情報セキュリティマネジメント Summit 2020 Winter
〜ニューノーマル下のサイバー脅威にどう打ち勝つか〜- Review -
シー・エス・イー

ニューノーマル時代に必須のセキュリティ対策とは
新しい働き方に、アイデンティティを秘匿化する
新マトリクス認証

システムやネットワークへのアクセスを制御する「認証」はセキュリティの基本だ。しかし、社員の働く場所が多様化した現在は、IPベースの従来型の認証方式では十分な安全性が担保しにくくなっている。ひとたび脅威の侵入を許せば、内部での水平移動による被害拡大も避けられない。これから必要になる、「認証情報そのもの」を守る対策の形とは。

テレワークの拡大で
「認証」を行う境界線が曖昧に

株式会社シー・エス・イー スマートプラットフォーム事業部 事業推進部 部長 金澤 拳氏
株式会社シー・エス・イー
スマートプラットフォーム事業部
事業推進部 部長
金澤 拳
 総務省は2018年4月に「テレワークセキュリティガイドライン第4版」を公表した。ここでは、会社支給の端末に加え、BYOD端末を利用する場合やクラウドサービスを利用する場合の留意点などが追加された。また、オフィス内のリソースだけでなく、様々なデバイスの適正な管理、パスワードや認証の強化などにも対象を広げた強固なセキュリティ対策が推奨されている。折しも現在は、コロナ禍によってテレワークが急速に普及している。ガイドラインに沿った対策を施すには、厳格なデバイス管理に加え、多要素認証や電子証明書なども積極的に活用する必要があるだろう。

 しかし、この「認証」について、現在の仕組みは課題も多いという。

 「現在、一般的なのは『境界型認証モデル』です。これは、社内ネットワークと外部ネットワークの境界で認証を行い、外部からの脅威の侵入や不正アクセスを防ぐ仕組み。このモデルでは、仮に1つの脅威が境界を突破しただけでも、内部で被害が拡大する恐れがあります。攻撃が多様化・巧妙化している現在、すべてを防ぎ切ることは困難であり、万一の際の被害を最小化する仕組みが不可欠。新たな認証方式を検討する必要性が高まっています」と指摘するのは、シー・エス・イーの金澤 拳氏だ。

 ほかにも課題はある。例えば、接続するシステムやネットワーク、デバイスごとにID/パスワードを変えている企業は多いが、この場合、ユーザーが複数のID/パスワードを使い分けなければならない。これによる生産性の低下に加え、煩雑さを嫌ってコンシューマー向けなどの代替ツールの利用が増えれば、シャドーITによるリスクも高まってしまうだろう。

IDを基準に、
あらかじめ認可されたデバイスのみを許可

 そこで、境界型認証モデルに代わるものとして注目されているのが「ゼロトラスト型認証モデル」である。IPアドレスやネットワークに関係なく、「ID」によってあらかじめ認証・認可されたユーザーやデバイスのみをシステムにアクセスできるようにするアプローチだ。

 「ゼロトラスト型認証モデルでは、IDベースの認証・認可がセキュリティの要になるため、ID情報の漏えいリスクを極小化することがポイントになります。そこで求められるのがIDの一元化と動的管理、さらに秘匿化です。というのも、認証を行う際の通信経路にはID情報が流れているからです。そこで、IDとパスワードの両方を保護できる、統合的な認証方式を実現することが重要なのです」と金澤氏は紹介する。

 同社は、これらの要件を満たしたゼロトラスト型認証モデルを実現するソリューションとして「SECUREMATRIX V12」(以下、SECUREMATRIX)を提供している。

 特長は大きく3つある(図1)。1つ目は「NO ID・NO認証デバイス・NOアプリでの多要素認証」。あらゆるデバイスで、IDを入力することなく多要素認証を実現できる。トークンや読み取り機器の所持、アプリケーションや電子証明書のインストールも不要だ。ユーザーがIDを入力しないため、通信経路上をID情報が流れることがなく、通信傍受などによる漏えいリスクが極小化できる。また、ユーザー/管理者はわずらわしい管理や更新の作業からも手離れすることが可能だ。  2つ目が「境界型もゼロトラスト型もハイブリッドにシングルサインオン」である。IDをワンタイムパスワードに組み込み、ワンタイム化することでセキュアな認証を実現する。これにより、ブラウザさえあれば、境界型、ゼロトラスト型といった企業ごとのシステム構成やポリシーにかかわらずシングルサインオンできるようになる。「Windows PCなら、端末にサインインするだけで、Windowsドメインネットワーク、Webシステムやクラウドサービスなどをシームレスに利用できます」と金澤氏は付け加える。

 そして3つ目が「オンラインでもオフラインでも在宅ワークを応援」である。独自技術により、オンラインでもオフラインでも認証が可能な仕組みを実装。パスワードイメージや利用デバイスの登録/リセットは、ユーザー自身がGUIのメニューから簡単な操作で実行できる。また、Windows PCへのサインイン/サインアウト時刻を自動で記録する「セルフタイムマネジメント機能」も実装。在宅ワークの業務効率化・過剰労働削減にも寄与できるという。

独自技術でセキュアな
新マトリクス認証を実現

株式会社シー・エス・イー スマートプラットフォーム事業部 セキュリティ戦略部 部長 下平 哲也氏
株式会社シー・エス・イー
スマートプラットフォーム事業部
セキュリティ戦略部 部長
下平 哲也
 「これらの特長を支えているのが、認証の3要素をベースにした新マトリクス認証です」と同社の下平 哲也氏は言う(図2)。

 そもそも認証には、①本人だけが知っているID/パスワードなどの「記憶の認証」、②本人だけが持っているデバイスなどの「所持の認証」、そして③指紋など本人の身体的特徴による「生体の認証」の3要素がある。このうち2要素以上を用いるのが多要素認証だが、SECUREMATRIXは「記憶の認証」と「所持の認証」を組み合わせることで強固なセキュリティを実現しているという。  まず記憶の認証に用いるのが、マトリクス表(乱数表)に基づくワンタイムパスワードだ。具体的には、アクセスするたびに異なる数字が配列されたマトリクス表が表示される。「ユーザーが覚えておくのはマトリクス表の上に定義した位置と順番のみ。これを覚えておくだけで、毎回異なる数字の組み合わせによるパスワードを導き出せます」と下平氏は説明する。

 所持の認証にはワンタイムデジタル身分証を用いる。初めてデバイスを登録する際にマトリクス認証を行うと、次回用の身分証がデバイスに付与される。次回以降はユーザーが意識することなく、デバイスが認可され、さらに次回の身分証も付与される仕組みだ。身分証はワンタイムの使い捨てなので、仮に漏えいしても問題はない。ユーザーにあらためて認証機器などを配布する必要もなく、組織が認めたデバイスだけがサービスにアクセスできる環境を実現できる。

 また、認証に必要なデータを通信経路上に直接流さず、サーバー側で置き換え、秘匿化してから送受信する「SEED方式」や、ワンタイムパスワードにIDや属性情報を自動挿入する「ステルスID方式」といった独自の特許技術も実装。変化する時代に即した、最新かつセキュアな認証基盤の実現を支えている。

 働き方の多様化により、社内を守る対策だけではセキュリティを確保できない。セキュリティの基本である認証は、境界型認証モデルからゼロトラスト型認証モデルへの変革が必要だ。情報漏えいリスクを解消し、運用・管理も効率化するSECUREMATRIXは、ニューノーマル時代に欠かせないセキュリティソリューションといえるだろう。
講演資料ダウンロードはこちら
講演資料ダウンロードは
こちら
情報セキュリティマネジメントSummit 2020 Winter - Review -
TOPへ
講演資料ダウンロードはこちら
講演資料ダウンロードはこちら
お問い合わせ
株式会社シー・エス・イー 問い合わせフォーム:https://www.cseltd.co.jp/form/form-securematrix/