認証基盤を強化する基本的な4つの方法

みなさんこんにちは。長谷川まりです。

ITの活用がクラウドにも広がり、セキュリティ対策を施すべき境界が複雑になってくると、ITのリソースを利用するユーザーの認証基盤の強化がより重要になってきます。今回は、4つの基本的な認証基盤の強化方法をご紹介します。

認証基盤とは

認証基盤とは、ITのリソースを利用するユーザーの認証セキュリティを担保する仕組み全般を指します。組織内外の壁を越えて、データの共有や活用が頻繁に行われるようになった今、これまでの境界防御の考え方から、適切な本人認証に軸を置いたセキュリティ対策が見直されるようになってきました。

企業の認証基盤には、大きく2つあると考えることができます。ユーザーに認証の仕組みを提供するシステムと、その元となるID情報を管理するシステムです。IDを軸として、ユーザーと管理者、両者にとっての利便性向上とセキュリティ強化を両立させていくことが、認証基盤強化の目的です。

認証基盤を強化する基本的な4つの方法

認証基盤を強化するには、まず、ユーザーに認証の仕組みを提供するシステムを、従来の「ID」と「パスワード」よりももっと破られにくくしたり、便利にしたりする方法が考えられます。具体的には「多要素認証」や「シングルサインオン（SSO）」です。そして、それらのユーザーID情報のライフサイクルを管理するのが「統合ID管理」です。統合ID管理は、管理者サイドにとっての効率化や、ヒューマンエラー防止によるセキュリティ強化の側面が強くなります。またID情報は、正しい人事情報などとのマッチングが定期的に行われないといけませんので、「ID棚卸」も必要となります。以下に1つずつ見てみましょう。

1．多要素認証

多要素認証とは文字通り、2種類以上の要素で本人確認を厳格にする方法です。ID、パスワードに加えワンタイム・パスワードで認証を行ったり、スマートデバイスを利用して二経路で認証を行う方法です。不正アクセスやなりすましといった悪意あるログインを強力に排除できるので、シングルサインオンを採用する場合に求められる認証強化策として利用されるケースも多くあります。

2．シングルサインオン（SSO）

シングルサインオンは、ユーザーが1度の認証で複数の異なるアプリケーション、システムが利用できる便利な方法です。パスワードを覚えきれずメモ書きしたら流出した、などのよくある事故を防げるほか、管理者にも、パスワード問い合わせ対応負荷が減るといったメリットがあります。シングルサインオンのシステムには、Webシステムからクライアント・サーバシステム、オンプレミスからクラウドまで、幅広い環境に対応できることが求められます。

3．統合ID管理

統合ID管理は、組織における人事イベントで発生する、様々なID情報の変化（新規作成、更新、削除）を自動的に取り込み、一元的に管理して、各種システムへ配信する仕組みです。IDがシステム個別に管理されている状況では管理者の負荷が高く、本来あってはならないIDが残り、知らないうちに不正利用されてしまう恐れがあるためです。人とIDのライフサイクル管理を連動させ、管理負荷を大幅に軽減する効果が期待できます。

4．IDの棚卸の自動化

ID棚卸は、不正作成や削除漏れ、休眠IDなど、意図しないID情報がシステムに残っていないかを確認する作業で、これが定期的に実施できているかどうかは、監査での指摘事項にもなります。対象となるシステムや源泉システムからID情報を収集し、突き合せ、不正なIDが残っていないかを確認する作業ですが、これを定期的に、確実に行うには負荷が高いため、自動化が求められます。