クラウドサービスにおける「MFA＋SSO」による認証のポイント

クラウドサービスの技術進化、多様で柔軟な働き方を促進する政策、少子高齢化により労働力が減少する社会、GDP(国内総生産)の伸び悩みなど、日本企業を取り巻く環境は激しく変化している。 こうした変化への解決策の一つが、企業のホワイトカラーを中心とした生産性の向上だろう。「生産性の向上＝業務の効率化」としてよく語られるが、その代表例として、社外でのモバイルを活用したクラウドサービスが普及している。

しかし、社外から手軽にアクセスできる反面、一般に公開されているため、なりすましなどの不正アクセスという問題が立ちはだかる。

ここでは、前回につづき不正アクセスへの対策として有効な、二要素認証(多要素認証)における最新の認証技術を紹介し、企業が取るべき最適な認証の方法を探りたい。

多彩な認証方式をカバーするメリット

クラウドサービスとモバイル活用が働き方改革を促進するなか、いつでもどこでも仕事ができる環境づくりを阻害しているのが認証にまつわる問題であり、「多要素認証（MFA）」と「シングルサインオン（SSO）」を組み合わせることでこの問題を解決できることについて前回述べた。そこで今回は、MFAとSSOについて改めておさらいするとともに、具体的な組合せ方法と効果、組み合わせの際に注意すべきポイントについて言及していきたい。

• 
• 
• （左）MFAのイメージ（右）SSOのイメージ<br>双方を掛けあわせることで、セキュリティの強化と利便性の向上を両立させることができる

クラウドアプリケーションを含めた複数のアプリケーションにモバイル環境からアクセスする際の認証では、セキュリティと利便性のバランスが重要になる。具体的にセキュリティを強化する認証方法として挙がるのが、ワンタイムパスワードによる認証や生体認証、ID・パスワードによる認証等の複数の認証方式を組合せて利用するMFAであり、また利便性を高める認証方法となるのが、1回の認証手続きで複数のアプリケーションやクラウド サービスなどへのアクセスを可能とするSSOだ。

このMFAとSSOを組み合わせることで、1回の認証だけでよりセキュアに様々なクラウドサービス／アプリケーションへのログインを完了させることが可能となる。その組み合せ方法としては、最初にSSO製品が提供するポータルサイトにMFAによりログインして、そこから複数のアプリケーションやサービスを使うのが一般的だ。

ここでまずポイントとなるのが、MFAにおいてどれだけ多様な認証方式をカバーできるかである。前回紹介した通り、認証方法を大別すると、利用者本人のみが知り得る「知識情報」による認証（例：パスワード）と、認証用のデバイスを所持する「所有情報」による認証（例：ワンタイムパスワードのトークン）、本人の「生体情報」による認証（例：指紋認証）の3種類となる。この「知識」「所有」「生体」から異なる2つ以上の方法を組み合わせることで、よりセキュリティ・レベルを向上できるとされるため、選べる認証方式はなるべく広範囲であることが望ましいのだ。例えば、次世代の認証技術であるFIDO（Fast IDentity Online）が最近注目を集めているが 、こうした認証技術のトレンドに対応できるかどうかもポイントとなるだろう。

こうした多彩な認証方式のカバーとともに、それらの認証方式をユーザの権限やアクセスするアプリケーションごとに使い分けができるかどうかで、実用度が大きく変わってくる。例えばSSOポータルにMFAでログインした後、グループウェアのような一般的なアプリケーションはシームレスで使用できる一方で、機密情報を取り扱うようなクリティカルなアプリケーションにアクセスする際には、追加認証としてトークンによるワンタイムパスワードを必須とするといった具合である。MFA＋SSOの環境において必要な追加認証を行うことで、利便性とセキュリティの双方をより高いレベルで実現できるようになるのだ。

MFA＋SSOにおける懸念事項

MFA＋SSOによる認証環境を構築する際には、注意したいポイントがいくつかあるので、紹介しよう。

• 

■利用シーンや従業員の種別ごとの認証方式の使い分け

SSOポータルにMFAを用いてログインすることで、すべての従業員が、同一の認証方法で、各アプリケーションやクラウドサービスなどにアクセスできる。一見よいことのようだが、派遣社員が一般的なアプリケーションへアクセスする際には、役員が機密情報を扱うシステムへアクセスする際に利用する“セキュリティ強度の高い認証”は必要ないはずだ。

これは前段でも述べたが、SSOの後にも、重要な情報システムにアクセスする場合には、より強固な認証方式を追加で求めたり、所属する部署や職制、雇用形態などに応じて認証方式とアクセス可能なアプリケーションを分類したりといった使い方ができると、企業の利用ニーズにより合致したセキュアかつ利便性に優れたMFA＋SSO認証環境を構築できる。

■ユーザの使い勝手

前述したように、セキュアな環境が必要なシステムへのアクセス時に追加認証を求めることができれば、セキュリティをさらに高めることができる。しかし欲を言えば、追加認証についてもなるべくユーザの利便性を阻害しないようにしたい。そこで、リスクベースで日頃の行動を学習して、安全であると判断した際には追加認証を行わずにアクセスさせるなど、MFA＋SSO製品側によりインテリジェントな仕組みが求められてくるのである。

■運用負荷や問題発生時の原因の切り分け

MFAとSSOは必ずしも同じ製品で実現できるわけではない。そのため、異なる製品を組み合わせた場合、何か問題が起きた時には、MFAとSSOいずれの製品側に起因するものなのかを特定することが難しくなりがちだ。また、運用する側も、双方の製品について熟知している必要があるうえ、日常的な負荷も大きくなってくる。さらに、製品が違えば問い合わせする窓口も異なってくるなど負担が大きくなりがちだ。

■製品間の連携や相性

そもそも、MFAとSSO双方の製品が連携できないとなると、どちらか一方しか使えないないため、MFA＋SSOによる認証のメリットは享受できないことになる。これは、セキュリティか利便性のどちらかを犠牲にすることを意味する。

また、たとえ製品間で連携していても、別々のメーカーの製品だと、導入時の検証に十分な時間をかける必要がある。もし詳しい資料がなければ、自社での検証はより入念に行わねばならない。これでは導入期間が長くなるうえ、両方の製品を十分に理解できる人材が必要となる。SIerに任せることも可能だが、コスト増は避けらず、また望んでいた機能が使えなかったり、自社の要件にあった導入形態を実現できなかったりする可能性もあることを知っておいてほしい。

■製品の実績や信頼性

セキュリティにかかわる製品であるだけに、ベンダーのこれまでの実績や信頼も重要になる。たとえ技術的に先鋭的な製品であったとしても、ベンダーに実績がなければ自らが実験台になるようなものだ。他の分野のシステムであればそれも有効なアプローチかもしれないが、ことセキュリティに関しては不要なリスクは避けるべきである。

一口にMFA+SSOでの認証といっても、具体的に環境を構築するとなると、解決したり抑えたりすべきポイントがいくつもあることがおわかりいただけたのではないか。こうした課題に躊躇して、なかなか導入に踏み切れない企業が多いのも現実だ。しかしこれらの課題やポイントをすべてクリアするSSO＋MFA認証製品もある。それが、国内ではテクマトリックスが提供している「RSA SecurID Access」だ。第3回となる次回は、「RSA SecurID Access」の概要と、これにより実現するクラウドサービスにおける理想的な認証環境について解説したい。

[PR]提供：テクマトリックス　RSA