そのためのソリューションとして、同社は「HENNGE One」を提供している。IDaaS(Identity as a Service)機能を備えており、セキュアなID/デバイス管理をクラウドベースで実現することが可能だ。
「SaaSなどへのログインを制御したいと考える企業の思いは、大きく2つに分けられます。1つは『デバイスは何でも構わないが、第三者の不正アクセスだけを防ぎたい』というもの。もう1つは『会社から支給した認定デバイスだけがアクセスできるようにしたい』というものです。HENNGE Oneはこの両方に対応します」と斉藤氏は紹介する。
前者の場合は、どのように本人認証を行うかがポイントとなる。これについてHENNGE Oneは、スマートフォンアプリやEメールなどの「所持情報」を基に認証する方式を採用。一般には、秘密の質問などの「知識情報」、指紋/顔認証などの「生体情報」を利用する方法もあるが、秘密の質問には回答を類推されるリスクが、生体認証にはセンサー非搭載のデバイスでは使えないというデメリットがある。所持情報であればこのような問題を回避できるという。
後者の場合は、会社が認めた端末にデバイス証明書をインストールする方式が有効だ。これについても、モバイルデバイス管理ツールやActive Directoryなどを用いた認証方式が考えられるが、利用企業の環境に依存するため使えないケースがある。「当社は、より多くのお客様が利用できるデバイス証明書方式を採用しています」と斉藤氏は話す。
一層確実なのはこれら2つの方式を組み合わせることだ。これなら、会社が支給した端末以外での接続は行えないし、万一業務PCが盗難にあっても、本人のスマートフォンがなければ多要素認証を完了できず、データにアクセスできない状況をつくりだせる(図1)。
「ただし、デバイス証明書による認証には盲点がないわけではありません。SaaSをWebブラウザで利用する場合は問題ないのですが、中には専用のネイティブアプリで使うサービスもあるでしょう。このアプリ自体がデバイス証明書に非対応だと、正しい端末でもサービスが使えなくなるのです」と斉藤氏は言う。
そこでHENNGEは、これを解決するソリューションも用意している。それが「HENNGE Lock Plus」だ。このアプリが、デバイス証明書非対応アプリとの仲介役となって証明書がインストールされていることを確認する。これにより、デバイス証明書非対応の専用アプリでもセキュアにSaaSを利用できる。同時に、証明書のない私物デバイスからのアクセスも排除することが可能だ。
「またHENNGE Oneは、各種IaaS/SaaSはもとより、Azure ADや海外のIDプロバイダーとの連携にも対応しています。確実な『デバイストラスト』を、重要データの保護に役立てていただきたいと思います」と斉藤氏は強調する。