- ID管理
- サイバー攻撃
- ゼロトラスト
ID周りの課題がいっぱい!その背景と課題解決の捉え方
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
|
|
みなさんこんにちは。長谷川まりです。
ID管理とシングルサインオン(SSO)を目的にIDaaSを導入、検討されるお客様が増えていますが、ユーザー認証だけではセキュリティが不安という声も多くいただきます。それはなぜでしょう?また、認証を強化する機能の実装は簡単にできるのでしょうか?
今回はアシストが、他の販社では提案しにくい認証強化の現実解をご紹介します。
IDaaSは、クラウドサービスに分散する各システムのIDライフサイクル管理を、一元的に提供してくれるクラウドサービスです。IDaaSに登録したアプリケーションは、簡単な設定でシングルサインオン(SSO)ができるようになるので、ユーザーは、煩わしいシステム毎のログインから解放されます。
SSOは主要なクラウドアプリケーションで、メジャーなIDaaSを選択すればすぐに利用開始できます。また可用性の面でも安心なので、アシストでは「Okta Identiy Cloud」(以下Okta)というIDaaSのリーダー製品をご紹介しています。このOktaの引き合いはとても多いのですが、このときお客様と話題になるのが、「IDaaSを導入すれば確かにユーザー認証強化はできるけれど、どんなデバイスからもアクセスできてしまうのがセキュリティ上不安」という点です。
不安とおっしゃるお客様は実に半数以上かなと思います。セキュリティ対策は、ゼロトラストの考え方が今後の主流になるとはいえ、まだまだ仕組みが整っている企業は多くないですし、一度認証が通ったらシステムが使い放題、という危険が考えられるからです。具体的には以下のリスクが考えられます。
デフォルトの認証をID、パスワードだけとすると、攻撃手法ではかなりメジャーな、総当たり攻撃でやられてしまいます。既にIDとパスワードは盗まれているかもしれません。さらに言えば、直接盗まれていなくても、同じ会社の誰かのアカウントが漏洩していれば、そこから推測されている恐れも。ID、パスワードだけの認証だけでは、不正アクセスが成功してしまうリスクが高いと言えるので、異なる認証を組み合わせたいところです。
まだ日本では、私物デバイスを業務利用可とするBYODは導入していない組織が多いかなと思います。ここで言うデバイスとは、パソコンは勿論、スマートフォンやタブレットといった端末です。
こういった私物デバイスは会社側でセキュリティ対策を一括管理できないことでBYODを禁止していても、ユーザーによっては、パソコンを持ち帰りたくない、忙しいから移動中にスマートフォンで仕事をしたい。などの言い分があるかもしれません。こっそり私物パソコンからIDaaSのID、パスワードを入力して仕事をし、機密情報をそのまま私物パソコンにダウンロードしていたら?そのパソコンが最新のマルウェア対策ができていなかったら?こういったリスクがあるので、適切なデバイスからのアクセスなのかも、認証の要素に加えたいところです。
残念ながら会社支給のデバイスでも、ソフトウェアのアップデートが徹底されていない、OSのパッチが適用されていない、などのリスクがあります。セキュリティ対策が不十分な会社支給デバイスがマルウェア感染し、ネットワーク経由で社内リソースにマルウェア感染拡大…といったことが考えられます。デバイスの状態が果たして安全なのかも、認証の要素に加えたいところです。
これらのリスクを解消する現実解として、多要素認証としてのデバイス認証が選ばれています。多要素認証とは、少なくとも2種類以上の異なった要素で本人確認を行うことですが、一つ目の要素に従来のID、パスワード認証、二要素目に、上記リスクを解消するためのデバイス認証を組み合わせるのが良いでしょう。ではそれは、どのように実現できるのでしょうか。
IDaaS製品のOktaの場合は、実は少し考慮事項が残ります。海外ではBYODを許可しているところも多いからです。Oktaにおける標準のデバイス認証「Okta FastPass」の考え方では、BYODを基本としているので、ユーザが自身のデバイスを初回登録し、その後、登録されたデバイスからのアクセスはパスワードレスで認証ができるようになる仕組みを提供します。
会社支給のデバイスに限定するようなデバイス認証を取り入れるには、MDM製品を導入してOktaと連携するか、OktaのSSOライセンスに加え、外部機関の証明書を別に調達する方法がありますが、価格面は勿論、共用端末で使えない、パスワード認証と併用できない、証明書の配布や管理が必要、という点を考慮する必要があります。
そこでアシストでは、BYODを許可しないことが多い日本のお客様に向けて、SaaSベースでPCやスマートフォンのセキュリティ対策を提供する「秘文 統合エンドポイント管理サービス」(以下、秘文UEM)と連携する方法をお奨めしています。これにより
ユーザーの認証に加え、企業が許可したデバイスであることを証明書で確認するデバイス認証 ① を提供することができるようになりました。
さらにセキュリティを強化したい場合は、デバイス認証に加えて、セキュリティが維持されたデバイスかどうかを認証の条件に加えることができます(デバイス認証+ポスチャマネジメント認証 ② )。デバイスのセキュリティ状態を常に安全に保つには多大な負荷がかかりますが、秘文UEM本体のポスチャマネジメント機能(デバイスの状態を自動で安全な態勢に保つ機能)を使うことで、秘文UEMによってセキュリティが担保されたデバイスのみを認証させることができます。
秘文UEMは国産のSaaSです。開発元の日立ソリューションズ社はOktaのパートナーでもあるので、お客様の要望の多いOktaのデバイス認証をなるべく安価に、共同端末で利用でき、パスワード認証と併用できる親和性の高い方法として特別なライセンスを提供しています。アシストではOktaの提供とともに、秘文シリーズでも長年の提供実績がありますので、安心してご相談いただけます。
①秘文UEM デバイス認証特化ライセンス
1台当たり 5,000円/年 (PC300台の場合)
Okta SSO Oktaの標準ライセンス
1ユーザー当たり 3,480円/年(300ユーザの場合)
②秘文UEM(本体)+秘文UEM IDaaS連携オプション
1台当たり 13,600円/年(PC300台の場合)
Okta SSO Oktaの標準ライセンス
1ユーザー当たり 3,480円/年(300ユーザの場合)
※スマートデバイスオプションもございます。費用感等詳細はお問い合わせください。
※①は、資産管理と証明書に基づくデバイス認証に限定したライセンスです。
※②は、秘文UEM(本体)のライセンスを含みます。デバイスの状態を常に安全な態勢に自動で保持する
ポスチャマネジメント、資産管理、およびデバイス制御を標準機能として提供しています。
秘文UEM IDaaS連携オプションは、証明書に基づくデバイス認証に加えて、セキュリティ態勢に基づく
デバイス認証を提供しています。
※価格は2022年7月現在の標準価格です。台数やキャンペーンにより価格が変わりますので、
詳細はお問い合わせください。
|
|
今回は、IDaaSの認証強化について、デバイス認証の選択肢をご紹介しました。
・IDaaSでは入口対策、認証に不安を感じるお客様が多い
・デバイス認証により情報流出の危険性が下げられる
・デバイス認証の実現はOktaと秘文UEMの連携が費用と運用の両面からお奨め
下記の資料では、もう少し脅威や連携について掘り下げた内容を確認できます。情報収集に、お気軽にダウンロードしてご利用ください。
|
|
Oktaと秘文UEMの連携で出来ることがもっと詳しくわかる資料をダウンロードいただけます。お気軽にご利用ください。 |
|
|
長谷川 まり
|
|
なぜ、多くの企業がID周りの課題に追われてしまうのか、その背景を紐解きながら、課題解決の捉え方を「ちょっと前向きに」お伝えします。
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。
