リモートワーク環境の認証強化は、ハードウェアトークンを使った二要素認証でいかに容易になるのか:生体認証より保管リスクが低い
リモートワークの広がりを受けて、認証技術に注目が集まっている。手で入力するパスワードは記憶しにくい上に漏えいリスクが残る。このため、パスワード以外の認証技術、つまり生体認証やハードウェアトークンを用いる認証技術のメリット、デメリットを理解しておく必要がある。
リモートワーク環境の認証強化に何を使うか
新型コロナウイルスへの対応や自然災害発生時の事業継続のため、あるいは「働き方改革」の一環としてテレワーク、特にリモートワークに注目が集まっている。オフィスに出社せずに自宅などさまざまな場所で業務が行えるようにする。さらに多様な働き方の実現で従業員の生産性を向上させ、どこにいても価値を生み出させるようにする。リモートワークの実現は、大手企業を中心に関心が高い。
リモートワーク環境で重要となるのが、セキュリティを強化し、安全にITシステムを利用できることだ。
安全性を高める方策の一つは、ITシステムなどにアクセスする際の認証の強化だ。現状は、ITシステムを利用する多くのシーンでパスワード認証を使う。パスワードは、人の記憶に頼った認証方法だ。記憶には限界があるため、つい推測しやすいパスワードを設定してしまいがちだ。さらに複数のサイトやサービスで、同じIDとパスワードを使うことも多い。そのため、パスワード認証だけでは不正侵入などのリスクが高まってしまう。
現在、多くの企業では従業員がWindows搭載のPCを使っており、ID情報の管理にMicrosoftのActive Directory(AD)を利用している。ここにも課題がある。ADサーバをローカル環境で運用する場合、IDやパスワード情報を一元管理して保管する。昨今はこのローカルで運用しているADが、攻撃者のターゲットとなっている。標的型攻撃が増えており、ADのドメイン管理者が狙われるのだ。ドメイン管理者のアカウントが乗っ取られれば、ユーザーのID情報などが大量に流出しかねない。
Windowsが備えるパスワードに依存しない認証機能を使うとどうなるだろうか。例えばWindows 10には、パスワードを使わずにログオン可能な「Windows Hello」が提供されている。Windows Helloは、指紋や顔認証、PINコードなどを用いてWindows 10デバイスに素早くログオンできるようにする仕組みだ。
Windows Helloは一要素認証のように見えることもあり、強固な認証の仕組みとしては不十分と誤解されることも多いが、問題はそこではない。Windows HelloはAzure Active Directory(Azure AD)とは連携できるが、ローカルADとは連携できない点が問題だ。
その上、Windows HelloはローカルPCの中に秘密鍵を置き、安全にアクセスする仕組みだ。「PCを変更した際、鍵の管理の手間をどうするのか」など、別の課題も発生する。つまりWindows Helloを使えばすぐに、リモートワークの認証強化を実現できるとは限らないのだ。
認証を強化するために、Windows Hello以外の生体認証を活用している企業もあるだろう。その場合も生体認証自体の課題が残る。個人そのものを識別する生体情報をプライバシーとどのように両立させるのか、どこに生体情報を格納し、どのように管理するかが課題となっているのだ。加えて、生体情報を読み取る装置を導入するとなれば、コストはもちろん、機器の管理などの手間が増え、導入のハードルが高くなる。
このように、リモートワークで活用できる認証強化の方法にはさまざまなものがあるが、それぞれ一長一短でなかなか最適な組み合わせが見つからない。このような悩みを抱えた企業は少なくないだろう。
実績あるYubiKeyの技術をベースにしたYubiOnソリューションで認証強化を容易に実現
多種多様な認証強化の方法がある中で、比較的容易に導入でき、コストの最適化にも優れていると評価されているのが、ワンタイム認証の「YubiKey」だ。YubiKeyは、スウェーデンの企業Yubicoが提供するデバイスで、既に10年以上前から市場で利用されている実績ある仕組みだ。
技術としては、ハードウェアトークンを使ったワンタイムパスワード認証が原点だ。バージョンアップを続けて第5世代となった現在は、FIDO(Fast IDentity Online)U2F、FIDO2、OATH-HOTP、OATH-TOTP、Smart Card、IC Card(PIV-Compatible)、OpenPGP、チャレンジレスポンスなどの機能を内蔵したハードウェアトークンへと発展している。
YubiKeyのワンタイムパスワードの使い方はこうだ。まずパスワード入力フィールドにカーソルを合わせる。次にUSBでPCに接続した専用ハードウェア(トークン)にタッチすると、ワンタイムパスワードを生成する。その後、フィールドにワンタイムパスワードが自動入力される。YubiKeyでは、クラウドサービスならクラウドのサーバに、VDIならばVDIのサーバサイドに、生成したパスワードを直接入力して認証する。このため、「クライアントサイドに認証情報がいったん格納されて、セキュリティリスクになる」という心配はない。
SMS認証や従来のワンタイムパスワードトークンによる認証のように、別途表示されたパスコードをユーザーが手作業でフィールドに入力する必要はない。これがYubiKeyの利点だ。あらゆるPCで標準となっているUSBキーボードとしてYubiKeyのトークンを扱うため、専用クライアントソフトウェアやドライバをインストールする必要もない。YubiKeyはMicrosoft Windowsの他、macOSやLinux、さらに主要なWebブラウザにも対応している。
YubiKeyの技術をベースに、パスワードに依存しない二要素認証や最近注目を集めているFIDO認証(詳細は後述)を可能にしているソリューションが、ソフト技研が提供する「YubiOn」だ。YubiOnには複数のラインアップがあり、例えば「YubiOnポータル」は、Windowsログオンで二要素認証を実現できる。管理者サイトでYubiOn利用者の管理を一元化でき、YubiKeyトークンの紛失時の対応やPC盗難時のロックによる制御も可能だ。さらに、オフライン時のログオンにも対応する。
「YubiOnポータルを使えば、数千人規模の組織でYubiKeyを展開することも容易です。二要素認証によるセキュリティ強化を簡単に実現でき、ID管理工数を減らし、コスト削減も可能です」とソフト技研 代表取締役の藤田法夫氏は語る。Windowsのログオンと連携させるには、クライアントPCにソフトウェアをインストールする必要はあるものの、一方で管理サーバはクラウドで提供するので、サーバなどを別途用意し、管理する手間はない。Macのログインも2020年7月には管理可能となる。
マイナンバーなど極めて重要な情報を扱うPCの認証だけを強化したければ、「YubiOnスタンドアロン」を利用できる。これを使えば外部に認証サーバを用意することなく、社内LANだけの閉じた環境でWindowsログオンにYubiKeyを使った二要素認証が可能となる。
この他、さまざまなシーンに多要素、二要素認証を追加できるクラウドサービス「YubiOn認証サービス」がある、YubiKeyが生成するワンタイムパスワードを使った認証を、既存のアプリケーションなどに容易に組み込むことが可能となる。開発支援ツールも用意しており、各種言語に対応したSDKを利用して、大規模な開発なく、WebアプリケーションやLinux系のSSHログイン、VPNログインなどにYubiKeyの認証機能を追加できる。
パスワードを使わない最新の認証技術FIDO2に対応したサービスも提供
ソフト技研は、「YubiOn FIDO2 Server サービス」も提供している。FIDOアライアンスはパスワードに依存せずに安全性・利便性を高めたオンライン認証を行う技術の開発と標準化を進める業界団体だ。FIDOアライアンスにはAmazon.comやFacebook、Google、Microsoftなどはもちろん、American ExpressやVisa、Mastercardなど、金融業界からも多くの企業が参加している。2020年には、新たにAppleも加わった。
FIDO2は、2018年にリリースされた最新の認証技術標準だ。専用ソフトウェアやハードウェアを用いずに、PINコードや指紋認証、顔認証および公開鍵暗号化方式を活用することにより、ネットワーク経路に認証情報が流れることなく、パスワードに依存しない安全性の高い認証を実現する。FIDOアライアンスに参加する各社が、FIDO2に対応する新たな認証の仕組みや、自社製品、サービスを推進している。既に全ての主要Webブラウザの他、WindowsやAndroidがFIDO2に対応済みだ。Microsoftは、Windows HelloをFIDO2に対応させている。今後はAppleの各種製品やソフトウェアも、これに続くだろう。
YubiOn FIDO2 Serverサービスは、いわば「FIDO2 Authentication as a Service」だ。社内に認証サーバを構築することなく、FIDO2ベースの認証を迅速に展開できる。「YubiOn FIDO2 Serverは、2019年3月11日にいち早くFIDO2サーバ認定を取得しました。生体やセキュリティキーによるFIDO2認証で利用できます。もちろんYubiKeyでも利用可能ですし、その他、各社から発売されているFIDO2認定を受けたセキュリティキーでも利用可能です」と藤田氏。
YubiOn FIDO2 Server サービスでは、Webの管理画面からアカウントや資格情報、認証器の管理が可能だ。認証ポリシーとして認証方法の制限や内蔵/外部認証器の制限などを設定できる。無料体験版も用意しているので、FIDO2認証器を利用した新しいパスワードレスの認証をすぐに試すことも可能だ。
認証強化にYubiOnを活用して生まれる余裕を新たなチャレンジに振り分ける
YubiOnを使えば、Windowsログオンや既に利用している各種サービスの認証強化が容易になる。ワンタイムパスワードから始めて、二要素認証、さらにはFIDO2によるパスワードレスの安全な認証が可能だ。「システムやサービスの要求に応じた認証強化を柔軟に実現できる点が大きな優位性になります。社内システムや自社サービスなどにも導入できるので、情報システム部門にとっては、どのような管理がしたいか、何に挑戦するのかといったクリエイティビティを発揮するための大きな助けになるでしょう」と藤田氏は言う。
企業の情報システム部門の多くは、これまでは守りのITに注力せざるを得なかった。つまり、過去からの資産をいかに守るかが、重視されてきたのだ。今後は新たなIT資産を迅速に構築し、既存IT資産を含め安全性を確保しつつ、IT資産をビジネスに貢献できるようにしていく必要がある。
その際にYubiOnを使えば、認証強化で安全性を高めつつ、IT資産の運用管理コストや手間を削減できる。生まれた余裕は、新たなデータ活用や自社サービス開発などに振り分けられるはずだ。「YubiOnの活用で、情報システム部門にはデジタル変革など新たなチャレンジに、より力を注いでほしい」と藤田氏は力を込めて語っていた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:株式会社ソフト技研
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年5月11日