- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
みなさんこんにちは。長谷川まりです。
クラウドシフトに親和性のある認証基盤として、IDaaSを検討されている方も多いかと思います。また認証に伴う課題の解決策として、シングルサインオンや多要素認証のほか、パスワードレスという選択肢が気になる方も多いのではないでしょうか。今回は、いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
|
認証の3要素 |
パスワードは大抵の場合、ユーザー自身が記憶し管理できる文字列を設定しますが、ユーザーが簡単なパスワードを設定してしまうと、ちょっとコンピュータを利用すれば、辞書攻撃や総当たり攻撃などで容易に推測できてしまいます。また、もしユーザーが複数のパスワードを使いまわしていれば、他で漏れたパスワードを流用したパスワードリスト攻撃やパスワードスプレー攻撃で、攻撃者に不正ログインされるリスクが高まります。
|
パスワード攻撃のイメージ |
このようなリスクは、オンプレミス中心のクローズドな環境がメインだった頃は、境界防御のセキュリティ対策で顕在化しにくいものでした。しかしクラウド利用が主流になりつつある今、ログインがインターネット上で可能となることで不正ログインもしやすくなり、あらゆるシステムの入り口となる本人確認がセキュリティ上、大きな意味を持つようになりました。
そこで本人を確認する認証の強化が必要となりますが、対策としてまず考えられるのが多要素認証です。多要素認証とは、認証の3要素(所持情報、記憶情報、生体情報)のうち、複数を組み合わせて認証を強化する方法です。ただしID、パスワードに加えて例えばワンタイムパスワードを入力するといった操作が必要になるので、ユーザーにとって負荷は上がります。また、パスワードを忘れないよう、簡単なパスワードを設定されたり、使いまわしをされたりするリスクは残ってしまいます。
そこでパスワードを排除し、なおかつより高いレベルで本人であることを証明できるパスワードレスが求められてきました。古くから各社、様々な方式を打ち出していましたが、企業が採用するには既存環境に与える影響も大きく、ハードルが高い状態が続いてきました。ただ最近では、FIDO2の仕様に基づいたパスワードレス認証の規格と、マイクロソフト社、アップル社といったOSベンダー側での対応方法が充実してきたことで、特に「yahoo!」などの一般コンシューマ向けサイトで現実的な利用が始まっています。事前に登録された機器と認証情報を連携することで、パスワード管理と入力が不要となるのです。
|
FIDOの概要 |
ただ、パスワードレスの企業利用が進むためには、既存環境への影響のほか、対応デバイスの導入や準備といったコスト課題も大きいと言えます。パスワードレスでは指紋認証やWindows Helloを利用した生体情報による認証、スマートフォン等の別デバイスに通知を送って対応を促すといった、所持情報による認証を利用します。これらのどのような情報を利用して本人確認を行うのかを整理するとともに、必要なデバイスを従業員に貸与し運用するための準備が必要となり、いきなりの全社導入というのはハードルが高そうです。
そこで将来的なパスワードレス化も見越した、今からできる現実的な認証強化策としては、多要素認証との併用が考えられます。例えば以下のように、ユーザーによって認証方法を分ける方法です。
2.は実際に導入が多い多要素認証パターンです。なぜ社給デバイスなのかというと、日本企業では業務端末を貸与するケースが多く、個人+「社給デバイス」の組み合わせで会社の資産内で保護領域をしっかり作りたい要望が強いためです。ユーザーはパスワードでのアクセスを行いますが、社給デバイスに限定することで、パスワード漏洩リスクが削減できます。このようなパスワードレスと多要素認証との併用は、DX推進を背景に、システムをセキュアにかつ効率的に利用したい企業にはお奨めの選択肢と言えます。
|
|
また、パスワードレス化を見据えた認証基盤としてはIDaaSの導入がお奨めです。基本的にシングルサインオン(SSO)ですべての認証の入り口を一つに統合し、そのSSOへのログイン部分で、パスワード以外の認証方式をスムーズに採用できるからです。選定には以下をポイントにすると良いと思います。
残念ながら会社支給のデバイスでも、ソフトウェアのアップデートが徹底されていない、OSのパッチが適用されていない、などのリスクがあります。セキュリティ対策が不十分な会社支給デバイスがマルウェア感染し、ネットワーク経由で社内リソースにマルウェア感染拡大…といったことが考えられます。デバイスの状態が果たして安全なのかも、認証の要素に加えたいところです。
これらのリスクを解消する現実解として、多要素認証としてのデバイス認証が選ばれています。多要素認証とは、少なくとも2種類以上の異なった要素で本人確認を行うことですが、一つ目の要素に従来のID、パスワード認証、二要素目に、上記リスクを解消するためのデバイス認証を組み合わせるのが良いでしょう。ではそれは、どのように実現できるのでしょうか。
そのほか、サービスを継続して安定的に利用するためには、以下の要素も見ておくと良いかもしれません。
アシストが取り扱っているOktaは、SAMLだけでなくOIDC、WS-Federationにも対応しており、アプリケーションとの連携テンプレートは7,300(2022年8月時点)を超える業界随一のIDaaSです。また、13の認証機器、18の認証要素をサポートしており、勿論パスワードレスでの認証も、7種類の方式を提供しています。Oktaは直近の認証強化も、将来的なパスワードレス化も、高いレベルで実現できる認証基盤となるはずです。
対応しているパスワードレス認証方式と実現の仕組みについては、以下の動画からぜひご覧ください。
以上のように、パスワードレスを見据えた認証強化と認証基盤についてご紹介しました。
パスワードレスはセキュリティの固定概念を変える大きな変革だと思います。この変革期を捉えた認証基盤の構築はチャンスとも言えます。方法はぜひアシストにご相談ください。これからのDX推進を見据えた様々な選択肢をご提案いたします。
記事でご紹介したOktaについては、下記製品ページから概要がつかめます。
全体像のほか、今回ご紹介したパスワードレス認証を含む機能別に、3分~5分程度の動画をどなたでもすぐに視聴できますので、ぜひご覧ください。
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
AWS、Azure、Googleなど、クラウドインフラを利用する企業が増えています。そこで今回はクラウドサービスの中でもシェアの高いAWSに注目し、安心してAWSを運用する秘策「特権ID管理」について、わかりやすく図を使って解説します!
