Per-App VPNとは、アプリごとにVPN通信の使用を許可する機能です。
iOSをはじめWindows 10やAndroidといったスマホやタブレット(以下、総称して「モバイルデバイス」と言います)向けのOSでサポートされています。

旧来のVPNは、モバイルデバイスとサーバ間の通信が基本的にすべてVPNを通過するため、モバイルデバイスに悪意のあるアプリがインストールされてしまうと、企業ネットワークに侵入されてしまうリスクがありました。

Per-App VPNを使うと、システム管理者が指定したアプリだけがVPNでの通信が許可されるため、上記のリスクを大幅に軽減できるのがメリットです。

Per-App VPNの必要性は、BYODの普及とともに高まっています。
個人所有のモバイルデバイスにインストールされるアプリを、システム管理者が完全にコントロールすることは、現実的に不可能だからです。

Per-App VPNの認証

Per-App VPNが有効に設定されたアプリを起動すると、自動でVPNに接続されます。
ユーザはVPN接続操作をする必要はありませんが、VPNの認証で毎度パスワード入力を求められるようでは、かえって不便になってしまいます。

そのため、モバイルデバイスに電子証明書をインポートし、VPNの認証に利用することでシームレスに接続をおこなえるようにします。
また、それにより証明書がインポートされていない端末、すなわちVPNの利用権限が与えられていないモバイルデバイスからの、VPN接続を防止することにもなります。

ただし、これだけではモバイルデバイスが盗難にあったり、紛失して誰かに拾われた場合など、システム管理者が許容しない人による企業ネットワークへのアクセスが実行できてしまいます。
そのため、モバイルデバイスの保護パスコードを必須にするといったポリシー設定も同時に必要となるでしょう。

EMMあるいはMDMと呼ばれるモバイルデバイスの管理システムを使って、イントラネットにアクセスするすべてのモバイルデバイスに対して上記の設定を適用すれば、セキュリティを強化しながらユーザ操作を減らすことができ、イントラネットの利用率の向上が期待できます。

Per-App VPNの構成例

Per-App VPNは以下の要素によって構成されます。

  • EMM/MDM
  • VPNゲートウェイ
  • 認証局(CA)
  • モバイルデバイス
  • Per-App VPN対象アプリ
  • Per-App VPN対象アプリと通信をするサーバ

VPNゲートウェイとしてF5ネットワークス社のBIG-IP APM、EMMにVMware社のWorkspace ONE UEM(旧AirWatch)、モバイルデバイスにApple iPad、Per-App VPN対象アプリにVMware Browser、そして認証局に弊社のGléasを使う場合の構成図です。

あらかじめWorkspace ONE UEMとGléasの連携設定をおこないます。参考PDF

①モバイルデバイスがEMM管理下になると ②EMMはGléasに証明書発行を要求し ③GléasはEMMに証明書を返します。
④EMMは証明書、Per-App VPN対象アプリ、Per-App VPN設定、パスコード強制などの機能制限をモバイルデバイスに送信します。
⑤モバイルデバイスでPer-App VPN対象アプリとなるVMware Browserを起動すると、自動的にVPN接続が開始され、証明書による認証を経てイントラサーバへのアクセスが許可されます。

イントラサーバにアクセスできるのはVMware Browserだけとなり、Safariなどの他のブラウザアプリではアクセスできません。

VMware Browserは、セキュアブラウザと呼ばれる、コンテンツのコピーやダウンロード、スクリーンショットなどの可否をシステム管理者がコントロール可能なタイプのブラウザです。
Per-App VPNの対象アプリとして設定することで、イントラネットの情報漏えい対策となります。

この構成例の設定手順PDF(2.3MB) もあわせてご参照ください。

Workspace ONE、MobileIron、BizMobile Go!、BlackBerryなど、主要なEMM/MDMでPer-App VPNはサポートされています。
また、Per-App VPN対象アプリは、App StoreにあるiOS公式アプリだけでなく、独自開発の社内アプリ(In-Houseアプリ)でも設定をすることができるので、Per-App VPNの活用の幅は今後もっと広がっていくと予想しています。