Special
» 2020年03月04日 10時00分 公開

テレワーク、クラウドサービスのSIにおける要、『認証強化』:パスワードよりも安心、生体認証よりも低コスト、トークン型ワンタイムパスワードよりも効率的なソリューション「トークンレス・ワンタイムパスワード」

「働き方改革」への対応、地震、台風といった災害対策、新型コロナウイルスをはじめとする感染症への対策などによる、テレワークやクラウドサービスの需要増に伴い、“認証”の強化が企業の課題となっているが、手間とコストの問題がつきまとう。安全を担保しつつ、手間とコストの削減につながる認証ソリューションを紹介する。

[PR/@IT]
PR

パスワード認証だけではシステムは守れない

 多くの企業が「働き方改革」に取り組み始め、多様な働き方を実現しようとしている。その社会情勢もあり、SI企業などではテレワーク環境の整備、構築を提案する機会が増えている。テレワークだけではなく、フリーアドレスの実現やクライアントPCの運用管理効率化に向けて、デスクトップ仮想化(VDI)を導入する企業も増えており、SI企業には多様なソリューションを組み合わせた提供が求められている。

 テレワークへの関心は、まずは東日本大震災の発生以降に高まった。出勤が困難な状況において、自宅やサテライトオフィスなどから社内ネットワークに接続し、柔軟に業務できる環境を整えて、ビジネス継続性を確保することに関心が集まっている。

 これに加え、大規模イベントによる都内の交通機関の混雑緩和を目的とした政府主導のテレワーク推奨が導入のきっかけとなっている。昨今は台風や地震などの自然災害も増えており、その際にテレワークを実施し、業務継続に向けて柔軟に対応ができるかどうかは重要な課題だ。さらに、新型コロナウイルスやインフルエンザなどの感染症対策も、テレワークに改めて注目が集まる原因となっている。社員の感染防止のために、いち早く全社規模でテレワークによる業務態勢を宣言した企業もある。今後の人手不足が懸念される日本において、効率的に労働力を生すことと、トラブルに対応できる業務環境があるかどうかは、業績にも影響するといってもいいだろう。

 もう一つのIT環境の変化として、Office 365やSalesforceなどのクラウドサービスの利用がある。

 クラウドサービスの利用とテレワークに共通する課題が認証セキュリティの確保だ。テレワークやクラウドの利用は、社外からインターネット経由で行われることが前提となっている。外部のオープンなネットワークを利用する際に、これまで以上に認証部分を強化したいと考える企業は多い。その理由は、昨今取り沙汰されている悪意ある攻撃者による不正アクセス事件の発生だ。

ALT 認証強化の必要性《クリックで拡大します》

 不正アクセスには、既知のシステムの脆弱(ぜいじゃく)性を突くものもあれば、パスワード認証の脆弱性を突くものもある。

 パスワード認証への攻撃で代表的なものは、攻撃者が何らかの方法で入手したID、パスワードのリストを利用するリスト型攻撃である。もし、社員がパスワードを、プライベートで利用しているサービスと、業務システムとで同一のものを使用していた場合、リスト型攻撃によって侵入を許してしまうことになりかねない。そのため、全社規模でパスワード以外の認証方法の導入を検討する企業が、ここ最近は増えているのだ。

 SI企業には、企業が抱えるこれらの課題に総合的に対応する提案力が求められているが、中でも認証に関しての課題は対応が急務といえるだろう。

手間とコストを大きくかけずに認証を強化できるトークンレス・ワンタイムパスワード

 ところで認証の強化を考えた際に、真っ先に思い付くのは指紋や顔認証などの生体認証ではないだろうか。これら生体認証は、今やスマートフォンなどにも搭載され、かなり身近なものになった。とはいえ、全社規模のクライアント環境に生体認証を導入するとなると、そのハードルはまだまだ高い。「全社規模で生体認証を導入しようと考え見積もりを取ると、予算に合わない結果となるケースをよく聞きます」と話すのは、パスロジ 経営戦略室 マーケティングチーム マネージャーの黛慎一氏だ。

 指紋認証では、指紋の読み取り装置が必要になる。内蔵型の端末や外付け機器を全社員分用意するとなれば、コストは高額となり故障などに対応する運用の手間も増える。顔認証などでも、うまく認証できないといったことへの対応は、IT部門の業務として新たな負担増となりかねない。

 一方でセキュリティの強化は、保険のようなものだ。ガバナンスの面でも必要となる。そのため企業では、セキュリティは強化したいがなるべくコストや手間をかけたくない、というのが本音だろう。そのような際に、なるべく安価で運用の手間もかからない認証強化の方法はないのか――「それに応えることができるのが、PassLogicの『トークンレス・ワンタイムパスワード』です」と黛氏は言う。

ALT PassLogic「トークンレス・ワンタイムパスワード」の仕組み《クリックで拡大します》

 従来のワンタイムパスワードは、専用の小型の端末(トークン)やスマートフォンのアプリに、一定時間ごとに自動的に新しいパスワードが発行され、発行されたパスワードは短時間しか使えないので流出しても再利用できないという仕組みだ。一方、トークンレス・ワンタイムパスワードは、トークンやスマートフォンを必要とせずにワンタイムパスワードを実現したものだ。

 PassLogicのトークンレス・ワンタイムパスワードでは、Webブラウザに表示される乱数表から数字を抜き出して入力する方式を採っており、パスワードを覚える代わりに乱数表のマス目の位置と順番を、ユーザーがパターンとして覚えて利用する。

 誰でも思い付くような単純なパターンを選んでしまえば、パスワード認証と同じようにパターンを推測される危険性はあるが、単純なパターン設定を排除する機能があり、後述のクライアント証明書との併用も可能なため、このような懸念は容易に払拭(ふっしょく)して安全性を高めることができる。PassLogicには連続してパターンを間違えた場合のロックアウト機能やパターンを忘れた際の再設定機能なども用意されており、運用管理の手間が少ないのも特長となっている。

 「トークンレス・ワンタイムパスワードは、パスワード認証を止めたい場合に、生体認証やトークン型よりも低コストで導入、運用ができます。ユーザーにとっても、持ち歩いて、取り出す必要あるトークン型よりも面倒がなく、受け入れられやすのではないでしょうか」と黛氏。PassLogicはこれまで、ハードウェアトークンを使ったワンタイムパスワードからの乗り換えで採用する企業が多かった。それがここ最近では、より広いニーズに応える認証強化の方法として採用されるケースが増えているという。

ALT PassLogic利用イメージ《クリックで拡大します》

 他の認証セキュリティのソリューションでは、認証機能とシングルサインオン機能が分離しており、別途導入するものが多い。PassLogicの場合は、基本的なシングルサインオン機能が搭載されているので、これだけで認証強化とシングルサインオンを導入できることも、幅広く採用される理由の一つだという。

 さらに、情報システム部門の担当者や機密情報にアクセスする権限を持った社員については、認証をより強固にするために、ハードウェアトークンやソフトウェアトークン型のOTP認証を適用することも可能だ。またWindows OSのログオンにも対応でき、WindowsにPassLogicでログオンすればActive Directoryなど既存の認証の仕組みに手を入れずに認証強化を実現できる。

 他にも特定のクライアント証明書をインストールした端末のみログインを許可する機能があり、トークンレス・ワンタイムパスワードとの組み合わせで認証用デバイスを使わずに2要素認証も実現できる。このような柔軟性の高さも「SI企業などでのPassLogicの提案をしやすくしています」と黛氏は言う。

PassLogicの容易で多彩な連携性

 PassLogicは、RADIUS、SAML 2.0、リバースプロキシ、REST APIのプロトコルに対応しており、環境構築の際に、VPNやVDIから社内のWebアプリケーション、クラウドアプリケーションに至る多彩なシステムとの連携が容易に行える。APIを利用すれば、サービス側にPassLogicの認証を組み込むことも可能だ。

 Office 365やBox、Salesforceなどのクラウドサービスをはじめ、主要なVPN、VDI、グループウェアなど連携確認済みのサービスも多い。この辺りの連携性の高さも、SI企業が提案しやすいポイントとなる。

 PassLogicではゲートウェイサーバと認証サーバを1台のサーバで運用できる。またゲートウェイサーバを分離しDMZに置くことで、社内ネットワークと切り離すことも可能だ。この構成ならインターネット経由のアクセスを分けることができ、安全性を高めることができる。他にもロードバランサーを使った冗長構成も可能となっている。

ALT PassLogicサーバ構成例《クリックで拡大します》

 2020年2月時点でPassLogicは、200社以上で利用されており、117万ものIDで利用されている。16のクラウドサービスや通信事業者のオプションサービスにも採用されており、実績は十分にある。自社で導入しているSI企業が、自社の利用実績を把握したうえで顧客に提案しているケースもある。

 また中核となる認証技術そのものは独自だが、周辺機能についてはオープンソースソフトウェアを組み合わせて実現していることで、エンジニアが動作を確認しやすい仕組みとなっていることも好評だという。「データベースにはPostgreSQLを利用しており、WebサーバにはApacheを活用しています。提案がしやすいとの声もよく聞こえてきます」と黛氏。

 PassLogicは、オンプレミスのLinux環境で動くソフトウェアとして提供されている。Amazon Web Services(AWS)、Microsoft Azure、FUJITSU Cloud Service for OSS、Google Cloud Platformでの動作が確認済みだ。AWSとAzureでは、マーケットプレースから仮想アプライアンスの形でも導入できる。この場合は、30分もあれば環境の構築が可能だという。価格もシンプルで、初年度のソフトウェア費用と年間保守料での利用か、サブスクリプション型で年間ライセンス方式での利用も可能だ。

 さらに2020年3月から、SaaSとして利用できるクラウド版のサービスも提供を開始した。こちらの費用もサブスクリプション型で、ID数に応じた利用料と利用開始時の事務手数料だけで、すぐに全ての機能が利用できる。

 今後もテレワークやVDIの導入、クラウドサービスの利用など多彩な要求は増えていくと考えられる。その際にパスワード認証だけではなく、より強化した認証の仕組みを導入したいという要望も増えるだろう。その際に、コストと運用管理の手間を削減し容易に認証を強化できるトークンレス・ワンタイムパスワードの仕組みがあることを、SI企業は改めて認識し、幅広い提案の材料とするのはいかがだろうか。

◆PassLogic製品をもっと詳しく知りたい方は◆

 トークンレス・ワンタイムパスワードの仕組みや入力画面、動画といった詳細な機能や、導入方法、連携検証済み製品などについては「PassLogic製品紹介サイトhttps://passlogic.jp)」をご覧ください。


◆PassLogic クラウド版サービス開始記念キャンペーン実施中!◆

 アンケート回答&メルマガ登録で、Amazonギフト券5000円分プレゼント!


Copyright © ITmedia, Inc. All Rights Reserved.


提供:パスロジ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年3月26日

サービス開始キャンペーン

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。