閉域ネットワークで二要素認証が必須な現場、情シスがとるべき現実解とは？：内部不正を防ぎたい

個人情報や重要な情報を守るために、組織内にインターネットと接続されていない閉域網を構築することは珍しくない。だが、これだけでは内部不正などから情報を守ることはできない。IDとパスワードを用いた認証では不十分であり、二要素認証が必要だ。どうすれば閉域網内で二要素認証を実現できるのだろうか。

[PR／＠IT]

PR

機密情報の保護のため、二要素認証が必須に

　マイナンバー制度の運用が開始されたのは2016年1月1日。マイナンバーは社会保障や税関連、災害対策の分野で効率的に情報を管理し、複数の機関が保有する個人の情報について、同一の人物かどうかを確認するために活用される。マイナンバーに関連する情報を扱う国や自治体、企業などでは、情報流出への徹底した対策が求められる。

　マイナンバーだけではない。医療機関などでも厳重な管理が求められる個人情報を扱っている。重要な情報を安全に扱うために、限られた利用者のみが利用できる閉域網を構築し、その中で各種ITシステムを運用するケースがある。

　閉域網はインターネットに接続されていないクローズドのネットワークで、外部から直接アクセスができない。インターネットから隔離されているので、Webアクセスやメールを通じたマルウェアの感染被害や、インターネット経由の不正アクセスなどは発生しない。しかしそれだけでは、運用しているシステムの情報について、安全性が100％保証されるわけではない。閉域網であろうと、やはりセキュリティ対策は必要だ。

　マイナンバー制度の運用が始まった当初、閉域網を構築し安全性を保証する取り組みが進んだ。しかし、それ以上のセキュリティ対策に踏み込んだ組織は、それほど多くなかった。

　ここ最近、閉域網でも重要情報の漏えい事故などが発生しており、さらなるセキュリティ強化の必要性が認識されるようになっている。

　総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」（2020年12月）には、「マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ」と記されている。厚生労働省の「医療情報システムの安全管理に関するガイドライン第5.1版」（2021年1月）でも、今後導入などの検討を予定するシステムにおいて二要素認証を採用することが明示されている。

　つまり、閉域網で運用するシステムでも、二要素認証などで認証を強化することが求められているのだ。

二要素認証（3つの要素のうち2つを使う）（提供：ソフト技研）

　「国の省庁や自治体などから、閉域網で運用するシステムに対し、二要素認証でセキュリティを強化したいという問い合わせが増えています」と、ソフト技研 営業統括責任者・マーケティング担当の福野哲也氏は話す。「閉域網でも重要情報の漏えいなどを防ぐために、認証の強化が必要だ」と考える組織が出てきており、「できる限り安価に実現したい」という条件も付いているのだ。

　権限のないユーザーは、閉域網ではなかなかネットワークの内部に入れない。とはいえ、組織内部の人間が不正行為を働けば、閉域網も安全ではない。「注目されているゼロトラストネットワークでは、閉域網であっても安全ではない、信用しないと考えて対処します」と福野氏。「閉域網でも、エンドポイントを守る対策は重要です。しっかりとした対策がなされていなければ、内部不正などが発生してしまうでしょう」と指摘する。

閉域網でも認証を強化し、内部不正を抑止するには

　IPA（情報処理推進機構）の「組織における内部不正防止ガイドライン」にはこうある。内部不正防止の基本原則として「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯罪の弁明をさせない」という5点だ。二要素認証などで認証を強化することは、犯行を難しくし、犯行の誘因を減らすことにつながるだろう。

　マイナンバーの情報を扱う官公庁や自治体だけではなく、医療や金融、通信、エネルギーといった業界の企業においても、重要情報を扱うために社内ネットワークを分離し、閉域網を作って社内システムの安全性を確保している。だがそれだけでは不十分だ。閉域網を作っても、その中で運用するシステムへのログインでIDとパスワードだけを利用しているからだ。IDとパスワードが盗まれれば閉域網であっても不正アクセスを防ぐことはできない。

　製造業でも、ラインを制御するためのサーバなどが運用されている。多くの場合、これらの仕組みは閉域網で構成されているが、サーバへのログインはIDとパスワードだけ、場合によっては共有IDの場合さえある。製造現場の情報は、ライバル企業などにとっては重要で価値がある。さらにラインを不正に制御されれば、製品に問題が発生し、企業としての信頼を損ないかねない。もはや性善説で運用するのではなく、認証をしっかりと管理し、閉域網でも不正なアクセスを防止して、内部不正を抑止する必要がある。

パッケージソフトをインストールするだけですぐに二要素認証を実現

　閉域網にあるシステムの認証を強化する場合、インターネット経由で外部にアクセスできないため、外部にある認証サーバなどを利用できない。閉域網ではクラウド型の認証サービスなどを使った二要素認証が難しいのだ。

　そのため「スタンドアロン型の認証サーバを置かなければなりません」と福野氏。それを実現しているのが、ソフト技研が提供している「YubiOn」シリーズの「YubiOn WindowsLogon スタンドアロン」であり、認証サーバを置くことなく導入が可能だ。

YubiOn WindowsLogon スタンドアロンの概要（提供：ソフト技研）

　YubiOn WindowsLogon スタンドアロンは、対象とするWindowsマシンにパッケージソフトウェアをインストールするだけで、スウェーデンの企業Yubicoが提供する「YubiKey」を用いた二要素認証を実現できる。認証強化対象のPC端末1台から導入でき、ピンポイントのセキュリティ対策にも最適なソリューションだ。ソフトウェアをインストールして、シンプルな設定を施すだけで、短時間で導入できる。パッケージ製品となっており、比較的安価に導入できる。

　導入時にはまず、情報システム部門の管理者がライセンスファイルと必要な数のYubiKeyを取得する。利用するYubiKeyはスタンドアロン利用のために、ライセンスに合わせて設定したものだ。続いてクライアントのソフトウェアを別途ダウンロードなどで取得し、それを対象のWindowsマシンにインストールする。インストール時に、取得したライセンスファイルを読み込む。後は設定ツールでアカウントとYubiKeyを割り当てれば、すぐに二要素認証を利用できる。

　YubiOn WindowsLogon スタンドアロンを使えば、Windowsへのログオン時にYubiKeyの利用を強制できる。さらにYubiKeyを引き抜くと自動で画面をロックするようにもできる。他にも、指定したYubiKeyがなければ設定を変更できないようにしたり、YubiKeyの紛失に対応するために、どのアカウントでもログオンできるマスターキーとなるYubiKeyを指定したりすることも可能だ。

マスターキー機能（提供：ソフト技研）

　インストール済みアプリケーションの一覧からソフトウェアを非表示にすることで、アンインストールを抑止してYubiKeyの認証を不正に回避することも防止できる。

　1台で行った設定をエクスポートし、別の端末にインポートできる。複数端末に同じ設定を施す際に作業負荷を軽減し、設定ミスなどを防ぐこともできる。

自治体や製造業、金融機関でも採用

　ある地方自治体の司法機関では、閉域網にあるシステムの認証強化が必要となり、YubiOn WindowsLogon スタンドアロンを採用している。製造業や金融機関などでも既に数十から数千ユーザー規模で、閉域網システムの認証強化のためにYubiOn WindowsLogon スタンドアロンが利用されている。

　特にクレジットカード系の企業では、カード会員情報の保護を目的として策定されたカード情報セキュリティの国際統一基準「PCI DSS」（Payment Card Industry Data Security Standard）に準拠するために、閉域網を構築し、限られた人しか出入りできない環境を構築した上で、認証強化のためにYubiOn WindowsLogon スタンドアロンを使っているという。

　デザイン会社などMacを利用する環境でも閉域網での認証強化の要望があるため、ソフト技研はMac版「YubiOn MacLogin スタンドアロン」の準備を進めている。さらにYubiKey以外の多様な認証キーを活用できるようにするため、FIDO認証を使うスタンドアロン版の開発も進めている＊注。

＊注 FIDO認証とは、パスワードに依存せずに安全性や利便性を高めたオンライン認証技術の開発と標準化を進める業界団体FIDOアライアンスがリリースした認証技術標準。公開鍵暗号化方式を活用し、専用ソフトウェアやハードウェアを用いずに、PIN（Personal Identification Number）や指紋認証、顔認証などネットワーク経路に認証情報を流さずに、パスワードに依存しない安全性の高い認証を実現できる。

　「今後はネットワーク閉鎖領域でも管理可能なオンプレミス版やハイブリッド版の提供により、ユーザー環境に合わせた自由な構成でご利用いただけるようラインアップを増やしていきます」（福野氏）