社内、社外を問わず、全てのユーザーやデバイス、接続元の場所を「信頼できない」ものと捉え、アクセスの際に適宜正当性を検証して安全性を確保するゼロトラストセキュリティ。その仕組みを取り入れる企業が増えており、導入の第一歩として認証の強化がある。複雑な製品を導入することなく、柔軟に認証を強化するにはどうすればよいのだろうか。
コロナ禍に対応するために多くの企業が急きょテレワーク体制に移行した。テレワークではさまざまな場所やデバイスから時間を問わず、社内システムやSaaSなどへ安全に接続できることが求められる。
従来の企業活動では従業員が社内で働くことが前提となっており、ファイアウォールやIDS(不正侵入検知システム)、IPS(不正侵入防御システム)などを用いて、社内ネットワークと外部ネットワークの境界線でセキュリティ脅威を阻止する「境界防御」を用いて安全性を確保してきた。だがテレワークとなれば、従業員は社外からアクセスする。境界防御では安全性を確保できない。
もう一つの動きもある。クラウド化だ。DX(デジタルトランスフォーメーション)の推進で求められるITシステムの柔軟性や俊敏性を得るために、これまで社内にあった各種ITシステムのクラウド化が加速している。パブリッククラウドに移行したシステムも社外にある。境界防御の仕組みでは守れない。クラウドサービスを利用する上では、経路の暗号化や認証の強化など、新たなクラウドセキュリティ対策が求められる。
境界防御では守り切れないテレワーク環境やクラウドシステムの利用で、注目されているのが「社内は安全だ」ではなく「全てを信頼しない」ことを前提とした「ゼロトラストセキュリティ」の考え方だ。ゼロトラストではエンドポイントとサーバ間の通信を暗号化し、その上で全てのユーザーやデバイス、接続元の場所を「信頼できない」ものと捉え、アクセスの際に適宜正当性を検証して安全を確保する。
ゼロトラストセキュリティは、新たに何か1つのセキュリティ対策ツールを追加すれば、それで実現できるものではない。エンドポイントセキュリティやネットワークセキュリティ、ID認証管理、クラウドセキュリティ管理、セキュリティ監視などを、適宜組み合わせることになる。
コロナ禍におけるテレワークへの移行で、社内外でセキュリティを強化し、安全性を確保したい。そのためにゼロトラストセキュリティの環境を実現したい。とはいえ、どこから手を付ければ良いのか、よく分からない――そんな情報システム担当者は多いだろう。
ゼロトラストセキュリティは、一朝一夕で実現できるものではない。Googleでさえ、自社の経験を基にゼロトラストモデルのセキュリティネットワークを提供するまでに、10年余りもの時間をかけているのだ。
テレワークにも対応できるゼロトラストセキュリティの環境に移行するため、まずは認証強化に取り組むケースがある。現状のIDとパスワードによる境界防御から多要素認証に移行することで、リモート環境でのアクセス認証を強化する動きだ。
多要素認証にはさまざまな方式がある。リモートアクセスも含め、WindowsなどのPCログオンのセキュリティを強化するためにソフト技研が提供しているのが「YubiOn FIDO Logon」だ。
これはクラウド上のサーバから、FIDO2(Fast IDentity Online2)認定の外部認証器を利用したWindowsログオンのサービスを提供するものだ*注。「ログオン管理をクラウドで実現でき、ログオン認証部分はFIDO2で強化できます」と話すのは、ソフト技研 営業統括責任者・マーケティング担当の福野哲也氏だ。
*注 パスワードに依存せずに安全性や利便性を高めたオンライン認証技術の開発と標準化を進める業界団体FIDOアライアンスが2018年にリリースした最新の認証技術標準。公開鍵暗号化方式を活用し、専用ソフトウェアやハードウェアを用いずに、PIN(Personal Identification Number)や指紋認証、顔認証などネットワーク経路に認証情報を流さずに、パスワードに依存しない安全性の高い認証を実現できる。
スウェーデンの企業Yubicoが提供する「YubiKey」の認証機能を利用して、ソフト技研はパスワードに依存しない二要素認証やFIDO認証を可能とする、「YubiOn」サービスを提供してきた。
YubiOnサービスには複数のラインアップがあり、認証方法に「Yubico OTP」(ワンタイムパスワード)を使ってWindowsログオンで二要素認証を可能とする「YubiOn Portal」などは、市場で既に多くの実績があるという。
ソフト技研が2021年5月に提供を開始したYubiOn FIDO Logonは、PC端末のログオンを、FIDOを利用した二要素認証で強化する製品だ。Webサービスの認証などでは必須となりつつあるFIDOの認証技術を、PC端末でも利用しやすくする。
YubiOn FIDO Logonは、FIDOの認証サーバとして「YubiOn FIDO2 Server」を使ったクラウドサービスとしてソフト技研が提供している。そのため、ユーザーはソフトウェアインストールと簡単な初期設定でPC端末のログオンをFIDO2認証対応にできる。
FIDO2の仕様に基づいた各種デバイスの認証に対応しており、認証方法も自由に選択できる。さまざまなデバイスに対応しており、PINやデバイス、指紋といったパスワードを使わない生体認証などとの組み合わせも可能だ。
管理者にもメリットがある。Webコンソールから、登録した端末の状態や認証情報をいつでも確認できるからだ。Web上で認証ログを確認でき、ログオンの成功やロックしたユーザーの状況がすぐに把握できる。PCと認証情報のひも付けなども一元管理可能だ。万一のインシデント発生時にもすぐに状況を把握できる。
「YubiOnを使えば簡単に二要素認証を導入でき、PCの入り口を容易に強化できます。さらにPCだけではなく、あらゆるシステムへの入り口を強化する際にYubiOnを活用できます」と福野氏。
認証を強化したいと考え、YubiKeyやFIDO2認証器の採用を検討する企業が増えている。ソフト技研は企業が求める認証強化の方針などを確認した上で、企業ごとに最適なソリューションの提案を行っているという。
昨今、コロナ禍の影響もありテレワークを推進する企業が増えており、自宅からのWebサービスへのアクセスやVDI環境への接続など、セキュリティに対する要求が大きくなっている。
VDI環境では、各種USB通信がセキュリティ上の理由やVDIソフトウェアの仕様上、許可されていない場合もある。その場合はOTPをキーボード入力の扱いで接続先に送信できるYubiKeyが最適だという。YubiKeyはFIDO2認証をサポートしており、リモート接続での制約がない場面ではより強固なFIDO2認証を用いるなど、状況に合わせて柔軟な運用が可能だ。
ソフト技研は前述の通り、PCログオン向けの製品として、Yubico OTPを用いた二要素認証(YubiOn Portal)と、FIDO2認証を用いた二要素認証(YubiOn FIDO Logon)を用意しており、柔軟な提案が可能だという。
個人の識別をより厳密に行いたい場合、パスワードやPINを避けて指紋などの生体認証を用いたい、という要望もある。FIDO2認証についてはYubicoのPIN対応認証器の他、各種ベンダーから指紋認証を用いたFIDO2認証器などが提供されており、ソフト技研はそれらのベンダーの認証器も取り扱っている。
「二要素認証のためのソフトウェア製品を提供するだけではなく、デバイスもしっかりと検証し、ソフトウェアと併せて提案しています。現場で使うデバイスの使い勝手や性能も含めて検証しています」と福野氏。例えば、AuthenTrend Technologyの指紋認証デバイスの「ATKey.Pro」については、さまざまな角度から指でタッチしても認証できることや、認証の処理速度、精度を検証している。認証強化の経験が豊富で、利用状況を考慮した提案をできるのが、ソフト技研の強みだ。
企業ごとの業務内容に即した提案も行っているという。例えば工場や医療現場などで手袋をしているような環境で二要素認証を用いたい、といった相談があった。この場合は指紋認証を用いた認証器よりもキーボードでパスワードまたはPINを入力してからデバイスにタッチする形での二要素認証を提案しているという。その他、個人が所有するBYOD(Bring Your Own Device)端末での使用を検討している企業には近距離無線を用いたNFC対応認証器を提案するなど、さまざまなパターンがあるとした。
YubiOn FIDO Logonは、1アカウント月額500円と比較的安価に始められるサービスだ。
ソフト技研は今後もFIDOを積極的に普及させ、企業のITシステムにおける認証強化に貢献することを目指している。そのためYubiOn FIDO Logonは、ユーザー数が少ない利用の場合、無料でのサービス提供も検討している。YubiOn FIDO Logonによって小さい規模でFIDOの認証強化の効果を実感し、そこから適宜適用範囲を拡大する使い方ができそうだ。利用が拡大しても、管理は一元化されており効率化が可能だ。
「YubiOn FIDO Logonなら、手間をかけずにゼロトラストセキュリティの最初の一歩を踏み出せるはずです」(福野氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ソフト技研
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年9月1日