クラウドサービスの技術進化、多様で柔軟な働き方を促進する政策、少子高齢化により労働力が減少する社会、GDP(国内総生産)の伸び悩みなど、日本企業を取り巻く環境は激しく変化している。 こうした変化への解決策の一つが、企業のホワイトカラーを中心とした生産性の向上だろう。「生産性の向上=業務の効率化」としてよく語られるが、その代表例として、社外でのモバイルを活用したクラウドサービスが普及している。
しかし、社外から手軽にアクセスできる反面、一般に公開されているため、なりすましなどの不正アクセスという問題が立ちはだかる。
本連載では引きつづき、不正アクセスへの対策として有効な、二要素認証(多要素認証)における最新の認証技術を紹介し、企業が取るべき最適な認証の方法を探りたい。
MFA+SSO+リスクベース認証を組み合わせてもう一段引き上げる利便性とセキュリティ
これまで2回に渡り、クラウドサービスとモバイル活用において、「MFA(多要素認証)」と「SSO(シングルサインオン)」の組み合わせによる認証が必須となりつつあること、また、一口に「MFA+SSO」による認証と言っても、実際の環境構築の際には、課題や抑えるべきポイントがいくつもあることについて解説してきた。そこで連載最終回となる本稿では、クラウドサービス&モバイル活用においてカギを握る、MFA+SSOの実現に向けた課題やポイントをすべてクリアする認証製品「RSA SecurID Access」について踏み込んでいきたい。
「 RSA SecurID Access」は、「MFAを活用した高度なセキュリティとSSOやリスクベース認証による高い利便性を兼備えた、統合認証基盤」と言えるだろう。ワンタイムパスワードによる認証や生体認証、ID・パスワードによる認証等の複数の認証方式を組合せた「MFA(多要素認証)」と、一回の認証手続きで複数のアプリケーションやクラウドサービスなどへのアクセスを可能とする「SSO(シングルサインオン)」を1つの製品で兼ね備えている。また、これに加えて、あらかじめ定義した静的なルールベース(ユーザの属性や利用アプリケーションの重要度など)によるリスク分析と、過去のユーザのログイン情報を基にした動的なビヘイビアベース(ふるまい)によるリスク分析を組み合わせた「リスクベース認証」が実装されている。
■ユーザライクなSSO
「RSA SecurID Access」のSSOは、専用の認証プロキシ「RSA Identity Router(IDR)=ポータルサイト」にて、クラウドとオンプレミスのアプリケーションのログインを一元化する。
これまでユーザは、各アプリケーション毎に設定された複数のID、パスワードの組み合わせを記憶し、アクセスする度にそれらを入力する必要があったが、 RSA SecurID Access は、ポータルサイトに、オンプレ、クラウドアプリケーションそれぞれが垣根なく表示されるため、ユーザーライクなSSOを実現できる。
各アプリケーションのログインが一元化されたことで、ユーザはどこからアクセスしても、ポータルサイトにアクセスする一度の認証のみで済むため、利便性の向上される。
■高度なセキュリティを実現可能なMFA
「RSA SecurID Access」のMFAについては、従来から提供されているSecurIDトークンによるワンタイムパスワード認証や、新たに追加された次世代の認証技術であるFIDO(Fast IDentity Online)トークンによる認証、モバイルアプリケーションを用いたプッシュ認証、バイオメトリクス認証(指紋認証)といった多様なラインナップから選択することができる。
ID、パスワードの「知識情報」と、上記のトークンによる「所有情報」や指紋認証の「生体情報」を組み合わせることで、多要素となり、セキュリティ強度の高い認証を実現している。
MFAは、ポータルサイトへのアクセス時の追加認証に加えて、上記に記載したポータルサイトが提供するポータルサイト内にある各アプリケーションへのアクセス時の追加認証としても利用可能である。
■ワンランク上の利便性と高いセキュリティを兼ね備えたリスクベース認証
「RSA SecurID Access」は、SSO、MFAに加えて、リスクベース認証の機能を有していることも大きな特徴の一つとなっている。
リスクベース認証とは、ユーザ属性やアプリケーションの重要度などをあらかじめポリシーで設定し、その上で、ユーザの振る舞いに関するデータを蓄積し、これに基づき分析エンジンがリアルタイムで分析・評価を行う認証方法である。その結果、「“いつもの”アクセスパターンと違う」との判定結果が出れば、追加認証を要求、あるいは、ログインを拒否することができる。
例えば、都度追加認証を必要とする重要度の高いアプリケーションであっても、いつもと違うIPからアクセスしてリスクが高いと判定されたときのみ、追加認証を求めたり、そもそものログイン拒否といった設定ができるため、ユーザは都度、追加認証する必要がなく、利便性と高いセキュリティを兼ね備えたワンランク上の認証が実現できるのだ。
あらゆる課題をクリアする「RSA RSA SecurID Access」
それでは、前回取り上げたSSO+MFAの環境構築時の課題や押さえるべきポイントとされている事柄に対し、「RSA SecurID Access」ではどのようにクリアできるのかひとつひとつ見ていこう。
■利用シーンや従業員の種別ごとの認証方式の使い分け
「RSA SecurID Access」のリスクベース認証では、スタティックなルールベースによる分析が可能である。ユーザ属性やアプリケーションの重要度などの条件をあらかじめ定義し、その定義に基づき、追加認証の方式を選択することが可能なため、様々な企業の利用ニーズに応えることができるだろう。
■ユーザの使い勝手
「RSA SecurID Access」のリスクベース認証では、ダイナミックなふるまい(ビヘイビア)ベースによる分析も可能である。
ルールベース分析で設定した定義に対して、利用ユーザがどのような振る舞いを行ったかを、蓄積された過去のデータから分析し、評価を行う。利用ユーザのふるまいからリスクが低いと判断された場合、追加認証することなく、そのまま認証が許可されるため、利用ユーザがストレスを感じることはない。
■運用負荷や問題発生時の原因の切り分け
「RSA SecurID Access」では、機能としてMFA+SSOを有している。
そのため、他社製品と連携して利用する場合と異なり、複数製品を運用するといった運用の負荷がなくなり、さらには障害時には製品毎にサポートへ問い合わせる必要がなくなり、窓口を一本化することができる。
加えてテクマトリックスでは、構築に向けた様々な支援や検証支援も可能な上、製品専任のSEによる手厚いサポートも提供している。ベースとなるSecurIDを長年にわたって扱ってきたからこそ可能な、SecurIDの認証における支援やアドバイス日々行っており、業種や業態そして規模を問わず、全国の企業・組織に対し、個々のニーズに応じた認証ソリューションを提案している。さらにテクマトリックス独自のドキュメントやデモ環境も準備中であり、「RSA RSA SecurID Access」の導入企業はこれをマニュアルとして使用できることになる。
■製品間の連携や相性
こちらについても、ひとつの製品でMFA+SSOの機能を有していることから、製品間の連携や相性を意識する必要がなくなり、他社製品を組み合わせ利用する際に発生する検証にかかる時間や人材の確保も不要となる。
■製品の実績や信頼性
「RSA SecurID Access」のベースとなっているSecurIDは、世界中のあらゆる業種業態・規模の企業において豊富な運用実績を有しており、常にトップシェアを誇るその信頼性は揺るぎないレベルといっても過言ではない。
ここまで読んでもらえたなら、クラウドサービスやモバイル活用における認証ソリューションとしてなぜ「RSA SecurID Access」が最適解となるか、お分かりいただけたのではないだろうか。本稿が貴社にとって、最新の安心できる製品を活用して、働き方改革を推進する一助になれば幸いだ。テクマトリックスでは自社に最適な提案から手厚いサポートを提供しているので、少しでも興味を持っていただけたならば、遠慮なく問い合わせてはいかがだろうか。
[PR]提供:テクマトリックス RSA
