“1本橋”のクラウドアクセスに潜むリスクとは
今やクラウドサービス(SaaS)は、多くの企業で利用が進んでおり、最近ではミッションクリティカルな領域においてもクラウドサービスを用いるケースが増えている。その一方で、様々なサービスが個別に提供されることから、企業側での管理が煩雑となっており、クラウドに預けた自社の機密情報をいかに守るか、セキュリティの確保が大きな課題となっている。
そこで注目したいのが、クライアント証明書を活用したSaaSへのセキュアなアクセス環境の構築である。SaaSではブラウザで利用するWebアプリケーションが一般的だが、Webアプリでもクライアント証明書を用いた認証は可能なのだ。しかも、1枚のクライアント証明書を複数のWebアプリの認証に用いるといった使い方もできるのである。
また、複数サービスプロバイダのSaaSを利用している場合に、各サービスへのログイン時の煩雑性の軽減や、SaaSへの認証にActive Directoryなどの社内認証基盤の利用を可能とする技術としてSAMLによるシングルサインオンが普及しつつある。しかし、このSAMLによるシングルサインオンがIDとパスワードのみで行われていた場合、リスクが増大してしまう恐れがある点に注意が必要だ。
なぜならば、メールやグループウェア、CRM、ERPなど、あらゆるサービスが1箇所の認証を介せば使用できてしまうため、もしもそこが破られてしまえば、企業の情報はほぼ丸裸の状態となってしまうからである。いわば、深い堀に囲まれた城に通じる一本橋のようなもので、侵入経路を1箇所に絞ることができるメリットがあるものの、1度そこが突破されてしまえば城全体に危険が及んでしまうというリスクを兼ね備えているのだ。「セキュリティ強度が一番弱い部分が全体のセキュリティ・レベルを決定する」というのは、情報セキュリティの基本的な考え方であることを忘れてはならない。
そもそもパスワードは、安全性が十分でないばかりか管理面でもユーザーに手間を強いることになる。一定期間ごとの変更や、一度用いたパスワードは使用させないといったルールにした結果、ユーザーはそれぞれ紙やテキストファイルにパスワードを記して保存してしまうといった状況に陥りがちだ。また、パスワードリスト攻撃などパスワード認証の性質を悪用した攻撃も後を絶たない。
一方、クライアント証明書をSaaSの認証に利用すれば、セキュリティとユーザーの利便性の確保の双方が実現できる。例えば、Webアプリサーバでクライアント証明書に書かれているユーザーアカウント情報をそのままそのアプリのログインIDとして利用するようにすれば、電子証明書は内容の改ざんが技術的に不可能なため、パスワードが万一漏れたとしても証明書と対になる秘密鍵さえしっかりと守れればIDの詐称をすることも不可能にできる。
電子証明書を“通行手形”にして不審者の侵入をブロック!
Webアプリやシングルサインオン環境の「橋」を通過する際には、IDとパスワードだけではなく、それに加えて電子証明書を用いて認証を行うことで、“なりすまし”を見抜いて部外者の侵入を確実に食い止めるアプローチが必要になってくるのである。この電子証明書の発行・管理を効率的に行うことができるのが、前回紹介した、JCCH・セキュリティ・ソリューション・システムズ(JS3)のプライベート認証局(CA)製品「Gleas(グレアス)」だ。
Gleasを用いることで、クライアント証明書による認証が可能となり、クラウドサービスへのアクセスも、あらかじめ許可された端末/ユーザーのみに絞ることができる。証明書を活用すれば、誰がいつどこにアクセスしたのか、個人の特定と履歴の把握もより確実になるため、コンプライアンスにも貢献する。また、クライアント証明書をPCおよびスマートデバイスに格納することによるデバイス認証に加えて、証明書をUSBトークンやICカードなどのセキュリティデバイスに格納することで利用者の多要素認証も可能となる。
クライアント証明書の管理・運用方法については、各利用企業ごとに多種多様だ。そこで、国内ベンダーであるJS3が自社開発しているGleasでは、各企業の要望に基づいた新機能の実装や個別カスタマイズを積極的に実施している。そのため、これまでにPKIを利用したことのない企業であっても認証局の導入から運用まで容易に行うことができるのである。
また、大企業やサービスプロバイダ向けのカスタマイズ可能なモデルや中小企業向けのスモールスタート用モデル、サービス提供モデルなどのモデルがラインナップされているため、各企業の利用規模・目的に応じた製品選定が可能となっている。
|
|
|
管理者画面(左) 利用者画面(右) |
|
B2Bでも活用が進むプライベートCA
昨今では、在庫確認や受発注など、パートナー企業向けにB2BのWebアプリケーションを提供する企業も増えている。このようなB2Bのアクセスにおいても、社内システムと同様の機密情報が取り扱われることになった点に注意が必要だ。つまり、社外のユーザーに対しても社内ユーザーと同レベルの高いセキュリティを確保する必要がある。そうなれば、やはりID+パスワードによる認証だけではとても安全とはいえないだろう。
このような事情から、B2Bアクセスにおいても、電子証明書による信頼性の高い認証を可能にするGleasが採用されるケースが増えている。例えば、地域の中核病院と周辺のクリニック・診療所間の医療情報共有を専用回線ではなくインターネットを使って行うために、電子証明書をUSBトークンに格納した二因子認証SSL-VPNを活用し、地域医療の質の向上を図ったり、また、インターネット経由での大型コンピュータへのアクセス用に、グローバルに散らばった多数のユーザーに対してクライアント証明書を配布するしくみを構築し、各ユーザーにセキュアな接続を認識させて活発な利用を促したり──といったことがGleasを利用して現実に行われているのである。
|
セキュアなリモートアクセス環境構築の利用例 |
Gleasのクラウド化も
これまではオンプレミス設置が主だったが、最近はIIJ GIOやAmazon EC2をはじめとして、各クラウド事業者の仮想サービス上で、Gleasを構築・運用するケースが増えてきている。
今後はIoTやM2MといったPC・スマートデバイス以外の世界でもGleasの発行した電子証明書を用いた認証は利用されていくだろう。 3回目となる次回は、ネットワーク機器ベンダーへの取材を通じて、Gleasとの認証連携によりさらに広がる活用方法を紹介することにしたい。
クラウドにもB2Bにも、アクセス基盤の最適解となるプライベートCAリモートアクセス、社内のWi-Fi接続、 |
|---|
(マイナビニュース広告企画 : 提供 JCCH・セキュリティ・ソリューション・システムズ)
[PR]提供:JCCH・セキュリティ・ソリューション・システムズ
ソブリンクラウドを構築する富士通、KDDIはモダン化 - Oracle Cloudの活用事例を紹介