コロナ禍で増えるオンライン化、自社サービスの「セキュリティ体験」を向上させるカギとは:二要素認証がWebサービスの必須要件に
自社サービスをオンライン化し、広くアクセスしてもらう際に課題となるのが認証だ。IDとパスワードの組み合わせだけでは十分なセキュリティを保つことができないため、二要素認証の導入が広がっている。ただし、ユーザーに負荷をかけ、セキュリティ体験を下げないように工夫する必要がある。
セキュリティを強化してもユーザーの利便性が損なわれては意味がない
コロナ禍の影響で、さまざまなビジネスシーンのオンライン化、デジタル化が加速している。店舗における接客などが制限されていることもあり、ECサイトなどを新たに立ち上げる動きも活発化している。だが、初めてビジネスのオンライン化やデジタル化に取り組む企業は、セキュリティの強化や安全性の確保が最低限必要となることを、どれだけ意識しているのだろうか。
近年、セキュリティ対策を施していても、Webサービスからグローバル規模で大規模な情報漏えい事故が発生している。その理由の一つが、多くのオンラインサービスでは、IDとパスワードを使って認証を行っていることだ。IDとパスワードはいったん盗まれると流用が容易で、不正アクセスにつながる。
パスワードにはサーバや通信経路からの漏えいの可能性や、フィッシングによる盗難などの懸念がある。そもそも使っているパスワードの数が多過ぎて、もはや記憶によって管理する限界を超えている。その結果としてパスワードの使い回しはもちろん、サービスのID登録が面倒になり、サービスからの離脱や利用停止にもつながりかねない。
そのためWebサービスには、新たに二要素認証などを導入してユーザーの利便性を損なわず、認証部分のセキュリティを強化することが求められている。
「金融や医薬品などの情報システムやWebサービスについては、省庁からガイドラインが出ており、できるだけ二要素認証を実装することが求められています」と話すのは、ソフト技研 営業統括責任者・マーケティング担当の福野哲也氏だ。
二要素認証などを導入してセキュリティを強化するには、さまざまな方法がある。
スマートフォンのSMSや認証アプリケーションを用いたワンタイムパスワードを追加した場合は、ユーザーがログインする際にまずPC画面でIDとパスワードを入力し、ログインボタンをクリックする。するとワンタイムパスワードがスマートフォンのSMSで届き、ユーザーはスマートフォン画面を見ながらそれをキーボードで打ち込む。
残念ながらこの作業はIDとパスワードの組み合わせよりも手間がかかり、場合によってはワンタイムパスワードが届かなかったり、打ち込むのが間に合わず再送しなければならなかったりする。この方法だと、セキュリティを強化できても、ユーザーの利便性やユーザー体験が損なわれ、サービスの離脱を招く。
セキュリティ対策の強化の仕方によっては、ビジネスをオンライン化、デジタル化した意味が薄れてしまうのだ。
そもそもPCしか使えない法人向けだったり、大画面が求められたり、スマートフォンを認証に使うことができないWebサービスを提供するビジネスもある。脱はんこや脱ファクシミリなどのメッセージが政府から発信され、社内システムやB2B領域においてもオンライン化、デジタル化の波が来ている。既存の業務システムをWebサービス化して、テレワークに対応しやすくする取り組みも増えているのだ。
YubiOnならデジタル化における多様な認証強化の要求に対応しやすい
このようなセキュリティ強化、二要素認証導入の課題を解決するにはどうすればよいだろうか。より強固な認証の仕組みを容易に利用できる認証ソリューションが必要だ。
ソフト技研はスウェーデンの企業Yubicoが提供する多機能認証デバイス「YubiKey」や、さまざまな外部認証器のハードウェアキーを活用して二要素認証を導入しやすくする「YubiOn」シリーズを提供してきた。
YubiKeyにタッチするだけでPCのログオンやネットワーク認証、オンラインサービスへのアクセス保護が可能となる。なぜなら、YubiKeyは1本で複数の機能に対応したセキュリティキーだからだ。FIDO2(Fast IDentity Online2)はもちろん、他にもさまざまな認証に対応している*注1、*注2。
*注1 パスワードに依存せずに安全性や利便性を高めたオンライン認証技術の開発と標準化を進める業界団体FIDOアライアンスが2018年にリリースした最新の認証技術標準。公開鍵暗号化方式を活用し、専用ソフトウェアやハードウェアを用いずに、PIN(Personal Identification Number)や指紋認証、顔認証などネットワーク経路に認証情報を流さずに、パスワードに依存しない安全性の高い認証を実現できる。
*注2 WebAuthnやU2F(Universal 2nd Factor)、PIV(Personal Identity Verification)スマートカード、Yubico OTP(One Time Password)、電子署名、OpenPGP(Pretty Good Privacy)、OATH(Initiative for Open AuTHentication)、OATH-TOTP(Time-based One-Time Password)、HOTP(HMAC-based One-Time Password)、チャレンジレスポンス認証などに対応している。
さらにYubiOnは、より安全性の高いFIDO認証の普及に伴い、パスワードレスのFIDO2認証に対応する製品も展開している。
FIDOアライアンスには、GoogleやMicrosoft、Apple、ヤフー、LINEなどIT業界をリードする企業、Webサービスが数多く参画しており、次世代の認証技術の標準規格を策定している。ソフト技研もFIDOアライアンスメンバーの一員だ。FIDOアライアンスは「FIDOサーバ」「FIDOクライアント」「オーセンティケータ」の相互通信をテストし、製品を認定している。これにより各ベンダーは、FIDO仕様書に合った製品やサービスを提供している。
個人情報など機密性の高いデータを扱っているため、二要素認証導入に際して、既存のシステムを独自に改変して認証の仕組みを追加する場合もあるだろう。それには、大幅なコードの改変などが伴い、簡単ではない。
「二要素認証の導入には、FIDO2認証という規格に対応可能な『YubiOn FIDO2 Server』といったFIDOサーバを使うことで、簡単にセキュリティを強化できます」(福野氏)
情報発信サイトやECサイトなどを構築する場合に、認証部分をYubiOn FIDO2 Serverに任せるようにすれば、開発に手間をかけずに認証を堅牢(けんろう)化できる。既存システムにYubiOnを用いた二要素認証の機能を追加するための開発支援ツール(SDK)もソフト技研は提供している。自社サービスなどに、自分たちの手で認証の仕組みを組み込んで強化しやすい。
これまではファイアウォールの中で守られてきた独自開発の業務システムをWebサービス化し、リモート環境から利用したいこともあるだろう。この場合も、安全性を高めるために認証を強化することになる。YubiOn FIDO2 ServerとSDKを使えば、認証の強化とユーザーの利便性の向上を両立させることができる。
「YubiOn FIDO2 Serverはコロナ禍でオンライン化が進む中、認証を強化してIDやパスワードの漏えいなどを防ぎつつ、セキュリティ面のユーザー体験向上に貢献できます」(福野氏)
なお、ソフト技研は他にもPCログオンのセキュリティ強化サービスとしてYubiOn FIDO2 Serverのクラウドサービス版「YubiOn FIDO Logon」、「Yubico OTP」(One Time Password)で認証するクラウドサービスの「YubiOn Portal」も提供しており、さまざまな認証のユースケースに対応できる。「Active Directory」を使っている場合でも、Active Directoryには何ら手を入れずに二要素認証を追加できる。
北海道建設新聞社や薬局のオンライン化で採用
YubiOnを活用し認証を強化しているのが、北海道建設新聞社だ。同社は有料会員向けに入札情報や企業情報など価値の高い情報を提供する会員制Webサイト「e-kensinプラス」を提供している。「e-kensinプラス」は法人が契約するが、利用するのは個人なので、サイト利用における認証セキュリティには工夫が必要だ。そのため同社はUSBデバイスを利用した認証サービスを導入、高いセキュリティと簡単な認証動作のバランスを評価し、YubiOnを選択した。
北海道建設新聞社のビジネスモデルは従来、紙の新聞を購読してもらうことを中心としていた。そこからオンライン化し、付加価値の高いデジタルサービスを提供している。紙であれば顧客企業に必要な部数の新聞を購読してもらうことになるが、オンラインの場合はユーザーを管理し、必要なユーザー数分のIDを発行して有料コンテンツにアクセスしてもらう。
有料コンテンツへのアクセスにIDとパスワードを使うことには課題がある。どちらも簡単に共有できてしまい、正確なユーザー管理は難しい。YubiOnを活用することで、キーにひも付いた人と端末だけが有料コンテンツにアクセスでき、厳密なユーザー管理が可能となる。
このようにYubiOnで認証が強化された上に、ユーザーはキーにタッチするだけで情報にアクセスできるので、ID、パスワードでログインするよりも利便性が向上しているのだ。
他にも薬局で処方箋情報を扱うシステムの認証強化に、YubiOn FIDO2 Serverを使った二要素認証の導入事例がある。薬局で処方箋のシステムを利用するユーザーは、YubiKeyを使った認証が容易になり、他にも生体認証やスマートフォンなどFIDO2をサポートする多様な認証キーが利用できる。この薬局はYubiOn FIDO2 Serverを導入することで、二要素認証の導入が容易になり、認証管理の負荷も下がったという。
「ソフト技研はFIDOアライアンスのメンバーでもあり、FIDOの新しい仕様にもタイムリーに対応しています。YubiOnの製品やサービスは、将来も安心して使えます。担当者はビジネスのデジタル化、ひいては新しいデータの活用やサービスの開発に集中し、さらにはデジタルトランスフォーメーション(DX)を推進できます」(福野氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 企業がゼロトラストセキュリティを採用、最初の一歩「認証」を強化するには
社内、社外を問わず、全てのユーザーやデバイス、接続元の場所を「信頼できない」ものと捉え、アクセスの際に適宜正当性を検証して安全性を確保するゼロトラストセキュリティ。その仕組みを取り入れる企業が増えており、導入の第一歩として認証の強化がある。複雑な製品を導入することなく、柔軟に認証を強化するにはどうすればよいのだろうか。 - 閉域ネットワークで二要素認証が必須な現場、情シスがとるべき現実解とは?
個人情報や重要な情報を守るために、組織内にインターネットと接続されていない閉域網を構築することは珍しくない。だが、これだけでは内部不正などから情報を守ることはできない。IDとパスワードを用いた認証では不十分であり、二要素認証が必要だ。どうすれば閉域網内で二要素認証を実現できるのだろうか。
関連リンク
提供:株式会社ソフト技研
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年9月29日