- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
長引くコロナ禍で、従業員のリモートワークの範囲を拡大した企業も多いかと思います。アシストでもオフィスの所在地域の感染者状況によって、シフト制またはフルリモートワークでの業務になりました。しかしもちろん、様々な事情でリモートワーク化ができないお客様もいらっしゃいます。よく伺うのが、サーバで重要なデータ、例えばマイナンバーや個人情報、クレジットカード情報などの機密情報を扱う業務があり、リモート作業では安全性が担保できないため、という事情があります。
その場合、下記の図のように、事前申請によって許可された担当者が、物理的な幾つもの対策が施されたセキュリティルームに入室し、情報の持ち出し制御や、行動が監視された環境で作業をすることが多いかと思います。
|
|
では、これはリモート作業だと本当に安全性が担保できないのか、改めて考えてみましょう!出社時と同等のセキュリティレベルを担保しようとすると、以下の課題があると思います。
これらがクリアできれば、一部の従業員のみが出社せざるを得ない状況が解消できるほか、いつでもどこからでもサーバ作業が行える、便利で効率的な運用が可能になります。
その方法について1つずつ見ていきたいと思います。
リモートでの作業は、不正アクセスのリスクが高まります。物理的環境で実現できていたセキュリティ対策、例えばセキュリティルームでの本人確認や専用端末に限定したアクセス制御が難しくなるからです。サーバへログインするためにはID、パスワードが本人確認の手段となりますが、これがひとたび漏洩してしまうと、本人に成り代わった第三者がネットワークに侵入できてしまうためです。ここで実現したいのは、サーバへの「認証強化」です。具体的な方法としては、ID、パスワードに加えて別要素の認証を用いた多要素認証を実現し、確実に作業者本人だけがサーバにアクセスできる状態とすることです。多要素認証は、自社でID認証のシステム基盤を構築するか、または外部のサービスを利用することで実現できます。
アシストでは、「Okta
」というソリューションを提案しています。Oktaは、IDaaSのグローバルスタンダート製品です。クラウドサービスやオンプレミスアプリへの認証を集約し、どんなデバイスからでも安全にシステムを利用できる環境を提供します。ID、パスワードによる認証だけでなく、標準機能で多要素認証のアドオンも可能です。また、Okta上のユーザー情報を基に、クラウドのアプリケーションのアカウント管理(ID管理)を行うことも可能です。
|
|
リモートワーク環境では、自宅などに持ち帰った個人端末からサーバへリモートアクセスを行いますが、このときサーバ上のファイルを個人端末にダウンロードしたり、画面ショットを取得したりすることで、簡単に機密情報を外部に持ち出すことができてしまうリスクがあります。これを防止するために、エージェント型の資産管理ツール等がありますが、そもそも機密情報は容易に個人端末に持ち出しできてはいけませんね。そこで実現したいのは、システム的に情報の持ち出しを制御することです。具体的な方法の1つが、画面転送技術を用いて、重要サーバに対するブラウザベースでの仮想アクセスを利用する」ことです。以下の図のように、画面転送の設定時に、コピーアンドペーストや画面キャプチャの禁止を簡単に行うことができます。
アシストでは、「Ericom
」という製品をご提案しています。Ericomは、どこでも、どんなデバイスからでもVDIやアプリケーションへのセキュアなアクセスを可能にするクライアント仮想化製品です。グリッド・テクノロジーによる驚異的な処理性能と、無限のスケーラビリティを特長とし、HTML5技術により完全なクライアント・レスでのアクセスを可能とします。
|
|
リモートからサーバへのアクセスが可能となると、利用者にとっては利便性が向上しますが、管理者にとってはいつ、誰が、何のためにサーバ利用を行ったのか、正確に管理することが難しくなります。また、実績や安全性の証明としての「誰が、どんな作業を行ったか」の確認も難しくなります。そこで、作業時の申請・承認をシステム的にワークフロー化して、サーバでの操作内容を全て記録すれば、これらの課題が解決できます。サーバへのアクセスに用いるIDのパスワードをシステムで定期変更し、作業者へのID貸し出しも、ワークフローの承認に基づいたサーバへのパスワード秘匿ログインとすれば、作業者は必ずワークフローに則って、パスワードを知らない状態のまま、サーバ利用がスムーズにできるようになります。
アシストでは、「iDoperation
」という製品をご提案しています。iDoperationは、国産の特権ID管理製品です。特権ID管理に必要なID管理、ワークフロー、アクセス制御、アクセスログ管理、操作ログ管理を備えたオールインワンのパッケージです。オンプレミスだけでなく、クラウド環境(AWS, AzureAD, Salesforce)や仮想基盤
(vCenter、Hyper-V)における特権ID管理機能を提供し、エージェントを導入した環境上のすべての操作を動画として記録します。
|
|
以上のように、重要データを扱う場合でもシステム的に課題を解決することで、セキュアなリモートワークが実現できます。アシストでは、これらの課題解決をまとめて「セキュア・ワークスペース・ソリューション」と呼称し、ご提案しています。一部のみのご提案ももちろん可能ですので、リモート業務のセキュリティに課題をお持ちの場合は、ぜひアシストにお声がけください。次の記事では、このセキュリティ・ワークスペース・ソリューションを用いたときに、サーバ作業者が実際にどのようなオペレーションとなるのか、手順のイメージをご紹介します。
セキュア・ワークスペース・ソリューションによるセキュアアクセスのイメージ
|
|
| 課題 | 解決方法 | 解決製品 | |
| セキュア・ワークスペース・ソリューション | サーバへのリモートアクセスが作業者本人であることの証明が難しい | (ID認証基盤) サーバへのリモートアクセスは作業者本人となるように認証を強化 |
Okta |
| 作業者のリモートワーク端末への情報持ち出しをどう防ぐか難しい | (リモートアクセス基盤) 作業者のサーバ操作は転送された画面とすることで、情報の持ち出しを制御 |
Ericom | |
| サーバ上で行われる作業の内容をどうチェックしたらよいか難しい | (特権ID基盤) 申請・承認を必須とすることで作業内容を把握でき、取得した証跡にて容易に事後確認も可能 |
iDoperation |
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
