企業や組織における二要素認証の動きが進んでいるが、実際の導入・運用に当たってはハードウェアの導入や既存システムの改修などのコストが付きまとう。リソースを十分に確保できない組織が二要素認証を導入するには、どうすればよいのだろうか? ソフト技研はそんな企業に向けて、“指紋でもICカードでもない”新たな選択肢を提案している。
情報漏えい事故が相次ぐ中、PCへのログオンやサーバへのサインイン時の“認証”を強化しようとする動きが進んでいる。認証の強化にはさまざまな手段があるが、その中でも主流となりつつあるのが「二要素認証」だ。
ご存じのように、二要素認証は「ユーザーだけが知っている情報」「ユーザーだけが所有しているもの」「ユーザーの身体的特性」という異なる認証要素のうち、2つ以上を組み合わせてユーザーが本人であることを確認する。例えば、IDとパスワードを1番目の「ユーザーだけが知っている情報」だとすると、それにICカードやハードウェアトークンなどの「ユーザーだけが所有しているもの」を加える。これにより、万が一IDやパスワードが漏れてしまっても、認証を突破されるのを防ぐことができる。
既に個人向けWebサービスなどでは、IDとパスワードに加えて、スマートフォンのSMSやアプリを使ってワンタイムパスワードを発行する二要素認証の仕組みが浸透している。また、サイバー攻撃の巧妙化と被害の拡大を受けて、総務省が自治体の情報システムで二要素認証を必須要件にするなど、国や組織全体で情報を守っていくための取り組みも進んでいる。さらに、FIDOなどの標準化団体の活動も盛んに行われており、これに加入するマイクロソフトも「Windows Hello」として認証の強化を推進している。
こうした流れを受けて、多くの企業でも、クライアントPCや業務アプリへのログイン時に二要素認証を取り入れようとする動きが急速に進んでいる。
だが、実際に二要素認証を導入するに当たっては、「どの要素をどう組み合わせて、社内に適用していくべきなのか」「ハードウェアの導入コストや運用の手間、既存の認証基盤との統合をどうするか」など、考慮しなければならない課題が多く、企業の大きな悩みになっている。そんな中、30年以上にわたり防災やセキュリティソリューションを提供してきたソフト技研では、“ちょっと変わった”選択肢を提案している。
YubiKeyは、米国やスウェーデンなどに拠点を構えるYubicoが開発・提供しているUSB接続型の認証デバイスだ。GoogleやFacebook、米国防総省、英国政府、CERN(欧州原子核研究機構)など名だたる組織で利用されており、150カ国10万以上の企業で利用されている。
一見指紋認証デバイスのようにも見えるYubiKeyだが、デバイスとしてはUSB接続型のキーボードとして認識される。端末に接続し、デバイスにタッチすると、内臓チップがパスワードを自動生成し、テキストデータとして流し込むというのが大まかな仕組みだ。端末からはキーボードデバイスとして認識されるため、特別なドライバなどを必要とせず、Windows、Mac、Linuxと幅広いOSをサポートする。また、ソフトウェアではなく内蔵チップがワンタイムパスワードの生成を行うため、逆アセンブリによる解析が極めて困難であることも強みだ。
デバイス自体は薄く、軽く作られており(15mm×38mm×3mm、3g。YubiKey 4 NANOは12mm×13mm×3mm、1g)、カギなどと一緒に持ち運んだり、アクセサリーのように身に付けておいたりすることができる。また、それでいて“象が踏んでも壊れない”ほど堅牢で、“洗濯機に入れても壊れない”耐水性も備えているため、故障がほとんどなく、長期的に見たランニングコストを抑えられる。
さらに、Google AppsやDropbox、GitHub、EvernoteなどのWebアプリケーションや、LastPass、Dashlaneといったパスワードマネジャー、Shibboleth、Oktaなどのシングルサインオンサービスにも対応している。これにより、YubiKeyをワンタイムパスワードによる二要素認証デバイスとして利用したり、シングルサインオン用の“マスターパスワード”を管理するために使ったりできる。加えて、FIDO U2Fをはじめとする多くの認証技術もサポートしているため、クラウド/社内の認証サーバと組み合わせることで、企業でもさまざまな応用ケースが考えられる。
このYubiKeyを国内で展開し、企業向けに導入支援サービスを提供しているのがソフト技研だ。同社の代表取締役 藤田法夫氏はこう話す。
「二要素認証の導入意欲はかつてないほど高まっています。しかし、生体認証のための機器や認証基盤を新たに構築することは、コスト的にも運用的にも難しいケースがあります。例えば、専任の情報システム担当者がいなかったり、セキュリティ予算が限られていたりする場合です。YubiKeyはそんな企業でも手軽に導入できる二要素認証デバイスとして評価をいただいています。特に、実際に使用された企業からは、必ずといっていいほど『これ、いいね』という反応が返ってきます」(藤田氏)
ソフト技研は、このYubiKeyの国内正規代理店であり、企業向けに認証サーバを整備し、社内システム向けの実装までを含めた認証ソリューション「YubiOn」(後述)として提供している。
では、YubiKeyのメリットは、具体的にどこにあるのだろうか? ソフト技研のクリエイティブエンジニア 古谷充氏は、「導入コストが低いこと」「運用に手間が掛からないこと」「ユーザーの使い勝手が良いこと」が最大の強みだと話す。
二要素認証環境を構築したいという企業がまず悩むのは、ハードウェアの導入コストが高くなりがちなことだ。例えば、金融機関や自治体などで比較的広く使われている二要素認証としては「ICカード認証」と「指紋認証」があるが、いずれの場合も、新たに認証のためのハードウェアを導入する必要があり、コスト負担が大きくなる。
また、導入にあたって既存の環境を作り直すケースが多いことも課題だ。新しい認証方法をサポートするために認証基盤を構築し直したり、新たに別のシステムを共通認証基盤として構築したりする必要が出てくる。特に最近の企業環境は、社内システムとクラウドを連携させていることが多く、それぞれに対応したシステムを構築するために追加の費用と時間がかかることもある。
さらに、運用に手間が掛かるのも大きな課題だ。例えば、ICカードはカードリーダーが必要になるため、PCの持ち運びをメインにしたワークスタイルには適さないことがある。また指紋認証では、指紋を登録することへの社内の抵抗感をどう減らすかに苦労することも少なくない。加えて、認証デバイスを紛失したり、デバイスが壊れたりした場合にスムーズに復旧できる仕組みを整備する必要もある。
「YubiKeyは、二要素認証にまつわるこうした課題を解消します。導入デバイスはYubiKeyだけでよく、専用の読み取り装置などは必要ありません。認証基盤も既存のADなどに統合可能で、弊社のクラウド上の認証サーバを活用すればさらに簡単に導入できます。また、デバイスの使い勝手がシンプルであるため、ユーザー教育も必要なく、運用管理の負荷が高まることもありません」(古谷氏)
実際、藤田氏によれば導入企業からは「これほど簡単に導入できる二要素認証デバイスは他にない」といった高い評価を得ているという。既存環境に簡単に追加でき、管理の負荷を高めずに少ない人数で運用できるという点で、これまでにないユニークなソリューションとして注目されているのだ。
では、実際にYubiKeyを導入すると、どんな使い方になるのか。ソフト技研では、YubiKeyを利用した認証ソリューション「YubiOn」を展開している。同社のチーフプロデューサーの高田敦子氏は、YubiOnについてこう説明する。
「現在YubiOnでは、『Windowsログオン』『業務システムでの認証サービス』『シングルサインオンサービス』『ファイル共有サービス向けセキュアライブラリ』の4つのサービスを提供しています。特にニーズが多いのがWindowsログオンと業務システムでの認証サービスです。二要素認証を手軽に導入したいという近年の企業ニーズを反映して、問い合わせも増えています」(高田氏)
ではここで、よく利用されているという「YubiOn Windowsログオン」と「YubiOn 認証サービス」のケースを見てみよう。
「YubiOn Windowsログオン」は、Windowsの端末やWindows Serverへのログオン認証に、YubiKeyが発行するワンタイムパスワードを導入するサービスだ。必要になるデバイスはYubiKeyだけで、導入の際はツールを使ってYubiKeyをログオン用デバイスとして登録するだけでよい。
ユーザーがPCにログオンする際は、ログオン画面でパスワードを手入力し、さらにUSBポートに挿入したYubiKeyを使って44桁のワンタイムパスワードで二要素認証を行う。最初のログオンパスワードを入力した後は、YubiKeyにタッチするだけでワンタイムパスワードの発行と入力が自動的に行われるため、ユーザーの負荷はほとんど変わらない。ログオン画面でADのアカウントを選択すれば、Active Directory環境で二要素認証を実現することも簡単にできてしまう。さらに、セーフモード時にも利用でき、またUSBからデバイスを抜くと端末をロックするように設定することも可能だ。
また、YubiKeyは、ワンタイムパスワードの生成だけでなく、オンラインサービスに対応したFIDO U2F準拠の二段階認証、スマートカード/PIV機能といった複数の認証方式・機能を利用することもできる上、事前に静的なパスワードを登録することも可能だ。これらの機能を組み合わせることで、単なるハードウェアトークンを超えたさまざまな活用の仕方が可能になる。
「YubiOn 認証サービス」もそうした使い方の一例だ。例えば、社内サーバへの認証や、外部からのVPNの接続認証、Webサービスへの認証、スマートフォンアプリの認証など、企業独自のシステムやアプリケーションに対して、ワンタイムパスワードを使った二要素認証を追加できる。
認証サーバはオンプレミス構築も可能だが、ソフト技研が運用するクラウド認証サーバを利用すれば、さらに簡単な導入が可能だ。管理者側で必要なのは、社内のIDとYubiKeyデバイスのひも付け、社内アプリなどのログイン画面へのYubiKey入力欄と認証処理の追加(※)だけだ。
※:認証処理の追加には、各言語(Java、.Net、Python、PHP、Rubyなど)に対応したAPIおよび開発ツールキットが用意されており、複雑なコーディングなどは必要ない。
「運用中のサービスの環境はそのままで、簡単に二要素認証の機能を追加できます。二要素認証を低コストで導入、運用できることは、多くの企業にとって大きなメリットです」(古谷氏)
藤田氏は、YubiOnサービスの特徴の1つとして、ユーザーにリテラシーを求めないセキュリティ運用が可能になる点を挙げる。IDとパスワードによる認証の大きな課題の1つは、パスワードの管理がユーザー任せになることだ。複雑なパスワードを作成して覚えておく必要があったり、サービスごとに異なるパスワードを使い分ける必要があったりと、ユーザーの負荷が高くなり過ぎる。
こうした従来型のパスワード運用は既に限界にきている。情報漏えい事故が絶えない要因の1つとして、「ユーザーがパスワード運用に負担を感じ、複数のWebサービスなどで簡単なパスワードを使い回していること」があるのがその証拠だ。
このことは、必ずしも個人が利用するWebサービスだけではなく、メールやスケジュール管理、営業管理システムなど、クラウドサービスの利用が進んでいる企業にも当てはまる。いくら管理者がポリシーで規制していても、パスワードの管理に負担を感じたユーザーは、どこかでそのポリシーに反した運用を行ってしまうだろう。
そこで重要になってくるのが、ユーザーにリテラシーを求めないセキュリティ運用だ。藤田氏は今企業に求められるセキュリティ対策・運用について次のように語った。
「大切なのは、ワンタイムパスワードなどによる二要素認証をユーザーが意識することなく簡単に利用できるような環境を整えることです。ユーザーが複雑なパスワードをいちいち覚えておく必要がないようにする。"人に頼らないセキュリティ運用"を実現する。それが企業全体のセキュリティレベルを上げることにつながると考えています」(藤田氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ソフト技研
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年10月27日