Special Feature 2
ニューノーマル時代のパスワード管理
GIGAスクール構想で1人1台の端末環境が整備された。そこでいま、改めてその価値が問い直されているのが、これまで情報教育を行う場であった「PC教室」の存在だ。一部自治体や学校ではこのPC教室が撤廃される動きもあるが、このPC教室を生まれ変わらせることによって、これからの子供たちに必要なSTEAM教育の拠点になり得る。今回はその新たな教育拠点をインテルが提唱する「STEAM Lab」と定義し、実際の活用事例を含めて紹介していく。
認証基盤を強化して多様なサービスへのSSOを実現
複数のクラウドサービスを業務で利用している従業員は少なくない。それらに個別のIDとパスワードを設定している場合、都度サインオンする手間が発生して業務効率が低下してしまう。その手間を少しでも解消するため、パスワードを使い回してしまうケースもあり、セキュリティホールともなり得る。それを解消するツールとして最適なのが、SSOだ。しかしSSO単体ではセキュリティ強化にはつながらない。必要なのは、認証基盤の強化とSSOの組み合わせだ。
SSO(シングルサインオン)
シングルとサインオンを組み合わせた造語で、1度のユーザー認証によって複数の業務アプリケーションやクラウドサービスなどにサインオンできる仕組み。
CloudGate UNO
アクセス制限とSSOを同時に実施
企業のビジョンとして「安全かつ便利な認証を」(Secure yet easy to use authentication)を掲げるインターナショナルシステムリサーチ。その同社が提供する「CloudGate UNO」は、2021年7月にゼロトラストモデルSSOを採用した認証基盤へ生まれ変わった。背景には、近年のテレワークの広がりがある。
「今までの認証セキュリティの常識は、守るべき情報資産はファイアウォールの内部にあり、脅威は外側にあるという『境界型セキュリティ』でした。クラウドサービスへのアクセスもパスワードで認証することがスタンダードでしたが、セキュリティ対策が不十分なままテレワークをスタートした会社もあり、その中でパスワードが窃取され不正アクセスされてしまうケースが出てきています」と語るのは、インターナショナルシステムリサーチのラウル メンデス氏。同社では、コロナ禍以前からパスワードのみの認証へのリスクを感じ、“全てを信用しない”「ゼロトラスト」の考えに基づいた新しいCloudGate UNOをリリースしたのだ。
CloudGate UNOでは、ユーザーがより安全にクラウドサービスを利用できるよう、ゼロトラストモデルのSSO機能を採用している。クラウドサービスへのアクセスは、アクセスの度に毎回サービスに割り当てられているアクセス制限や認証要素を確認して行う。
また、CloudGate UNOでは安全で便利なサインオンを実現するため、Who、What、When、Where、Howの4W1Hを軸にしたアクセス制限や強固な認証を行っている。
例えばWho(誰)では、生体認証やFIDO2認証といったユーザー認証に対応している。IDとパスワードの知識情報だけに頼らない、強固な認証を実現し、パスワードレスによる多要素認証を可能にする。
What(何)では、Cookieやクライアント証明書による端末制限を実現する。サービスへのサインオンを許可する端末を管理することで、セキュアな運用を可能にする。
When(いつ)では、時間帯(曜日、時間)を指定してのセキュリティ制限に対応する。
Where(どこ)では、IPアドレスや国によるアクセス制御に対応している。複数の IP 指定やレンジでの指定にも対応し、柔軟なアクセス制限が可能だ。また、前述した時間帯のセキュリティ制限と組み合わせることで、普段国内で働いている従業員のアカウントに、深夜国外からアクセスがあった場合、サイバー攻撃者によるアクセスである可能性が高いため、アクセス制限によってブロックできる。
How(どのように)は、多様なユーザー認証の手段だ。無償のOTP(ワンタイムパスワード)生成アプリによる多要素認証や、スマートフォンによる生体認証、FIDO2仕様に準拠したデバイスを利用した認証機能などを用意している。
「これらの設定をプロファイルの1画面で見て設定できるのもCloudGate UNOの良さです。多要素認証の教育サービスの提供もスタートしており、企業にMFAによる認証を広げています。そこで最短5営業日でテレワーク環境を提供でき、パスワードレス認証でセキュリティを向上できるCloudGate UNOを是非選んでもらえたら嬉しいですね」とインターナショナルシステムリサーチの柴田一人氏は締めくくった。
PassLogic
ハードウェアトークンレスの認証強化
「コロナ禍で多くの企業が突貫でテレワーク環境を整えました。しかし、突貫で整えられた故に認証が強化されておらず、サイバー攻撃者が侵入する隙も生み出してしまいました」と語るのは、パスロジの山口 海氏。特に、これまでテレワークなどに取り組んでこなかった企業が、テレワーク実施に伴い既存の境界型セキュリティで運用していた社内システムの入り口を開放してしまい、そこがセキュリティホールになっているという。「必要なのは、認証の強化です。認証の強化がされていないユーザーは家のドアの施錠にいまだに南京錠を使っているようなものです。そこに泥棒が来たら、オートロックの家よりも南京錠の家を狙いますよね? パスワードだけで対策している企業は、そういった隙があり、サイバー攻撃者に狙われやすくなるのです」と山口氏は続ける。
パスワードの使い回しの防止や、複数のクラウドサービスのパスワードを管理するにはSSOが有効だ。しかし、その前に認証の強化が必要だと山口氏は指摘する。
パスロジが提供する「PassLogic」は、そうしたユーザーIDのセキュリティと運用を支援する認証プラットフォームだ。
「ITシステムにアクセスする際の認証強化というと、まず思い浮かぶのはハードウェアトークンを利用したワンタイムパスワードでしょう。しかし、認証強化のためにハードウェアトークンを従業員数分導入するのはハードルが高く、管理コストもかかります。そこで当社が提案するのが、専用デバイス不要でワンタイムパスワード認証を可能にするPassLogicの『トークンレス・ワンタイムパスワード』です」とパスロジの阿部寛之氏。
トークンレス・ワンタイムパスワードは、ビンゴカードのような数字が並んだ「乱数表」と呼ばれる画面から、ワンタイムパスワードを抜き出して入力する。ユーザー自身が「どのマス目から」「どの順番で」数字を抜き出すかを決めておき、その「パターン」設定をもとに乱数表の位置と順番に沿って番号を取得する。それがログイン用のワンタイムパスワードとなる。この乱数表はログインの度に異なる数列にシャッフルされるため、入力する数字も毎回異なる。
阿部氏は「このハードウェアトークンレスで使えるPassLogicの認証は、特にテレワーク環境の認証強化にお薦めです。認証のためのデバイス購入が必要ないため、急なテレワークユーザーの増加にも柔軟に対応できます。一方で、ハードウェアトークンによる認証を希望するユーザー企業もいるため、ハードウェアトークンへの対応や、スマートフォンアプリを活用したソフトウェアトークンの発行にも対応しています。クライアント証明書などと組み合わせた多要素認証によって、さらに認証を強化できます」と語る。
一方で、パスロジでは「多要素認証が認証システムの最終的な解決策だとは思っていない」とも山口氏は話す。
「多要素認証は認証を強化する半面、ユーザーへの負荷が高まります。当社では一要素でもサイバー攻撃者に突破されない仕組みを現在研究しており、多要素認証の次を見据えた認証システムの開発を進めています」と力強く語った。
Soliton OneGate
ネイティブアプリにもSSO対応
「当社が実施した漏えいアカウント被害調査の内、全体の99.9%の企業や団体で、従業員のパスワードを含むアカウント漏えいが確認されています」と衝撃の数字を口にしたのは、ソリトンシステムズの佐野誠治氏。ソリトンシステムズではハッキング事件によってインターネット上に流出したオンラインサービスのアカウント情報などを調査する「漏洩アカウント被害調査サービス」を提供しており、その調査に基づいた数字だ。ハッキングされたのが脆弱なオンラインサービスであれば、弱い暗号強度や平文のパスワードが漏えいしているケースもある。Webブラウザーなどにキャッシュされた認証情報を窃取するマルウェアも流行しており、日常的な端末利用の中にパスワード漏えいのリスクが潜んでいる。これらの漏えいアカウントはパスワードリスト攻撃に活用され、ID、パスワードのみの認証であればクラウドや社内の業務システムが不正アクセスされてしまう。
こうした状況にソリトンシステムズが提案するのが、デジタル証明書やFIDO2認証、スマートフォン認証などを組み合わせて多要素認証を実現する「Soliton OneGate」(以下、OneGate)だ。SASEやSAML対応クラウドサービスにアクセスする場合、OneGateを介してデジタル証明書を組み合わせた多要素認証で相互認証を実施することで、信用情報をクラウドサービス側に発行する。デジタル証明書による認証を必須することで、正規の証明書を持たない攻撃者はログイン画面にたどり着けないため、前述のパスワードリスト攻撃対策に有効だ。
ソリトンシステムズの加藤桂一氏は「管理者による証明書の運用はシンプルで、ユーザー情報の個別登録のほか、Active Directory(以下、AD)連携によってユーザーを自動登録し、招待コードをメール送付するような配付も可能です。ユーザーは証明書取得アプリを利用し、招待コードとADアカウントとパスワードを使って証明書を取得できます。IT管理者の負担を抑えながら、セキュアな運用をスタートできます」と話す。
SAML非対応の社内システムもパスワードレス化が実現できる。代行認証アプリとして「PasswordManager」を提供しており、OneGateで行った多要素認証によって、クラウドや社内の各業務システムのログイン情報を代行送出する。「このPasswordManagerはiOS、Androidのネイティブアプリにも対応しており、スマートフォンに標準搭載されたパスワード管理ツールのような代行入力サインオンを、証明書認証と組み合わせて実現できます。このネイティブアプリへの証明書認証+代行入力サインオンは当社だけの独自方式で利便性の高さが評価されています」と加藤氏は語る。
また2022年1月にリリースされた新バージョンでは、ユーザー自身がPasswordManagerを活用し、アプリケーションのSSO設定を登録できる機能も搭載するなど、さらに利便性を高めるアップデートも実施している。
日本企業・組織のニーズに応える認証機能を提供し続けるソリトンシステムズは、これからも企業にセキュリティ対策ニーズに対応しながら、アップデートを続けていく。
SAML認証
「Security Assertion Markup Language」の略称であり、SSOを実現する手段するための規格。ユーザーは認証サーバーにサインオンするだけで、SAMLに対応しているクラウドサービスなどを利用できるようになる。
Cisco Secure Access by Duo
独自の端末認証でBYOD端末もセキュアに
増加するセキュリティ脅威について、シスコシステムズの石原洋平氏は「ベライゾンジャパンの調査によると、2021年度のデータ侵害被害のおよそ61%が認証情報データへのアクセスに関係しているという結果が出ています。その原因として考えられるのが、企業システムに脆弱なパスワードを利用していたり、既存のパスワードを使い回しているような管理の問題です。パスワードへの依存を減らして、リスクを低減する対策が多くの企業で求められているのです」と語る。
そうした認証の強化に、同社が提案しているのが「Cisco Secure Access by Duo」(以下、Duo)だ。知識単体のパスワード認証に依存しない多要素認証に対応しており、パスワード漏えいによる不正アクセスを防御する。
Duoではパスワードのような知識情報のほか、ハードウェアトークンのような所有情報、指紋や顔のような生態情報を組み合わせて認証を行う。所有情報ではスマートフォンへのプッシュ通知による認証などにも対応しており、多要素認証によりたとえパスワードが漏えいしても不正アクセスを防止できる点がポイントだ。
SSOにも対応する。前述した多要素認証でサインインしたダッシュボード画面から、多数のクラウドサービスにアクセス可能だ。ユーザーエクスペリエンスの向上が期待できる。
また、これらにアクセスするデバイスの信頼性評価も行える。「認証はあくまで、サインインするユーザーが本人であるかをチェックするだけです。なりすましなどは多要素認証によって防げますが、デバイスにマルウェアが仕込まれている場合、そのデバイスを使ってクラウドサービスにアクセスすると、マルウェアが内部に侵入して増殖してしまいます。Duoでは、デバイスが真に信頼できるかをチェックする仕組みも備えています」とシスコシステムズの村上英樹氏。
Duoでは、検疫と独自のデバイス認証を組み合わせたデバイスの信頼性評価を行い、アクセス端末の管理を行っている。検疫では、認証時にデバイスのセキュリティ情報を取得し、信頼性の評価と検疫を実施する。OSのバージョンやWebブラウザーのバージョン、セキュリティソフトの動作なども検査し、アクセスするデバイスの安全性を評価する。デバイス認証では、認証時にデバイスのユニークなID情報を取得し、Duoに登録されたIDと一致すれば管理デバイスとして認識する。
「デバイス認証の手法として、デバイス証明書を用いた認証が一般的ですが、管理が煩雑であるなどのデメリットもあります。Duoは『Device Health Application』(DHA)をユーザーの端末にインストールすることで、デバイスのIDとともにその端末のセキュリティ情報を収集して認証します」と村上氏。
このDHAによる管理のメリットは、デバイス管理ツールの「Microsoft Intune」で管理されていない従業員個人の私物デバイスをBYODで使う場合も登録できる点だ。「証明書なしの環境でパスワードレス認証を実現できるニーズは非常に高いと認識しており、普及を狙っていきたいですね」と石原氏は展望した。
多要素認証(MFA)
パスワードやPINコードなどの「知識情報」、ハードウェアトークンやスマートフォンなどの「所持情報」、指紋や静脈、顔などの「生態情報」といった認証の3要素の内、二つ以上を組み合わせ認証することを指す。
SSOとプラスアルファの製品でセキュリティを強化する
増え続けるクラウドサービスの管理負担は、従業員ばかりでなくIT管理者にも重くのしかかっている。またセキュリティインシデントは、認証だけでなくメールなど外部からの侵入者によってもたらされるケースが多い。SSOにプラスアルファする製品の組み合わせによって、管理負担の軽減やセキュリティ強化につなげよう。
ゼロトラスト
従来の「安全な社内」と「信頼できない社外」を分け、社外からの侵入を防ぐことでセキュリティ上の安全を保つ「境界型セキュリティ」とは異なり、「全てを信頼しない」ことを前提に対策をするセキュリティの考え方を指す。
Keyspider × Keygateway
ID管理システムでクラウド管理を簡単に
2008年に創業したかもめエンジニアリングは、認証基盤の専門集団としてユーザー認証プロトコルRADIUSを活用したシステム構築や、オープンソースによる開発を中心としたクラウドサービスの展開を行ってきた。2022年2月10日からはオンプレミス型のアイデンティティ管理システムや、SSOシステム構築に強みを持つアクシオが、かもめエンジニアリングの全株式を取得したことで完全子会社化し、今後のゼロトラスト事業展開に向けて連携を強めている。
そのかもめエンジニアリングが以前から販売していたのが「Keyspider」だ。かもめエンジニアリングと共同で開発を行うKeyspiderが手掛けるID管理マネージドサービスで、Active Directory(AD)や、Azure AD、Microsoft 365、Salesforceなどのクラウドサービス、オンプレミスの社内システムと簡単にID連携ができる。
「コロナ禍によってテレワーク需要が大きく拡大しました。それに伴い増加したクラウドサービスの管理を行うため、注目されているのがKeyspiderです。Keyspiderは、企業内それぞれのシステムが抱えているユーザーIDやパスワード、組織や権限情報などを一元的に管理し、企業内の全てのシステムに同期できます」と語るのは、かもめエンジニアリングの潮村 剛氏。クラウドサービス利用に伴い増え続けるIDやパスワード管理をKeyspiderで一元管理することで、入社時や退社時の従業員のアカウント追加や削除作業を自動化でき、ITシステム管理者の運用負担を大幅に軽減できる。
Keyspiderによって、IDaaSで対応できないシステムへID情報を同期させることも可能だ。日本独自の人事制度にも対応しており、「人事異動発令日前後の日程でデータ同期する」といった細やかな設定も実現する。
Keyspiderは企業のIT管理者のID・権限情報の管理を効率化させる製品だが、かもめエンジニアリングが提供するSSO製品「KAMOME SSO」と組み合わせることで、従業員自身のID・パスワード管理も簡素化できる。また、かもめエンジニアリングではSAML非対応のオンプレミスシステムをプライベートSaaS化するソリューション「Keygateway」を提供しており、VPN環境を利用せずに、業務システムへのセキュアなリモートアクセスを実現できる。これまで統合認証に対応できなかった業務システムもセキュアにSSOが可能になり、リモートワークの利便性を大幅に向上できるのだ。
「Keyspiderは2019年頭ごろにリリースした製品ですが、日本企業の独自の商習慣に対応していることが評価され、2021年後半あたりから問い合わせが大きく増えています。ID管理はシステム管理の中で後回しにされがちな分野ですが、それだけに高い需要があります。また、Keygatewayは『代わりの製品がない』と高く評価されており、Webアプリでないクライアントサーバー型のアプリなどにも対応します。狙うべきはVPNの置き換えであり、新しい接続サービスの選択肢として多くの企業に知ってもらいたいですね」と潮村氏は語った。
HENNGE IDP Edition × HENNGE E-Mail Security Edition
IDaaSとメールセキュリティをセットで提供
クラウドサービスの利用が当たり前になった中で生まれたセキュリティホールが二つある。一つはログイン画面が共通で、パスワードが解析されればなりすましログインが可能なクラウドサービスの仕組み。二つ目は、PPAPを悪用したマルウェア攻撃の被害など、クラウドメールの送受信に潜むリスクだ。社外からでも簡単にアクセスできるため、顧客リストや機密情報の持ち出しや漏えいリスクも潜んでいる。
そうした二つのセキュリティホールに対してオールインワンでのセキュリティ対策を提供しているのが、HENNGEの「HENNGE One Suite」だ。各種クラウドサービスへのSSOと、セキュアなアクセスを実現するIDaaS「HENNGE IDP Edition」と、クラウドメールに対しての脱PPAP対策やメール監査、標的型攻撃対策を実現するクラウドメール統合セキュリティ基盤「HENNGE E-Mail Security Edition」をセットで提供している。
「SSOツールでよく懸念されるのが、一つのID・パスワードに複数のクラウドサービスがひも付くリスクです。当社のHENNGE IDP Editionでは、グローバルIP制御、デバイス証明書、プッシュ通知アプリ『HENNGE Lock』、Webブラウザー制御、セキュアブラウザーなどをAND/OR条件で組み合わせたアクセス制限を実現しています」とHENNGEの藤本京介氏。
HENNGE IDP Editionの代表的なアクセス制御モデルとして、脱パスワード、脱VPN、ゼロトラストセキュリティを実現する「デバイス証明書&プッシュ通知アプリ」の組み合わせを紹介した。これは社内外問わず、認証されたデバイスを使用しており、かつアプリに届いたプッシュ通知を認証することで二要素認証を行い、クラウドサービスにアクセスできる。同社の認証には生体認証が含まれていないが、これは「変更ができない情報が漏えいしたときのリスクが大きい」という考えに基づく。
HENNGE E-Mail Security Editionは、Exchange OnlineやGmailといったクラウドメールと連携し、脱PPAP対策、メール監査、標的型攻撃対策を実現するメールセキュリティソリューションだ。脱PPAP対策のため、新たにメール送信時の添付ファイルを自動的にURL化して送信する「Secure Download」も提供している。Secure Downloadでは発行されたURLとパスワードが合致しない限り、受信者はファイルのダウンロードができないため、従来のPPAPの代替として安全なデータのやりとりを実現できる。
HENNGEの川崎正治氏は、「Secure Downloadは2021年10月に新しく追加されたばかりの機能です。これからもエンドユーザーやパートナー企業などの声を元に、ニーズに応える新しい機能の構築を進めていきます」と意気込んだ。