情報を保護するうえでいまや必須の対策
企業や自治体を狙ったサイバー攻撃が日常化した。不正アクセスや情報漏洩が発生しない日はないと言えるほど、全国各地で被害が頻発している。2016年1月からはマイナンバー制度の運用が本格的に始まったこともあり、情報セキュリティに対する意識はかつてないほど高まっている。それでもなお、セキュリティ事故が後を絶たないのが現状だ。
こうしたことを受け、国は、国民や組織、自治体を守るためのさまざまな法制度やガイドラインの策定を急ピッチで進めている。そのなかで有効な施策の1つとして推奨されているのが「二要素認証」だ。
たとえば、総務省は日本年金機構へのサイバー攻撃やマイナンバーの本格運用に向けて、自治体向けに「自治体情報システム強靱性向上モデル」に基づいた対策を提案した。そこで不可欠な要素として指摘されているのが、二要素認証を使った強力なアクセス制御だ。自治体のシステムを二要素認証で保護することで、国民の重要情報を守ろうというわけだ。
二要素認証の認証方式を理解する
そもそも、二要素認証とは何だろうか。文字通りにとらえると、システムなどにログインする際に、2つ以上の要素で認証を行うことで、セキュリティ強度を高める方法といえる。IDとパスワードだけで認証を行っていると、それを不正に入手した者などが本人になりすましてログインを行うリスクがある。2つ以上の認証方式を組み合わせることで、そうしたリスクを避けることができるわけだ。
|
認証方式の比較表 |
GmailやDropboxなどのコンシューマ向けクラウドサービスでは、自身で指定した携帯電話やEメールアドレスに一時的な認証コードを送付する二段階認証などが利用できるが、企業や自治体の情報システムでは、どのような方式が最適だろうか。認証方式には、ICカードによる認証、指紋や顔による認証などがある。また、デジタル証明書も、二要素認証における有効な選択肢の1つであり、たとえば、ノートPCにインストールしたデジタル証明書を社外からリモートアクセスする際の認証に利用するといった方法がある。
近年企業や自治体のIT環境は、PCだけでなく、タブレット端末やスマートデバイスなど、さまざまな端末が利用され始めている。端末の多様化やさまざまな利用シーンに対応できる二要素認証の仕組みでなければ、すぐに二重投資が発生してしまうリスクがあることにも注意すべきだろう。
二要素認証導入の検討ポイントとは
二要素認証を導入する際に検討すべきポイントを整理してみよう。前提としてまず押さえておかなければならないのは、企業や自治体で利用する端末が多様化していることだ。
デスクトップPCやシンクライアント端末のようなデスクに固定の端末だけでなく、ノートPCのように社内のなかで自由に持ち運んだり、社外に持ち出したりする端末がある。また、タブレット端末やスマートデバイスなど、特定の部署や業務に特化して利用する端末なども考慮する必要がある。
|
こうした端末は利用するシーンや各端末が持つ特性によって、最適な認証のタイミングが異なってくる。そのため、どこでどう端末を認証するかを考慮することがポイントだ。また、無線LANやリモートアクセスを利用する環境では、正規のユーザーが私物端末をネットワークに接続してしまう、シャドーITのリスクも考慮する必要もある。
記憶や生体情報、トークンなど、個人が管理する情報を利用した認証方式は、本人が特定できても端末を特定することができない。大容量の記憶媒体をもつ個人のスマートフォンが簡単にネットワーク接続できてしまう環境であれば、いくら二要素認証を導入したとしても、情報漏えいの危険性を低減するどころか逆に倍増させることにもなりかねない。
端末ごとに適した二要素認証とは
二要素認証の導入で望まれるのは、端末ごとに適した仕組みを効率よく整備していくことだ。端末ごとにどのような仕組みが望ましいかをパターン別に整理したのが下記だ。
・デスクトップPCやシンクライアントなど社内に据え置くタイプの端末
ICカードや、顔認証や指紋認証などの生体認証で、Windowsログイン時に二要素認証を適用する。シンクライアントの場合は、仮想化環境上のWindowsログイン時に二要素認証を適用する
・WindowsのノートPCやタブレットなどモバイルタイプの端末
無線LANやリモートアクセスの場合は、端末を特定するため、デジタル証明書によりネットワーク接続時の認証を行う。また端末に保存された業務情報を確認するケースもあるので、ICカードや生体認証でWindowsログイン時の認証を強化する。モバイル性の高い端末では、内蔵カメラを利用した顔認証など外付けセンサを利用しない方式を考慮することも、利用者の使い勝手の観点で重要である
・Windows以外のタブレットやスマートフォンなどの端末
Windowsのモバイル端末同様、デジタル証明書によりネットワーク接続時の認証を行う。この種の端末では、セキュアブラウザや仮想デスクトップなど、端末に情報を残さない方式の利用も多いため、ネットワーク接続(無線LAN、リモートアクセス)時の認証強化が最適である
ポイントは、社内、社外のそれぞれの環境に対応していること、端末の利用シーンに応じて使いやすい認証方式を採用することだ。加えて、導入コストや運用コストを下げるために、認証システムや認証基盤を共通化し、統一的に管理できることが望ましい。
|
二要素認証の全体の概念図 |
では、実際にどのような仕組みを構築、運用していくことが望ましいのか。次回は、ソリトンシステムズが提供する二要素認証ソリューション「SmartOn」を例に、それぞれのパターンごとに考慮しておくべきポイントを整理していく。
なお、SmartOnは、1997年にリリースされ、3800社累計260万ライセンスの実績を持つ二要素認証ソリューションだ。重要情報を扱う企業や自治体で幅広く採用されており、ICカード認証や顔認証など、デバイスの特性や利用シーンに応じたシステムを効率よく構築することができる。製品情報については、下記のリンクから読むことができるので、興味を持たれた方はご参照いただきたい。
http://www.soliton.co.jp/products/category/solution/two-factor_auth.html
(マイナビニュース広告企画:提供 ソリトンシステムズ)
[PR]提供:ソリトンシステムズ
