本コラムは、株式会社 Jiransoft Japanの特設サイトに掲載されている「Jiransoft Japan 公式ブログ」より転載したものです。

クラウド型のオンラインストレージサービスを社内業務で活用したいと考えている企業は多いのではないでしょうか。企業で使うオンラインストレージはプライベートな用途と異なり、選定の際はセキュリティ面でおさえておきたい機能がいくつかあります。そのひとつがデバイス認証です。

デバイス認証は、企業で使うオンラインストレージになくてはならないといってよいほど重要な機能なのです。

オンラインストレージのデバイス認証とは

デバイス認証とは、オンラインストレージを利用するときに用いるパソコンやスマートフォン、あるいはタブレット端末といった情報端末を個別に識別できるセキュリティ管理機能のことです。デバイス認証を用いると、たとえば利用者がふだん使用している端末にのみ、オンラインストレージへのアクセスを許可することができます。

デバイス認証を使ってログインできる端末を限定すると、何者かがIDとパスワードを知り得たとしても、認証されていない端末からアクセスするためオンラインストレージへログインできません。したがって、外部からの不正アクセスを防止できるのです。

個人向けのオンラインストレージサービスでは、二重パスワードを設定して不正アクセスを防止するといった機能はありますが、デバイス認証を提供しているところはあまり見かけません。デバイス認証は企業向けのオンラインストレージサービス特有のセキュリティ機能といってよいでしょう。

デバイス認証がないとどんなリスクがある?

デバイス認証のないオンラインストレージでは、セキュリティ管理上で防ぎきれないリスクがあります。

ひとつは、端末の紛失や盗難により利用者以外の人が社内のオンラインストレージにアクセスしてしまうリスクです。自動ログインにしたまま端末をなくしてしまうと、それを拾った人は故意の有無にかかわらずオンラインストレージ内に保存してあるファイルやデータを閲覧してしまうかもしれません。もし、社外秘の情報を見られてしまえば、業務に支障をきたしてしまいます。早急に紛失した端末からオンラインストレージにアクセスできないようにしなければ、時間が経つほど第三者によるアクセスのリスクは高まっていくでしょう。

また、最近ではIDとパスワードリストを不正に入手して、機械的にログインを試みるリスト攻撃が多発しています。デバイス認証のないオンラインストレージサービスでリスト攻撃による不正ログインが成功してしまうと、インターネットに接続されているどの端末からでもログインが可能となります。その結果、保存しているデータを盗み見されたり、コピーされたりするリスクがあります。

端末の紛失やリスト攻撃への対策に有効なデバイス認証

デバイス認証は、端末の紛失やリスト攻撃を受けたときのセキュリティ対策に威力を発揮します。

社員が端末を紛失したときは、オンラインストレージを管理している社内の担当者へ直ちに連絡すれば、該当端末からのログインを遮断できます。そして、紛失した端末が遠隔制御のできるスマートフォンの場合、自分自身で他の端末を使って遠隔ロックをかければ万全です。

リスト攻撃も、管理担当者が認証デバイス以外からのアクセスを許可しないように設定しておけば、たとえIDとパスワードの組み合わせが一致して不正ログインが成功しても、ストレージ内のデータを閲覧することはできません。もし、IPアドレスでアクセス制御できる機能もあれば、特定のIPからのみログインできるようにすることでセキュリティをより強固にできるでしょう。

端末の紛失とリスト攻撃のいずれの場合も、該当アカウントの停止措置をとれば不正アクセスを防げます。しかし、アカウント停止をしてしまうと、そのアカウントを所有している人も保存したファイルを閲覧できなくなってしまいます。デバイス認証を使って特定の端末だけ遮断すれば、認証済みの別の端末でログインすることで通常と変わりなくオンラインストレージを利用できます。

デバイス認証は、業務への影響を最小限に抑えつつセキュリティ対策がとれる長所をもっているのです。

デバイス認証は企業向けオンラインストレージサービス選びに重要な要素

企業でオンラインストレージを利用するときに神経をとがらせるのは、保存してある情報を部外者に盗み見されたり、外部へ持ち出されたりすることへのリスクです。その対策として、研修を通じて社員にパスワード管理を徹底するなどの指導を行うでしょう。

しかし、端末の紛失・盗難やリスト攻撃による不正ログインは、パスワード管理だけではリスクを回避しきれません。不測の事態が起きたとき、端末のアクセス制御ができないとストレージ内の保存データを守り切れないからです。これを克服できるのがデバイス認証なのです。デバイス認証は企業向けのオンラインストレージになくてはならない重要な機能といえます。

社内業務にオンラインストレージの導入を検討するときは、デバイス認証の有無を確認しておくのがよいでしょう。企業向けのオンラインストレージサービスは数多くあります。選定の際は、デバイス認証を備えているかを考慮に入れておきたいところです。

[PR]提供:ジランソフト