Special
» 2018年09月10日 10時00分 公開

生体認証と多要素認証を当たり前にする:オンプレミスの業務アプリとクラウドサービスのハイブリッド利用における認証課題の現実解とは

昨今ではOffice 365の導入が進むなど、業務アプリケーションの実行環境をオンプレミスからクラウドへ移行する企業が増えてきている。だが、従来のオンプレミスで動く業務アプリケーションと比べて、認証における課題を抱えているのが実情だ。オンプレミス&クラウドのハイブリッド環境で多要素認証を実現するための現実解とは。

[PR/@IT]
PR

オンプレミスの業務アプリケーションとクラウドサービスのハイブリッド利用における課題

 企業で利用される業務アプリケーションは、これまでオンプレミスで動くのが基本だったが、昨今ではOffice 365の導入が進むなど、業務アプリケーションの実行環境をオンプレミスからクラウドへ移行する企業が増えてきている。また、業務アプリケーションの全てではなく、一部だけをクラウドサービスにすることで、オンプレミスとクラウドの良いとこ取りをする“ハイブリッド利用”のニーズも高まりつつある。

 一方で、インターネットでの利用が前提となるクラウドサービスは、従来のオンプレミスで動く業務アプリケーションと比べて、運用面とセキュリティ面に課題を抱えているのが実情だ。運用面では、クラウドサービスは「スマートフォンなどから場所を問わず使える」というメリットがある半面、各サービスへのアクセス時に、毎回ID/パスワードによるユーザー認証を行う必要があり、運用負荷の増大につながっている。またクラウドサービスの場合、ID/パスワードがインターネット上に流出しやすいため、フィッシングやパスワードの使い回しなどによる、盗聴、盗難被害のリスクが懸念される。

ディー・ディー・エス 営業本部 営業技術部 部長代理 兼 販売促進部 部長代理 石川竜雄氏

 さらにハイブリッド利用の場合には、オンプレミスで運用してきた多要素認証などのセキュリティ対策を、クラウドに拡張することも求められる。クラウドサービスはID/パスワードでの認証が基本のため、企業として認証のシステムを統一できなくなるという重大な課題に直面することになる。

 「オンプレミスの業務アプリケーションでICカードと生体認証による多要素認証を行っていた企業が、ハイブリッド利用を開始した場合、クラウドサービスには多要素認証が利用できず、ID/パスワードの認証になってしまう。また、利便性を向上させるためにシングルサインオンを導入しようとすると、Active Directory(以下、AD)のパスワードを社員に教えなくてはならなくなり、フィッシングやパスワードの使い回しなどによる、なりすましの危険性が高まることになる」と指摘するのは、ディー・ディー・エス 営業本部 営業技術部 部長代理 兼 販売促進部 部長代理の石川竜雄氏だ。

 こうしたハイブリッド利用における課題を解決すべく、ディー・ディー・エスが新たにリリースしたのが、「万能認証基盤 Themis」(以下、Themis)と「クラウド本人認証 マガタマサービス」(以下、マガタマサービス)の2つの認証ソリューションだ。

 「当社はこれまで、オンプレミス向けの認証基盤として『EVE MA』や『EVE FA』、クラウド向けには本人認証ソリューション『マガタマプラットフォーム』と、それぞれの環境に特化した製品をラインアップしてきた。今回、新たに提供する『Themis』と『マガタマサービス』は、それぞれオンプレミス向け、クラウド向けの製品となっているが、単体で利用するだけではなく、製品同士を連携させることができる。これにより、ハイブリッド利用での認証にも対応することが可能となった」(石川氏)

Themisとマガタマサービスの位置付け

 では、Themisとマガタマサービスは、それぞれどのような機能を備えているのか。まずは各製品の特長を見てみよう。

オンプレミス向けの多要素認証基盤「Themis」

 Themisは、オンプレミス向けの多要素認証基盤だ。使用中のPCに導入するだけで、代行入力方式によって、Windowsログオン、Webアプリケーション、デスクトップアプリケーション、VDI接続用のクライアントアプリケーションなど、幅広いシステムへのユーザー認証を、多要素認証に置き換えることができる。

Themisは何ができるのか?

 「認証要素には、『知識』『所持』『存在』の3つがある。『知識』は、利用者だけが知っている“情報”で本人を判断する要素で、例えばパスワードなどが挙げられる。『所持』は、利用者だけが持っている“モノ”で本人認証を行う要素で、ICカードやOTP(One Time Password)トークンなどがある。『存在』は、利用者の身に備わっている“特徴”で本人か否かを判断する要素で、生体情報などがある。この中でも生体情報を使った認証は、偽造が困難かつ盗難や紛失の恐れがないため、安全性が高く、多要素認証の組み合わせには必須といえる」(石川氏)

 Themisでは、この3つの認証要素を全てカバーしており、「知識」ではパスワード、「所持」ではICカード、OTPトークン、そして「存在」では指紋、顔、指静脈、手のひら静脈に対応。これらの認証要素を、ドメイン、グループ、ユーザーの単位で、システムが要求する認証レベルに合わせて、AND/ORで自由に組み合わせることが可能となっている。

 「特に、生体認証については、各認証方式の特徴を理解し、利用目的や場所などで使い分けることが大切だ。例えば、顔認証は明暗の影響を受けやすい、静脈認証は日光や寒暖の影響を受けやすいといった課題がある。これに対して、指紋認証は、明暗や寒暖の影響を受けにくく、センサーが小型で利用環境を選ばないため、広く受け入れられている」(石川氏)

 ディー・ディー・エスでは、多要素認証において、企業が容易に指紋認証を導入できるよう、デスクトップPCやノートPC、タブレットで使えるさまざまなタイプの指紋認証デバイスを用意している。

ディー・ディー・エスが提供する指紋認証デバイス

 またThemisの特長として、各種アプリケーションとの連携機能を、「開発不要」で実現できる点も見逃せない。業務で利用しているWebアプリケーションやデスクトップアプリケーション、仮想化環境への接続に利用するVDIクライアントアプリケーションに対して、登録画面から「虫眼鏡」を落とすだけの簡単操作で、各アプリケーションのログイン情報を登録。その後は、ログイン画面を検知すると自動で認証画面が表示される。生体認証などを行うことで、ID/パスワードを打つことなくログインができるようになる。

開発不要のアプリケーション認証

 さらに、Themis Serverでは、フェデレーション連携機能も備えており、Office 365やG Suite、kintone、SalesforceといったSAML 2.0に対応したクラウドサービスに対して、多要素認証によるシームレスなシングルサインオンが可能となる。

 この他、ADとの連携も可能で、ADのアカウント作成時に、自動でThemis Serverにエントリーを作成したり、ADでのパスワード変更により、Themis Serverに保存されているパスワードを自動変更したりすることができる。複数のADからIDを同期でき、また、ADがない環境でも多要素認証の運用が可能となっている。

クラウド上での本人認証基盤を提供する「マガタマサービス」

 マガタマサービスは、クラウド上での本人認証基盤を提供するソリューションで、本人認証にFIDO認証を利用している点が大きな特長だ。

 FIDO認証は、非営利団体FIDOアライアンスが推奨するオンライン認証の国際標準認証規格。パスワード認証に代わる新しい認証技術の一つだ。生体情報によるセキュアかつ利便性の高い認証サービスを実現するものとして注目を集めている。FIDO認証では、指紋などの生体情報は本人が持つスマートフォンのみに保管される。生体情報を通信するのではなく、署名データのみを通信するため、ネットワーク上で盗聴される危険性もない。また、従来のID/パスワードのように忘れてしまうこともない。

 マガタマサービスは、このFIDO認証を利用することで、クラウドサービスへのセキュリティ対策と利便性向上を同時に実現する、フェデレーションのソリューションだ。セキュリティ対策では、認証を行うIdP(Identify Provider)であるマガタマサービスの保持するID情報と、サービスプロバイダー側のID情報をひも付けることで、クラウドサービス利用におけるセキュリティを強化する。利便性の向上では、SAML 2.0に対応したフェデレーションにより、利用中の複数のクラウドサービスへのログイン方法を統一できる。

クラウドサービスへの認証をFIDOで

 「例えば、従来のID/パスワード認証でシングルサインオンを行う場合、フィッシングやパスワードの使い回しなどのリスクがあることに加え、1つ突破されてしまうと、その後全てに波及する危険性もある。実際に、シングルサインオンサービスの不正アクセスによって、顧客データが被害に遭った事例もある。これに対して、マガタマサービスでは、各クラウドサービスへのアクセスをパスワード認証ではなく、FIDO認証に集約し、フェデレーション連携を行うことで、クラウドサービスを安心、安全かつ便利に利用することが可能になる」(石川氏)

Themisとマガタマサービスの連携

 ここまで、Themisとマガタマサービスそれぞれの機能や特長を見てきたが、最も重要なポイントとなるのは、この2つの製品がシームレスに連携できる点だ。オンプレミスでの多要素認証を提供するThemisと、クラウドサービスとのフェデレーション連携を行うマガタマサービスを融合させることで、社内システムだけではなくクラウドサービスまで含めて、さまざまなデバイスから多要素認証を利用できる環境を実現する。

製品連携

 また、マガタマサービスとThemisとの間で、ADからのIDを連携させることも可能で、Themis ServerからマガタマサービスへIDを連携させることで、クラウドサービスのログインに同期IDが利用できるようになる。

 「オンプレミスの業務アプリケーションでは生体認証による本人認証を行っているが、クラウドサービスのOffice 365を利用する際はID/パスワード認証になっているため、セキュリティに不安が残る場合がある。こうしたハイブリッド利用における認証の課題を一挙に解決できるのが、Themisとマガタマサービスを連携させて利用する最大のメリットといえる。これにより、社内のデスクトップPCからでも、外出先のノートPCやスマートフォンからでも、場所もデバイスも問わず、生体認証を使ってセキュアにクラウドサービスにアクセスできる環境を構築できる」(石川氏)

 なおディー・ディー・エスでは、Themisとマガタマサービスの機能拡充を順次進めていく計画だ。Themisについては、2018年11月に手のひら静脈認証、指静脈認証、AD連携の拡充、個人ポータルページでのフェデレーション連携一覧表示やログ参照などの機能を提供。2019年2月をめどに、顔認証にも対応するとともに、「EVE MA」や「EVE FA」からの移行ツールを提供する予定だ。

 マガタマサービスについては、2018年11月にiOS、Androidで独自に実装している顔認証に対応。また、ThemisとマガタマサービスのID連携機能、およびポータルページでのフェデレーション連携一覧表示機能を提供する。2019年2月には、Windows端末単体でも利用できるようWindows内でのブラウザ認証機能をリリースする予定だ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ディー・ディー・エス
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年10月9日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。