Chromebookを活用した二要素認証で
セキュリティ対策を強化
Chromebookはセキュリティが強固な端末だと形容されている。確かに、セキュリティ対策のパッチがほかのOSよりも早く適応され、端末にアプリケーションやデータを保存せずに利用できる点からも、WindowsやMacよりも安全性は高い。しかし、この数年で増大したサイバー攻撃によるセキュリティ被害を完全に食い止められるかといえば、Chromebookだけでは解決できない課題もある。特に、ニュースで報道されているランサムウェア被害の多くは、コロナ禍によって拡大したVPN(仮想プライベートネットワーク)を狙った攻撃が多い。こうした被害を食い止める対策として、「サイバートラスト デバイスID」に代表される強固な認証方式の導入が注目されている。
セキュリティ対策の落とし穴に注意
Chromebookとクラウド型オフィススイート「Google Workspace」だけを利用して、日々の業務がこなせれば、それはある意味でゼロトラストなセキュリティモデルの構築になる。GoogleのサービスにアクセスするChromebookのユーザーをGoogleの管理コンソールを使って、厳格にマネジメントすることで、不正なアクセスをほぼ完璧に防御できる。しかし、こうした理想的なモデルは、まだ絵に描いた餅でしかない。現実には、Google Workspace以外のクラウドサービスを利用する機会の方が多い。WordやExcelなどのアプリケーションに依存している業務も一般的だ。それに加えて、コロナ禍によるテレワークを推進するためにVPNの利用も加速した。
こうした背景から、この2年でクラウドサービスやVPNを狙ったサイバー攻撃による被害が増大している。中でも、記憶に新しいのは病院を狙ったランサムウェア攻撃による診療停止という深刻な被害だ。その攻撃は、院内ネットワークと外部のインターネットを結んでいるUTM(統合脅威管理)機器の脆弱性を狙っていた。UTMは、ファイアウォールやアンチウイルス、不正侵入検知防御(IPS/IDS)、Webフィルタリング、そしてVPNなど複数のセキュリティ機能を統合したアプライアンス製品だ。外部からの侵入を防ぐ強固なセキュリティ対策ではあるが、UTMで提供されるVPN機能は、IDとパスワードのみが基本となっている。そのため、IDとパスワードをハッキングする高度な手法を駆使されると、容易に破られてしまう危険性が高い。
このような脅威は、UTMにVPNを設定しているあらゆるネットワーク環境に潜んでいる。そして、その脅威はChromebookを導入しただけでは解決できない。そこで注目されているのが、二要素認証というIDとパスワードに追加するセキュリティ対策だ。
二要素認証で強固な安全性を確保
二要素認証とは、その名称が示すように、二つの要素を用いた認証技術である。IDとパスワードが一つ目の要素となり、それに加えて指
紋や顔、ワンタイムパスワードなど、もう一つの認証要素を追加して、ログインの安全性を確保する。オンラインバンキングなどを活用しているユーザーならば、決済時にスマートフォンのショートメッセージやアプリケーションで、ワンタイムの認証番号を入力した経験があるはずだ。また、GoogleやYahoo!などのアカウントのログインセキュリティでも、希望すればスマートフォンと連動した二要素認証によるユーザー確認が利用できる。IDとパスワードに二要素認証を加える取り組みは、利用者の安全性を確保する上で、重要な対策となっている。
一方の企業内ネットワークでは、これまでは社員の「在席」がある種の二要素認証になっていた。社員が貸与された端末で社内ネットワークにアクセスしていれば、IDとパスワードだけでも利用者の確認は十分だった。ところが、テレワークによるVPN接続では、「誰が」「どこから」「何でアクセスしているのか」をIDとパスワードだけでは判別できなくなった。そこで、二要素認証の導入が叫ばれているのだが、その導入にはいくつかの高いハードルがある。GoogleやYahoo!のようにスマートフォンと連動した二要素認証を実現するためには、認証サービスの契約に加えて、APIを利用した社内システムの改修が必要になるからだ。適応させる範囲によっては、大規模な改修だ。
もう少し現実的な対応として、ログインに生体認証を組み合わせる方法もあるが、VPN接続での適応が難しい。指紋や顔を認証する機器も、スマートフォンに頼るのか、個別に用意するのか、対応が悩ましくなる。小規模な事業者では、機器とソリューションを導入するのも難しい。こうした背景から、二要素認証の有効性は分かっていても、導入に踏み切れない企業が多い。この悩みは、Chromebookの導入だけでは解決できない。そこで注目されているのが、二つ目の認証要素をデバイスそのものに割り当てる認証技術だ。それを提供するのが、サイバートラストの「サイバートラスト デバイスID」(以下、デバイスID)である。
デバイスそのものを認証要素に
デバイスIDは、証明書による認証IDを固有のデバイスに配布する電子証明書発行サービスである。つまり、個々の端末に配布するデバイスIDという電子証明書を活用して、Chromebookそのものを二要素認証の対象にする仕組みだ。このサービスは、電子証明書とクライアント認証技術を利用した電子認証で、情報セキュリティ対策の中でも、高度な信頼性を担保する技術になる。サイバートラストから発行されるデバイスIDという電子証明書は、同社の電子認証局により、その一意性が厳密に証明される。
そのデバイスIDをChromebookなどの個々の端末に配布することで、VPNへのログインにおける二要素認証として利用できる。端末そのものが二要素認証の対象となれば、その端末を配布されたユーザーは安全なVPN接続の確保が可能だ。実際に導入する際には、サイバートラストが提供しているChromebook用のアプリケーションをGoogle管理コンソールから配布し、そのアプリケーションに契約したデバイスIDを端末のシリアル番号とひも付けて登録すればいい。そして、VPN側でデバイスIDを認証するための設定を追加する。これだけで、安全性の高い二要素認証を実現できる。もちろん、デバイスIDはVPN以外でも活用が可能だ。
電子証明書というと期限切れによる接続解除の心配がある。サイバートラストでは、そうしたトラブルが発生しないように、デバイスIDの有効期限が切れる数カ月前に、販売代理店を経由して更新の通知を行っている。そのため、期限切れになる心配はない。もちろん、デバイスIDは、Chromebook以外のOSやスマートフォンにも対応しているので、企業で利用しているあらゆる端末の安全性にも貢献できる。Chromebookの提案と併せて、サイバートラストのデバイスIDも推奨すれば、既存のPCも全て二要素認証で保護が可能だ。