- 認証
- ID管理
生成AIの利用をもっとセキュアに!Oktaで実現するスマートな認証
Webサービス利用増加によって生じる認証情報管理の課題とその解決策、そして最近注目されている「生成AI」をセキュアに使う方法をご紹介します。
|
|
日本でも多くの企業で利用されているSalesforce。CRMとSFAを中心としたクラウドプラットフォームを提供しており、アシストでも営業メンバーを中心として大半の社員が利用しています。そのSalesforceから「MFAを必須化する」という発表が2021年3月15日に通達されました。
セキュリティを強化する為にMFAの機能をオプション提供するサービスは数多くありますが、「必須化」を明言し、MFA機能を無償提供する今回のSalesforceの対応は認証業界に衝撃を与えました。確かにSalesforceが取り扱う情報は、個人情報や経営情報など非常にセンシティブな情報ですので、これらの情報を守るためには当然の決断だったのかもしれません。
クラウドサービスの浸透に加え、新型コロナウィルスによるリモートワークの機会の増加は、セキュリティの世界にも大きな転機をもたらしています。このブログの関連サイトでも多数紹介していますが、「ゼロトラスト・セキュリティ」の考え方はクラウド時代のセキュリティの大前提になっています。ゼロトラストモデルの重要な要素として「認証・アクセス制御」がありますが、具体的な施策としてMFAが推奨されています。
|
|
また、MFA対応の動きは、世界規模で加速しており、具体的には2021年5月のバイデン米大統領による大統領令署名が挙げられます。「ゼロトラストネットワーク」や「多要素認証」の採用といったセキュリティ対策を推進する大統領令によって、米連邦政府の全政府機関システムはMFAシステムと暗号化の導入、サイバー対策に関するマニュアルの作成などが義務付けられました。
今後は民間企業にもMFAの波がやってくるでしょう。現にGoogle社は「Googleアカウントの二要素認証を自動的に有効化」すると公式ブログで発表しました。このような背景によって、SalesforceはMFAの必須化に踏み切ったのではないでしょうか。
MFAとは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する方式であり、設定した全ての要素をクリアしないとアクセスできない仕組みを提供します。リモートワークなどの新たな働き方に対応するため、各企業は様々な対応を余儀なくされました。セキュリティも過渡期であり、攻撃者は、この過渡期に便乗し、巧みな手段で攻撃をしかけてきます。不正アクセスの常套手段は、ID・パスワードの窃取であり、万一、情報を窃取された場合でも安全を担保できる仕組みがMFAとなります。
|
|
Salesforceでは、MFAの必須化に伴い「Salesforce Authenticator」というモバイルアプリケーションを無償で提供しています。このアプリケーションを2つ目の認証要素として利用することが可能になります。連携設定を実施すると、ID・パスワードによる認証後、「Salesforce Authenticator」に認証要求の通知が届きますので、モバイル側で「承認」をタップすればSalesforceにログインできる仕組みです。また、サードパーティの認証アプリケーションやセキュリティキーも利用可能です。有名なGoogle AuthenticatorやMicrosoft AuthenticatorといったOTPアプリやYubikeyなどの認証デバイスが利用可能ですので、既にこれらを利用している場合には、
Salesforce認証にも利用することが可能になります。他にも、フェデレーション方式のSSO(シングルサインオン)を利用することも可能です。OktaやAzure AD、オンプレミスIdP(Identity Provider)システムに対して、SAMLやOpen ID Connectといったフェデレーションプロトコルを利用して連携し、IdP側のMFAを利用して認証する形式となります。
一点注意しておきたい点は、Salesforceの2つ目の認証要素として、メール、SMS、電話が許可されていない点にあります。メールやSMSにるテキストメッセージと電話による通話は傍受される恐れがあるからです。
そのため、社用モバイル端末を貸与されていないユーザの2つ目の認証要素をどうするか?という課題をお持ちのお客様が多い印象です。
MFAの必要性は既に世界的な潮流であり、各アプリケーション、特にSaaSの世界では今後、Salesforceに追従してMFAが必須化されていくと思われます。MFAを必須化するアプリが増えると、個別に対応していくことが難しくなります。なぜ難しいのか、以下のような理由が考えられます。
これらの問題は、MFAを個別に適用することによって発生します。そこで、来るべきMFA必須化時代に備えるために、MFAを基盤として整備していく必要性があると言えるのではないでしょうか。
「MFAを基盤として整備していく」というのは、MFAによる認証を1ヵ所にまとめ、認証されて始めて、あらゆるアプリケーションへのアクセスを許可する仕組みを構築するということです。MFAの機能だけではなく、認証後に許可されたアプリケーションへのアクセスを安全な通信で接続可能とするSSOの機能も並行して利用する必要があります。つまり、MFAとSSOをSaaSサービスに提供できる仕組み=IDaaSを利用することがMFA必須時代の最適解と言えます。
|
|
なお、認証後に各SaaSへの認証許可、アクセス制御を実現するにはSAMLやOpenID Connect(OIDC) というフェデレーション用のプロトコルを利用します。
そのため、SAMLだけでなくOIDCにも対応しているIDaaSを選択することを推奨します。
また、IDaaSには、各SaaSとの連携を容易とする事前定義済のテンプレートが用意されていることが多いのですが、準備されているテンプレートの数も選定の重要なポイントになります。
アシストが取り扱っているOkta
は、SAMLだけでなくOIDC、WS-Federationにも対応しており、事前定義済テンプレートは7,200(2021年11月時点)を超える業界随一のIDaaSです。
また、対応するMFAも14種類から選択できます。先程、「社用モバイル端末を貸与されていないユーザの2つ目の認証要素をどうするか?」という課題があったかと思いますが、Oktaを利用すれば、柔軟に対応が可能です。
例えば、モバイル端末を貸与している社員には、モバイル端末にインストールして利用するタイプのOTPアプリを利用して認証させ、モバイル端末を貸与していない社員にはYubikeyのような認証デバイスを配布して対応するなどの方法を柔軟に設定することが可能になっています。
|
|
時代の背景を探っていくと、SalesforceによるMFAの必須化は「今、実装しなければならない対応」であることがお分かりいただけたかと思います。
その為、他のSaaSアプリケーションも追随していく可能性が非常に高いと考えられます。来るべき、MFA必須化の時代に対応するため、早期に認証基盤をMFA対応させていく必要があります。
アシストでは、上記でご紹介したOkta
だけでなく、認証基盤全体に関するお悩みに対して様々なご提案か可能です。ぜひお気軽にお問い合わせください。
長谷川 まり
|
|
Webサービス利用増加によって生じる認証情報管理の課題とその解決策、そして最近注目されている「生成AI」をセキュアに使う方法をご紹介します。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
