クラウドサービスにおけるユーザ認証の落とし穴

クラウドサービスの技術進化、多様で柔軟な働き方を促進する政策、少子高齢化により労働力が減少する社会、GDP(国内総生産)の伸び悩みなど、日本企業を取り巻く環境は激しく変化している。 こうした変化への解決策の一つが、企業のホワイトカラーを中心とした生産性の向上だろう。「生産性の向上＝業務の効率化」としてよく語られるが、その代表例として、社外でのモバイルを活用したクラウドサービスが普及している。

しかし、社外から手軽にアクセスできる反面、一般に公開されているため、なりすましなどの不正アクセスという問題が立ちはだかる。 そこで本連載では、不正アクセスへの対策として有効な、二要素認証(多要素認証)における最新の認証技術を紹介し、企業が取るべき最適な認証の方法を探りたい。

企業と働き手にも恩恵をもたらしているクラウドサービスの流れ

最近では、メールやグループウェアといったいわゆる情報系のアプリケーションのみならず、基幹系を含めたあらゆる業務システムで、クラウドサービスへの移行が進んでいる。(※)
※矢野経済研究所が2017年8月7日に発表した調査資料より

また、そうした動きと歩調を合わせるように、ノートPCやタブレット端末、スマートフォンを使って社外で仕事をするモバイルワークも急速な広がりを見せている。 クラウド活用によりコストを削減し、モバイル活用によって機動性を確保するというのが、ビジネスでのICT活用のスタンダードとなりつつある。

外出先や自宅などから、クラウドサービスや社内ネットワークにアクセスして業務を行うというワークスタイル変革は、業務効率とともにワーク・ライフ・バランスの観点からも、企業側はもちろん働き手側からも重宝されているようだ。 さらに、ビジネスへのICT活用においてクラウドサービスの潮流を加速させているのが、日本企業の「働き方改革」の取り組みだ。

2017年3月、安倍首相の諮問機関である働き方改革実現会議が「働き方改革実行計画」を発表して以来、働き方改革は企業にとって最重要課題となっているのだ。 その背景には、労働人口減少や人材の流動化、長時間労働の弊害といった社会的課題や、市場競争の激化によりビジネスに更なるスピードと柔軟性が求められるようになったことが挙げられる。

いつでもどこでも仕事ができる環境を阻害するユーザ認証の問題

このように一見すると“いいことずくめ”に思われるクラウドサービスの進展だが、一方で大きな落とし穴が存在する点も忘れてはならない。 社外からモバイル端末を使って業務アプリケーションにアクセスするということは、社内ネットワークで完結していた環境と比べると、はるかにセキュリティ上のリスクが増大してしまうのである。

• 

特にリスク要因として挙がるのが認証の問題だ。業務で使用するクラウドアプリケーションが多様化し、それに従来からのオンプレミスアプリケーションも加わるとなると、それぞれのアプリケーションにログインするためのIDやパスワードの種類も増加する。膨大な数のアプリケーションとID・パスワードを使い分けて管理するのは、それだけで大きな手間となる。 かと言って、ID・パスワード管理の煩雑さを避けるためにパスワードを使い回してしまえば、セキュリティレベルが著しく低下してしまうのは言うまでもない。

一方で、攻撃者側から見ても、ICTの利用環境が社外に広がり、使用する端末やアプリケーションが増加することは、攻撃対象が拡大したことになるため、脅威を広げる格好の機会と捉えられるだろう。

セキュリティと利便性の問題は多要素認証とシングルサインオンで解決を

このように、クラウド&モバイルを活用した新しいワークスタイルの妨げとなっているユーザ認証セキュリティにまつわる問題だが、多くの企業では、より複雑なパスワードを必須化したり、前述のようにIDやパスワードの使い回しや、パスワードのメモ書きを禁止するなどの、対策を行っているのが現実だ。 しかしこれだけでは十分なセキュリティを確保するのが難しいだけでなく、業務アプリケーションを使用するために必要な手続きが複雑化・煩雑化してしまい、エンドユーザーの利便性が大きく犠牲となる。

また、管理者へ時間、労力、経費の負担にもつながる。例えば、パスワード忘れによる問い合わせの増加などが挙げられる。 セキュリティと利便性は"トレードオフ"の関係にあるとよく言われるが、セキュリティと利便性のバランスの取れた認証インフラの構築こそが、ワークスタイル変革の成否を握ると言っても過言ではない。

では、クラウドアプリケーションを含めた複数のアプリケーションに社外からアクセスする際、セキュリティと利便性のバランスのとれた認証システムとは果たしてどのようなものなのだろうか──。その答えを導き出すための効果的なアプローチとなるのが、「セキュリティ強化を実現する認証方法」と「利便性向上をもたらす認証方法」の両者を組み合わせることである。

まず、セキュリティ強化を実現する認証方法としては、例えばワンタイムパスワードのトークンを利用した認証方式と指紋認証等の生体認証、従来ながらのID・パスワードによる認証など、複数の認証方式を組合せて利用する「多要素認証(MFA)」が挙げられる。

MFAでは、パスワードのように利用者本人のみが知り得る「知識情報」による認証と、ワンタイムパスワードのトークンのような「所有情報」による認証、本人の「生体情報」による認証の3つの方式がある。 一般的には、「知識」「所有」「生体」から異なる2つ以上の方式を組み合わせることで、より高いセキュリティレベルを実現できるとされている。

• 

一方、利便性を向上させる認証方法の筆頭に挙げられるのが、1回の認証手続きで複数のアプリケーションやクラウドサービスなどへのアクセスを可能とする「シングルサインオン(SSO)」である。 多要素認証とシングルサインオンの詳細な解説と、具体的な組合せ方法、そしてどのような効果があるかについては次回に紹介することとしたい。

[PR]提供：テクマトリックス　RSA