ゼロトラストへの取り組みでは、多様な既存の社内ITシステムに対する認証を、統合的に強化する必要がある。エージェントレスでこれを容易に実現できるリスクベース認証基盤製品の「Silverfort」が、日本での販売を開始した。
ゼロトラストへの取り組みにおける難題に、オンプレミスにおける既存ITシステムの認証強化、そして多様な新旧システムへの統合的なアクセスポリシー管理と継続的な監視に基づく保護がある。こうした問題への対処を目的としたリスクベース認証基盤製品を提供するSilverfortが、日本における販売を開始した。Microsoftとのグローバルな協業関係を生かして、国内での浸透を図るという。
Silverfortは、認証クラウドではないため、ファイアウォールの設定変更などは不要。また、エージェントやプロキシは使わない。ITシステム側のコード改変も要らない。この製品が内部からのアクセスを含めたオンプレミスにおける統合認証基盤を提供できる理由は、他の多様な認証システム/サービスと連携し、これらによる認証を再検証し、併せて多要素認証につなぐ役割を果たすことにある。このため、旧来のITシステムにも複雑な作業なしに多要素認証を適用できる一方、各システムの現在の認証方法を変更することなく、リスクベースの統合アクセス管理を実現できるという。
Silverfortは次のような仕組みで動作する。
この製品はオンプレミスで、仮想マシンとして稼働する(以下、「Silverfortノード」と記述)。そしてActive DirectoryやLDAP/RADIUSサーバ、さらにはAzure Active DirectoryやOktaなどのクラウド認証サービスと連携する。これらの認証サーバによる、ユーザーからの認証リクエストへの返答は、いったんSilverfortノードに送られる。ノードは独自の認証エンジンで個々の認証を検証し、アクセス可否を認証サーバに返す。これを受けて、各認証サーバはユーザーにアクセス可否を返す。
Silverfortノードは、必要に応じて追加認証を行った上で、認証サーバに返答を行うことができる。Silverfortは製品自体に多要素認証機能を備えており、ユーザーと端末のIDを組み合わせた検証など、他の多要素認証製品に比べて優れた点があると、Silverfortを日本で推進しているミリオンステップスの中島隆行氏は話す。Duo Securityをはじめとした他社製品との連携も可能。この場合でも、社内のさまざまなITシステムに対し、きめ細かく多要素認証を適用できるとしている。
Silverfortの認証エンジンでは、統合的なアクセスポリシーを適用できる。ログイン成功後も、継続的に監視できることが特徴という。同認証エンジンでは、サードパーティーの脅威情報や既知の不正な行動パターンに関する情報、セキュリティリスクの高い振る舞いの検知を生かして、リアルタイムでアクセスを拒否したり、追加認証を要求したりできるという。この認証エンジンでは、機械学習/AIを活用している。将来は、推奨ポリシーを自動生成する機能を搭載するという。
管理コンソールでは、アクセス元、アクセス先ごとのリスクレベルを可視化し、必要に応じて認証履歴を確認し、認証ポリシーを変更するなどのアクションが取れるという。
なお、Silverfortノードはオンプレミスに加え、クラウドやエッジでも稼働できる。これにより、クラウドの各種サービスや、製造設備、IoT機器などのアクセス制御の強化もできる。
Copyright © ITmedia, Inc. All Rights Reserved.