官民一体で推進されている働き方改革の一環、また感染症対策として、テレワークに取り組む企業は増加の一途を辿っている。これまで社内のみで利用してきた業務システムに自宅や外出先からアクセスする際は、セキュリティ面での対策が不可欠。モバイル・クラウドといった技術が浸透し、膨大な個人データや機密情報が企業に蓄積されるようになった現在、テレワークの実践において悪意ある第三者が業務システムに侵入するような事態は防がなくてはならない。

社外から社内へのアクセスでは入口のセキュリティ対策が重要

2020年2月、マイナビニュース会員を対象に実施した「テレワークでのセキュリティに関するアンケート」(有効回答数1,858件)の回答を参照すると、現状の課題が浮かび上がる。「テレワークにおいて、利用している(導入を進めている)業務用システムをお答えください」という設問においては、多くの回答者がメール、オフィスアプリ、グループウェア、ビジネスチャット、Web会議システム、オンラインストレージといった業務向けシステム・サービスを利用していると答えている。

  • Q.テレワークにおいて、利用している(導入を進めている)業務システムをお答えください(複数選択可)

こうした業務向けシステム・サービスを安全に利用するには、まずは入口のセキュリティ対策「ログイン時の認証方法」が重要。アンケート設問「テレワークにおいて利用している(導入を進めている)業務用システムへのログイン方法をお知らせください」についての回答では、50%以上が「パスワード」を使用しているという結果が出ていた。

  • Q.テレワークにおいて利用している(導入を進めている)業務用システムへのログイン方法をお知らせください。(複数選択可)

このように、社外で業務を行うテレワークにおいて、パスワードを使ったログイン方法を採用する企業は少なくないのが現状だ。ところが、多数のシステムやサービスを活用する現代の業務スタイルにおいて、パスワードは有効な認証方式とはいえないのだ。

セキュリティを考えると、利用するアプリ・サービスごとに個別のパスワードを設定することが望ましいが、それではユーザーにかかるパスワード管理の負担が大きくなる。「業務で利用するシステムのパスワードと、プライベートで利用するサービスのパスワードは、別のものを設定していますか?」という設問でも、約3割の回答者が同じパスワードを使っていると答えており、数多くのパスワード管理に対してガバナンスが効いていないことがうかがえる。

  • Q.業務で利用するシステムのパスワードと、プライベートで利用するサービスのパスワードは、別のものを設定していますか?

テレワークが普及する以前、VPN(Virtual Private Network)接続とリモートアクセスを利用することで、社外から社内のサービスにアクセスする際のセキュリティを担保していた企業の中でも、セキュリティに気を遣う先進的な企業は、そのVPNの認証にワンタイムパスワードを利用していた。しかし、ワンタイムパスワードには、パスワードを表示するための機器「ハードウェアトークン」や、専用アプリをインストールしたスマートフォン「ソフトウェアトークン」が必要となり、導入コストや故障・紛失対応といった運用コスト、ユーザー側にも持ち運びや取り出しの手間という負担がつきまとう。テレワークのための大規模な導入には二の足を踏んでしまう企業も多いだろう。

とはいえ、パスワードはセキュリティ対策として、もはや不完全なものだ。必要なのはセキュリティとユーザビリティとコストをバランスよく成立させたソリューションだろう。そこで注目したいのが、さまざまな認証方式に対応し、システムやサービスへのログインを安全かつ効率的に行える認証プラットフォーム「PassLogic(パスロジック)」だ。

セキュリティと利便性を両立する「トークンレス・ワンタイムパスワード」

パスロジ株式会社が提供するPassLogicは、企業の経営者、管理者(情報システム部門)、エンドユーザーそれぞれのニーズに対応する完成度の高い認証システムだ。同社は、毎回変わる乱数表から数字を抜き出してワンタイムパスワードを生成する方式を世界ではじめて開発した企業で、PassLogicにも同方式を採用した「トークンレス・ワンタイムパスワード」機能が搭載されている。

パスロジ株式会社 経営戦略室 マーケティングチーム マネージャー 黛 慎一氏

パスロジ株式会社 経営戦略室 マーケティングチーム マネージャー 黛 慎一氏

パスロジ株式会社 経営戦略室 マーケティングチーム マネージャーの黛 慎一氏は「トークンレス・ワンタイムパスワード」の特徴をこう語る。

「パスワードを使った認証方式だけでは、現代の企業に求められるセキュリティ要件をクリアするのは困難でしょう。乱数表を用いるトークンレス・ワンタイムパスワードは特別なデバイスを必要とせず、パタ-ンを設定するだけで使えるのが特徴です。複雑なパスワードを覚えることなく強固なセキュリティを実現します」(黛氏)

  • トークンレス・ワンタイムパスワードの仕組み

    「トークンレス・ワンタイムパスワード」の仕組み

トークンレス・ワンタイムパスワードは、 パスワードの代わりに乱数表のマス目の位置と順番、すなわち「パターン」を用いて認証を行う「知識認証」だ。乱数表は毎回入れ替わるため、入力する数値がその都度で異なり、パスワードのようにリスト型攻撃や総当たり攻撃で不正ログインされることがないのがメリット。認証用のデバイスを用意する必要もなく、コストと手間をかけずに運用できる。

パスロジ株式会社 営業部 セールスマネージャー 山口 海氏

パスロジ株式会社 営業部 セールスマネージャー 山口 海氏

PassLogicには、こうしたトークンレス・ワンタイムパスワードに加え、モバイルデバイスを活用する「ソフトウェアトークン」や、専用ハードを利用する「ハードウェアトークン」など、多様な認証方式が用意されている。クライアント証明書を登録した端末だけを認証する機能も搭載されており、複数の認証機能を組み合わせた2要素認証も実現可能だ。パスロジ株式会社 営業部 セールスマネージャーの山口 海氏は、複数の認証方式に対応したPassLogicならば、さまざまな企業のニーズに応えられると話す。

「今は多くの企業が認証システムの重要性を理解しています。情報システム部門が認証システムを導入する際はセキュリティの強化が大前提で、加えてユーザー視点からの『使い勝手』や管理者視点からの『運用性』などを考慮して製品を選択しています。さらに、経営者視点では導入にかかるコストも重要になります」(山口氏)

実際にPassLogicを導入・運用している企業で、もっとも使われているのはトークンレス・ワンタイムパスワード(パターンを使った知識認証)と端末認証機能(クライアント証明書を利用した所有物認証)を組み合わせた2要素認証だという。

  • トークンレス・ワンタイムパスワードとクライアント証明書による2要素認証

ただし、企業それぞれの状況に合わせた機能を選択できるため、たとえば一時的にログインするユーザーに対してはハードウェアトークンを貸し出ししたり、業務グループや部門ごとに異なる認証方式を利用したりすることも可能だ。さらに、IPアドレスによってアクセス可能なシステム・サービスをコントロールするなど細かな設定に対応する。

各種設定やロック解除、パスワード初期化といった操作は、直感的なGUIを採用した管理画面から行え、コマンド操作主体のソリューションと比べ、管理者の運用負荷も軽減されるだろう。また、LDAP(Lightweight Directory Access Protocol)やActive Directoryからの自動更新にも対応し、効率的にアカウントを管理できるのも大きなメリットだ。

クラウド版もリリースされ、あらゆる規模のテレワークを強力に支援

効果的なテレワークを実現するためには、多数のシステム・サービスへのログインを効率化することも重要となる。PassLogicは多種多様な業務システムとの連携に対応しており、1回の認証で複数のシステムにアクセスできるシングルサインオン(SSO)環境を構築できる。RADIUS、SAML2.0、リバースプロキシなどのプロトコルに対応するほかAPIも提供しており、SaaSから自社開発の業務システムまで幅広い連携を実現する。

  • PassLogic環境構成例

    PassLogic環境構成例

「導入企業の増加にともない、さまざまなシステムやサービスの連携検証が進んでいます」と山口氏。Office 365やSalesforce、Box、kintoneなどのクラウドアプリをはじめ、主要なVPNや仮想デスクトップ、グループウェアなどとの連携が検証されており、トラブルなしで活用できると力を込める。またWindowsマシンに「PassLogic for Windows Desktop」をインストールすれば、Windows OSへの認証にPassLogicの機能を利用することも可能となる。

さらに2020年3月からは、従来のパッケージ版に加えてクラウド版PassLogicの提供も開始している。黛氏はクラウド版をリリースした経緯についてこう語る。

「パッケージ版は比較的大規模な企業がVPNや仮想デスクトップの認証などに利用するケースが多かったのですが、クラウド版ならばサーバー構築不要で導入コストを抑えられるほか、メンテナンスなど管理者負担も軽減できます。テレワークで導入したSaaSをセキュアに使いたい中堅・中小企業のニーズにも対応できるサービスとして開発しました」(黛氏)

もちろん、これまでどおりパッケージ版を選択することもでき、認証システムを自社内で管理したいというニーズにも対応する。もともとはVPNの認証強化でPassLogicを導入した企業が、昨今のテレワーク推進の流れに合わせ利用シーンを拡大するケースも増えていると山口氏。クラウド版のリリースで、より幅広く活用されていくことを期待しているとのことだ。

セキュリティとユーザビリティを両立したテレワークを適切なコストで実現したい企業にとって、PassLogicは極めて有効な選択肢といえる。各種認証を取得した完全国内開発のソリューションで、官公庁での導入実績もあるなど信頼性は高いといえるだろう。30日間すべての機能が利用できる無償のお試し版がパッケージ/クラウド版ともに用意されているので、パスワードによる認証に不安を感じている企業の担当者にとって、試してみる価値は大いにあるはずだ。

  • パスロジ株式会社のロゴを持って。

◆PassLogic製品をもっと詳しく知りたい方は
 トークンレス・ワンタイムパスワードの仕組みや入力画面、動画といった詳細な機能や、導入方法、連携検証済み製品などについては「PassLogic製品紹介サイト」をご覧ください。

◆PassLogic クラウド版サービス開始記念キャンペーン実施中!
 アンケート回答&メルマガ登録で、Amazonギフト券5,000円分プレゼント!(2020年4月24日まで)
キャンペーン特設サイト

[PR]提供:パスロジ株式会社