、仕事で2つ以上のVPN(外出先用の個人用VPNとオフィス用の企業用VPNなど)を必要とする人にとって、iPhone 1.xでは到底対応できなかったからです。オリジナルのファームウェアシリーズでは、PPTP(Point to Point Tunneling Protocol)とL2TP(Layer 2 Tunneling Protocol。IPsecまたはインターネットプロトコルセキュリティと組み合わせてL2TP over IPsecとして使用される)がサポートされていました。しかし、それぞれの種類につき1つの接続しか設定できませんでした。仕事や生活で2つのL2TP接続が必要な場合は、残念ながら対応できませんでした。
iPhone 2.0では、「設定」→「一般」→「ネットワーク」→「VPN」と進み、「VPN設定を追加」をタップして設定を開始します。「設定を追加」ダイアログでは、L2TP、PPTP、IPsecから選択できます。IPsecはCisco独自のIPsecです。
たとえば、L2TP を選択した場合は、メインの VPN 設定ページに表示される説明、VPN サーバーのホスト名、およびアカウント名を入力します。VPN サーバーによっては、パスワードのみを必要とするものもあれば、2 要素認証を使用するものもあり、その場合は携帯する RSA SecurID トークン ジェネレーターに表示されるコードも入力します。企業で必要な場合は、SecurID スイッチをオンにします。パスワードが必要な場合は、セットアップ時にパスワードを入力して iPhone が自動的に使用するようにするか、フィールドを空白のままにして VPN に接続するたびに iPhone がパスワードを入力するようにするかを選択できます。L2TP 接続には、システム管理者から提供される共有シークレットが必要です。[すべてのトラフィックを送信] を選択すると、iPhone はすべての接続を暗号化します。これは推奨される選択肢です。
「保存」をタップすると、VPN設定画面にプロファイルが表示されます。プロファイルをタップしてデフォルトとして選択します。
VPN設定画面のオン/オフスイッチでVPNを有効化できます。プロファイルが1つしかない場合は、メインの設定画面の「機内モード」と「Wi-Fi」の下にもこのスイッチがあります。プロファイルが複数ある場合は、「未接続」というメッセージが表示され、タップするとVPN設定画面が表示されます。
iPhoneはWi-Fi、2G、そして(新しいモデルでは)3Gを切り替えて使用するため、VPN接続にはローミングユーザーにとって重要な要素である継続性が依然として欠けています。複数の企業が、モバイルデバイスが常に安定したIPアドレスを維持できるようにするソフトウェアを開発しており、モバイルデバイス上のシンプルなクライアントネットワークソフトウェアとリモートサーバーを利用することで、ネットワークの種類を切り替えても接続を一定に保つという、許容できるネットワークトリックを駆使しています。私は2003年というかなり昔に、この実演を目にしました。
AppleもAT&Tも、このような技術に投資していません。そして前述の通り、サードパーティが不足部分を補うことは不可能です。VPNは一度有効化したら、ユーザーがオフにするまで管理する必要がないため、これは大きな欠陥です。iPhoneでは、ネットワークの切り替えが発生するたびにVPNが機能しなくなり、手動でオン/オフを切り替える必要があります。
基本的なWPA/WPA2エンタープライズ接続の設定ははるかに簡単です。この接続方法は、ポートベースのアクセス制御プロトコルである802.1Xの一種です。簡単に言うと、802.1Xを使用すると、ユーザーが本人確認を行うまで、Wi-Fiアクセスポイント自体が接続されているネットワークにアクセスすることなく、Wi-Fiアクセスポイントに接続できます。本人確認が完了すると、ネットワークから固有の暗号化キーマテリアル(Wi-Fiアダプタに必要な様々なキーに分解されたキー)が割り当てられます。802.1Xネットワークでは、2人のユーザーが互いのトラフィックを盗聴することができないため、セキュリティも向上します。
Appleは賢明にも、WPA EnterpriseまたはWPA2 Enterpriseと呼ばれる最新の802.1Xのサポートを提供しています。従来のWEP(Wired Equivalent Privacy)暗号化規格は機能不全に陥っており、802.1Xと組み合わせて使用している企業はほとんどありません。代わりに、WPA(Wi-Fi Protected Access)またはWPA2が使用されています。WPAには強力な暗号化キー規格が1つ組み込まれており、WPA2には政府機関向けのオプションも用意されています。
WPA/WPA2接続を設定するには、該当するネットワークに接続するか、自分でネットワークを設定する必要があります。Periodik Labsのソフトウェアは、小規模企業がWPA/WPA Enterpriseサービスを追加するための手頃な手段であり、ほぼすべての個人向けまたは法人向けWi-Fiルーターで動作します。
iPhoneには、通常のWi-Fiネットワーク接続ツールに加え、基本的なWPA/WPA2エンタープライズ接続設定があります。ホーム画面から「設定」をタップし、「Wi-Fi」をタップします。表示されるネットワークリストから、この方法で保護されているネットワークを選択するか、「その他」をタップしてネットワークプロファイルを作成します。
iPhoneは802.1Xで保護されたネットワークに接続していることを認識し、適切なフィールドを表示します。「その他」をタップした場合は、「名前」フィールドにネットワーク名を入力し、「セキュリティ」フィールドをタップして「WPAエンタープライズ」または「WPA2エンタープライズ」を選択します。その後、左上の「その他のネットワーク」をタップしてプロファイル設定に戻ります。いずれかのオプションを選択すると、ユーザー名とパスワードのフィールドが表示されるので、802.1Xログイン情報を入力します。
現在、多くの企業ネットワークでは、この画面で提供される802.1Xログインよりも高度なセキュリティが求められる可能性があります。これは、初期のiPhone 2.0ユーザーの一部を困惑させました。Appleはより高度な802.1Xサポートを約束していたにもかかわらず、この画面ではそのサポートが示されていないためです。そのため、Appleの無料プログラムであるiPhone構成ユーティリティを使用する必要があります。このプログラムには、追加オプションに加え、企業内のiPhoneを一括設定するためのツールも含まれています。
iPhone構成プロファイルを作成する
iPhone構成ユーティリティをダウンロードしてください。OS X 10.5が必要です。Windows XP/VistaおよびOS X 10.5向けのWeb 2.0アプリケーションも提供されていますが、機能は若干劣ります。
このユーティリティを使えば、iPhone用のプロファイルを作成できます。プロファイルには、メールやMicrosoft Exchangeのネットワーク接続、デバイスセキュリティ(パスコードの要求やパスコードポリシーの設定など)、Wi-FiおよびVPN接続のネットワークセキュリティプロファイルなど、重要な詳細情報がすべて含まれています。また、企業で広く使用されているデジタル証明書の配布も可能です。デジタル証明書は、デバイスが正規のネットワークシステムにのみ接続することを保証するものであり、802.1X接続のセキュリティ確保において重要な要素です。(iPhone構成ユーティリティは、社内向けに開発されたiPhoneアプリケーションの配布に関連するタスクも処理します。)
Wi-Fiタブには、セキュリティ保護の有無を問わず、あらゆる種類のWi-Fiネットワークのプロファイルを配布するために必要なすべての詳細が含まれています。右側(設定タブの列の下)にある、やや控えめなプラスとマイナスのボタンを使って、Wi-Fiプロファイルを追加または削除できます。
企業は、802.1X認証サーバーの信頼性を確認するために証明書を使用しています。Wi-Fi接続の設定を始める前に、ネットワークで使用されている証明書をすべて収集し、「資格情報」タブをクリックしてそれらの証明書を選択することをお勧めします。これにより、構成プロファイルの他の部分でそれらの証明書が利用できるようになります。
次に、次の手順に従います。
- Wi-Fiタブをクリックします。
- [構成]ボタンをクリックします。
- サービス セット識別子 (SSID) にネットワーク名を入力します。これは、802.11 プロトコルのネットワーク名です。
- 「セキュリティの種類」から「WPA/WPA2 エンタープライズ」を選択します。(WEP、WPA、WPA2 を含む「WEP エンタープライズ」または「任意のエンタープライズ」を使用することは可能ですが、あまり考えられません。)
「エンタープライズ設定」の下に 3 つのタブが表示されます。
- プロトコル:802.1Xは安全なプロトコルではありません。アクセスを希望するデバイスとアクセスポイント間の通信には、PPPの汎用版とも言えるEAP(Encapsulated Authentication Protocol)が使用されます。EAPは複数の方法のいずれかで保護されます。ネットワーク管理者はどの方法が使用されているかを把握できます。最も一般的な方法はPEAP(Protected EAP)です。
- 認証:プロトコルで選択したEAP方式に応じて、対応する詳細情報をここに入力します。EAP-TLSの場合は固有の個人証明書が必要となるため、資格情報でその証明書をインストールし、例えばここで「ID証明書」から選択します。
- 信頼:通信先のサーバーは、すべてのEAP方式に対して証明書を送信します。このタブで、必要な公開証明書と証明書に記載されている名前をインストールすることで、iPhoneは確立された接続の整合性と有効性を完全に信頼できるようになります。
タブ内に「保存」ボタンは必要ありません。「ファイル」→「保存」で構成プロファイルの現在の状態が保存されます。「詳細設定」タブの右下中央にあるプラス(+)ボタンをタップすると、複数のWi-Fiプロファイルを追加できます。
VPN プロファイルの設定でも同じことができますが、これは 802.1X とは異なり、iPhone 上の設定はユーティリティと同じであるため、ユーザーが自分で詳細を入力する手間を省くためです。
「概要」タブに必要な名前を入力するなど、追加の詳細を設定したら、iPhoneで使用できるようにプロファイルをエクスポートまたはメールで送信する必要があります。これには少し注意が必要です。構成プロファイルにはパスワードは含まれていませんが、VPN共有シークレットが平文で保存されている可能性があります。Appleはエンタープライズ構成ガイドで、これらのプロファイルは暗号化されておらず、単に隠蔽されているだけであると警告しています。ベストプラクティスとしては、ユーザーがプロファイルをダウンロードできるのは、SSL/TLSで保護されたサーバーからのみとし、サーバーへのアクセスにはユーザー名とパスワードの入力が求められるようにすることをお勧めします。
テストでは、構成プロファイルを自分宛にメールで送信し、メールアプリで添付ファイルとしてそのプロファイルを選択しました。プロファイルに関する画面が表示され、iPhoneに追加したい場合は「インストール」ボタンが表示されました。「詳細」をタップすると、作成した2つのWi-Fiプロファイルが表示されました。「インストール」をタップした後、署名済みのプロファイルではないという警告が表示され、「今すぐインストール」をタップして続行しました。
iPhoneは、私が作成した2つのWi-Fiプロファイルに関連付けられたパスワードの入力を促しました。入力すると、リストのほぼ下部にある「プロファイル」という新しい設定項目にプロファイルが表示されます。そこからプロファイルを選択し、「削除」ボタンをタップしてアンインストールできます。
新しく、改良されたが、成長の余地あり
Appleは最新のiPhoneで、ネットワークセキュリティと設定オプションを確かに大幅に強化しました。しかし、まだ改善の余地があります。ローミング中でもネットワーク間でVPNアクセスを継続的に提供するためのより良い方法を検討する必要があります。また、完全なリモート管理のためにエクスポートオプションを使用せずに、エンタープライズプロファイルのインストールを一元化する必要があります。
ただし、iPhone アクティビティがプライベートかつ機密であり、IT マネージャーの承認を受けていることを確認するのは、7 月初めに比べるとはるかに簡単になりました。
[ Glenn Fleishman氏は、自身のサイト「Wi-Fi Networking News」でワイヤレスネットワークに関する記事を毎日執筆しています。また、PC Worldで「Glenn Fleishman on Hardware」ブログも運営しています。 ]
