ゼロから始める多要素認証(3) スマートに使えるセキュアなビジネス環境を構築するには - 管理者編

YubiKeyによる認証管理を導入することでユーザーにどのような変化が起こるのか？前回お届けした内容と平行し、今回は管理者側の立場で変化を追ってみたいと思う。情報システム部の現場で実際に何が起こるのか紹介しよう。

一次的負担は増加！しかし……

2要素認証が正式採用されれば、それに伴い認証管理を一新しなくてはならなくなる。これはどのような環境でも同じだが、それを指揮する情報システム部門の担当者にとっては戦々恐々なことだろう。しかし、Webサービス・アプリケーション事業者といった、ID・パスワードを取り扱う企業にとって、こうした情報の流出が企業経営に直結することは言うまでもなく、頭を悩ませる問題でもある。

ここで考える前提として、現在著しく普及しているワンタイムパスワード（OTP）が、もっとも導入される確率が高いというのは1回目で紹介した。しかし、どんなにスマートな認証ソリューションを導入したとしても、PCのアクセス権限をはじめとした個人を識別するための作業やメンテナンスは発生してしまう。これまでの認証システムにOTPを追加し、さらには配布したOTPデバイスを個別に認識させる作業を、あらかじめやっておかなくてはならないのだ。

ソフト技研クリエイティブエンジニア古谷充氏

こうした状況について、ソフト技研でクリエイティブエンジニアを務める古谷充氏は次のように話す。

「実はこれには考え方があって、認証システムを導入する場合、そのシステム側で新たにユーザー/パスワードやデバイスの管理を必要とすることが一般的です。当然既存のシステムとの同期をとならければいけないため、結局は二重管理となってしまい管理コストの増加につながります。弊社の認証サービスの場合、デバイスとユーザーの関連付けだけを自前のシステム側に持てばよいため、二重管理となることを避けることができます。さらに、クラウドでのサービス提供となるので新たなサーバ管理の必要がなく、既存アプリケーションからクラウドへのインターネット接続のみを確保すればよいのです。もちろん企業によっては、認証システムだけを外部に置くというのは難しいケースもあるでしょう。その場合でもできる限りのサポートはさせていただきます」（古谷氏）

YubiKeyを利用した認証のイメージ図

自前のシステムにも対応

管理者が2要素認証を導入する際に悩みがちなのが、自社システムへの対応だろう。「実はここへのご理解が少なく、ご相談いただく前に断念されているケースが多いのが残念です」と前置きする古谷氏。「弊社では、Java、PHP、Python、.NET、Ruby 、CMS用プラグインなど、主要な言語にそれぞれ対応する開発支援用のツールキットを準備しています。これにより、最小限の期間と人員で新たな認証機能が追加できます」

たとえば、自社製のWebサービスにYubiKeyを導入した場合、大きく2段階のステップを踏むことになる。まずは、クライアント管理のデータベーステーブルの対応だ。

「これはユーザーが正しいYubiKeyを使用しているかの判断に使うものです。44文字のOTPの内、先頭12文字は固定となっているので、どのYubiKeyを使用しているかを特定できるようになっています。また固定の12文字もOTPのアルゴリズムの内に含まれているので、偽装の心配もありません」（古谷氏）

次のステップは実際にYubiKeyを使用した際の認証処理の対応だ。ユーザーがWebサービスを利用する際に、ID・パスワードを入力、さらにYubiKeyによりOPTを自動出力させたとしよう。はじめに、OTPのチェックを開発支援ツールキットを使用して認証サーバで照合する。そして、問題ない場合は今までのID・パスワードの照合やIDとYubiKeyの照合をすればよい。もちろん、OTPなので、そもそもパスワードを使用しないという選択肢もある。

ここでは44文字のOTPが読み込まれているので、これをあらかじめ用意した認証サーバで照合すれば結果が返ってくる。これを確認して問題ない場合はログインに成功できるという流れだ。もちろん、認証サーバは先ほど述べたソフト技研の認証サービスが利用できることはいうまでもないだろう。

「このようにシンプルに2要素認証環境を構築できるので、自社で手組したシステムだからと諦める必要はまったくありません。これまでの開発を考えればかなりの負担やコストも軽減できることはお分かりいただけると思います」と古谷氏は強調する。

自社のシステムにもYubiKeyを利用可能

一部分の適用から導入可能

YubiKeyによる2要素認証が思ったよりも柔軟かつ短期間で導入できることはお分かりいただけたかと思う。しかし、一時的とはいえ多少の負担や導入期間が発生することに変わりはない。

「そうした場合は、たとえばセキュリティを高めたい部分から始めてみるという方法もあります」と古谷氏はいう。これは「Google Apps」の「Google ドライブ」を使ったソリューションになるが、顧客や取引先に応じて、「Google Apps」のアカウントを持っていない相手ともファイルのやり取りをセキュアに行える「YubiOnセキュアライブラリ」というソリューションになる。

「簡単にいえば、機密情報が多い共有サーバにアクセスするための認証キーとしてYubiKeyを活用するのです。たとえば、外出先で機密情報へアクセスすることは許されませんが、YubiKeyによる強固な認証により本人であることが証明できれば、それが閲覧できるのです。もちろん、アカウントと権限をコントロールすれば、取引先の方には閲覧のみ、また、特定のフォルダは書き込みが可能、といったきめ細やかな権限のコントロールも可能です」（古谷氏）

これまでは禁止するしかなかったファイル操作もYubiKeyによって個人の認証を強固にすることで、よりセキュアな環境のもとで安心、安全そして快適にファイル共有ができるようになるのだ。

YubiOnセキュアライブラリのある企業での例

長期的視野を持って臨みたい2要素認証の導入

これまで大手企業が主導する形だった企業のセキュリティ対策も、標的型攻撃の出現やSNS等のアカウント乗っ取り事件などを契機に、中小企業をも巻き込んだ形でサイバー攻撃が進化している傾向にある。こうした状況の中、企業でのセキュリティ対策がパスワードの変更レベルといったものでは、社会的な信用が問われる風潮はますます強くなっていくだろう。

とはいえ、これまでのやり方を変えたくないという、日本の企業文化的な背景から、セキュリティ対策の次の一手がなかなか進まないということも理解できる。しかし、これまで紹介してきたソフト技研のYubiKeyを活用したソリューションの数々を見れば、ユーザビリティを高めつつ、低コストで2要素認証をはじめとした次世代型セキュリティの導入も、容易に行うことができる。

つまり、ユーザーに「難しくなった」「面倒になった」と思わせないことが、強固なセキュリティ対策への地盤となる。また、管理者にも多くの負担を掛けず、運用がより簡単になる方向へシフトできれば多要素認証への対応ができるのだ。ソフト技研が提供するYubiKey についてもっと詳しい情報が知りたい人は、ぜひソフト技研に相談していただきたい。