今さら聞けない「二要素認証」の基本(2) 組織に最適な二要素認証の整備方法

サイバー攻撃が日常化したことを受け、企業や組織、自治体の重要情報を守るために二要素認証が不可欠な状況になってきた。二要素認証を導入するうえでは、組織の環境や多様化する端末の特性に応じたシステムを整備していくことがポイントとなる。今回は、端末やシステムに縛られない認証基盤をどう整備していくかを、具体的に紹介しよう。

組織の環境を考慮する

組織内の数人が利用する数台のPCを二要素認証で守りたい場合は、スタンドアロン型のICカード認証システムや生体認証システムを導入すればよい。しかし、組織内の多数のPCを二要素認証で守りたいとなると、人事異動や有事の際の“運用”を考慮することが必要となる。

スタンドアロン型の二要素認証システムは、利用ユーザー登録をPC毎に行う。対象となるPCを複数人が利用する場合は、当該PCに複数人分のユーザー登録を行うことが必要だ。ここで注意しなければならないのは、人事異動の際には、利用権限がなくなったユーザーを全PCで確実に削除する必要がある点だ。

職務が異動した後も機密情報へ容易にアクセスできてしまっては、いくら認証を強化しても情報漏えいのリスクは低減できない。そのため人事異動が発生する度に、PC内に登録されている利用ユーザーの一覧を点検し、台帳記録しておく必要があるだろう。またPCアクセスログの管理方法を別途検討しなければならない点も、一見安価なスタンドアロン型システムで注意すべき点である。

二要素認証にはスタンドアロン型とサーバー管理型がある

サーバー管理型の二要素認証システムは利用ユーザーやアクセスログの一元管理が可能となる。運用を考慮すると、組織内のPCを守るにはサーバー管理型の二要素認証システムが最適だ。

端末の特性と利用シーンに応じた認証環境を考慮する

前回説明したように、端末ごとに最適なシステムを整備する場合、以下のパターンを想定することができる。

(1) デスクトップPCやシンクライアントなど社内に据え置くタイプの端末 (2) WindowsのノートPCやタブレットなどモバイルタイプの端末 (3) Windows以外のノートPCやスマートフォンなどの端末

(1)では、ICカードや顔認証などの生体認証で、Windowsログイン時に二要素認証を適用する。(2)では、無線LANやリモートアクセスの場合は、端末を特定するため、デジタル証明書によりネットワーク認証を行う。また端末に保存された業務情報を確認するケースもあるので、顔認証等でWindowsログイン時の認証も強化する。また(3)では、デジタル証明書によりネットワーク認証を強化しつつ、セキュアブラウザや仮想デスクトップなど、端末に情報を残さない方式を検討する。

こうした仕組みを構築するのに適したソリューションとして、本稿では、ソリトンシステムズが提供する二要素認証ソリューション「SmartOn」を取り上げることにする。SmartOnは、1997年にリリースされ、重要情報を扱う企業や自治体を中心に3,800社累計260万ライセンスの導入実績を持つ製品だ。ICカード認証や顔認証などデバイスの特性や利用シーンに応じた認証方式を効率よく適用することができ、運用負担も少ないシステムだ。

ソリトンシステムズ「SmartOn」が最適なワケ

SmartOnは、企業・組織向けの二要素認証システムだ。国内ユーザーの声に基づいた機能強化が行われており、日本の組織特有の運用を支援する機能も充実している。二要素認証に関しては、主に以下の機能を利用することができる。

ICカード認証
国内で多く流通しているFeliCaタイプの非接触型ICカードなどの利用が可能。

顔認証なら専用装置は不要、ノートPCとの相性も良い

顔認証
PC用カメラで利用者本人の顔の特徴点情報を読み取って認証する。近年、利便性の高い認証方式として注目されている。
指紋認証
利用者の指紋の特徴点情報を読み取って認証する。

なおデジタル証明書を利用したネットワーク接続時の認証については、ネットワーク認証アプライアンスの「NetAttest EPS」を組み合わせることで実現する。 (※「NetAttest EPS」を例に、無線LANセキュリティについて紹介している記事はこちら⇒【今さら聞けない「無線LANセキュリティの基本」】)

SmartOnとNetAttest EPSのユーザー情報は、両製品に共通のID管理オプションを利用し、Active Directoryのユーザー情報と合わせ、一元管理することができる。ネットワーク認証からアプリケーション認証まで、1ベンダーで整備できる点がSmartOnの大きな特徴だ。

ICカード、顔認証、デジタル証明書を適材適所で使い分ける

SmartOnを使って、端末ごとに最適なシステムを構成する場合の概念図が以下だ。

構成概念図

まずSmartOnの認証管理サーバーをLAN内のサーバーセグメントに設置し、ユーザーの認証情報やクライアントポリシー、アクセスログをここで一元的に管理する。そして、クライアントPCへ二要素認証を適用するための「ディスク」を予め発行しておくことが、環境整備のおおまかな流れだ。冒頭で触れた3つのパターンについて、二要素認証ディスクの設定方法を順に見ていこう。

(1) 「デスクトップPCやシンクライアントなど社内に据え置くタイプの端末」にICカード認証を適用する場合、まずSmartOn認証管理サーバーの管理ソフトで［ディスク情報の追加］を行い、認証方式として非接触型ICカードの「FeliCa」を指定する。

作成したディスクの［プロパティ］を編集することで、認証動作の詳細を設定できる。例えば、窓口端末などで、離席時に第三者に操作中のPCを覗き込まれることのないよう、ICカードをリーダーから外した際に、PCを強制的にロックさせる設定や、ロック中のPCを同じ部署のユーザーであればロック解除を許可する設定など、チェックを入れるだけで定義できる。

(2)「 WindowsのノートPCやタブレットなどモバイルタイプの端末」は内蔵カメラが搭載されていれば顔認証も利便性が高い二要素認証方式となる。(1)と同様に［ディスク情報の追加］で、認証方式として「Face Authentication」を指定する。(※下記左の画像参照)

認証タイムアウト値やしきい値もここで定義する。(※下記右の画像参照)

あとは［プロパティ］で認証動作の詳細をチェックボックスで定義すれば完了だ。

ここで作成したディスクは資産管理ソフトなどで対象PCへ配布することが可能だ。一度クライアントへ配布されれば、ポリシー変更など設定情報のアップデートは認証管理サーバーとクライアントが自動通信し、強制適用させることができる。

(3) 「Windows以外のノートPCやスマートフォンなどの端末」では、デジタル証明書を利用したネットワーク接続時の二要素認証を適用する。ここにはNetAttest EPSを利用し、端末への証明書配布を安全に行う。 (※「NetAttest EPS」を例に、無線LANセキュリティにおける証明書の発行と配布について紹介している記事はこちら⇒【今さら聞けない「無線LANセキュリティの基本」第3回】)

統合的に管理できる認証基盤をつくる

サイバー攻撃や情報漏洩リスクの高まりとともに、企業や自治体における二要素認証の導入ニーズは高まっている。だが、足元のリスクだけを見て、場当たり的なポイントソリューションを導入するのだけは避けるべきだ。5年、10年と長く使い続けられるセキュリティ基盤を整えることこそ、望ましいといえる。そのために、端末の特性をふまえ、利用シーンを考慮したうえで、認証基盤全体の運用を考えたシステム導入が大切だ。そうしたソリトンシステムズのSmartOnは、そうしたニーズにも応えられるソリューションとなっている。

次回は、運用の効率化の点から、SmartOnの機能や特徴を紹介しよう。