「ゼロトラスト」＆「脱PPAP」で

ニューノーマルのクラウド活用を支援

「ゼロトラスト」＆「脱PPAP」で

ニューノーマルのクラウド活用を支援

「ゼロトラスト」＆「脱PPAP」で

ニューノーマルのクラウド活用を支援

　コロナ禍で企業の働き方は大きく変化した。中でも顕著な動きが、テレワークの普及だ。欧米の先進諸国には及ばないものの、国内でもテレワークの実施に踏み切る企業が急増している。また、これを契機として、業務システムのクラウド化も一段と加速。多くの企業が複数のSaaSを組み合わせて利用するようになっている。

　これ自体は歓迎すべきことだが、注意しておきたいポイントもある。それは、環境の変化に合わせて、情報セキュリティに対する考え方も変える必要があることだ。

　「従来のセキュリティ対策は、社内環境が安全であることを前提とした境界型防御の考え方で実施されてきました。しかし、テレワークが進んだ現在は、業務デバイスが境界の外にも多数存在しています。今までと同じ手法では、ビジネスの安全を守ることはできません」とHENNGEの斉藤 秀樹氏は警鐘を鳴らす。

　こうした中、注目されているのが、すべての通信を信頼しない「ゼロトラスト」の考え方だ。同社によれば、その実現に向けた第一歩になるのが「ID／デバイス管理」だという。

　「会社の情報資産を守る上では、データをエンドポイントのPCではなくクラウド上に保存することが肝心です。そのデータを守るには、アクセス元を正しく捕捉し、都度の認証を行うことが欠かせません。単にIDとパスワードだけを基にしていたのでは、容易に不正利用されてしまう可能性があるでしょう。これを防ぐためには、ユーザーのIDと、デバイスを認識することが重要だと当社は考えています」(斉藤氏)

　そのためのソリューションとして、同社は「HENNGE One」を提供している。IDaaS（Identity as a Service）機能を備えており、セキュアなID／デバイス管理をクラウドベースで実現することが可能だ。

　「SaaSなどへのログインを制御したいと考える企業の思いは、大きく2つに分けられます。1つは『デバイスは何でも構わないが、第三者の不正アクセスだけを防ぎたい』というもの。もう1つは『会社から支給した認定デバイスだけがアクセスできるようにしたい』というものです。HENNGE Oneはこの両方に対応します」と斉藤氏は紹介する。

　前者の場合は、どのように本人認証を行うかがポイントとなる。これについてHENNGE Oneは、スマートフォンアプリやEメールなどの「所持情報」を基に認証する方式を採用。一般には、秘密の質問などの「知識情報」、指紋／顔認証などの「生体情報」を利用する方法もあるが、秘密の質問には回答を類推されるリスクが、生体認証にはセンサー非搭載のデバイスでは使えないというデメリットがある。所持情報であればこのような問題を回避できるという。

　後者の場合は、会社が認めた端末にデバイス証明書をインストールする方式が有効だ。これについても、モバイルデバイス管理ツールやActive Directoryなどを用いた認証方式が考えられるが、利用企業の環境に依存するため使えないケースがある。「当社は、より多くのお客様が利用できるデバイス証明書方式を採用しています」と斉藤氏は話す。

　一層確実なのはこれら2つの方式を組み合わせることだ。これなら、会社が支給した端末以外での接続は行えないし、万一業務PCが盗難にあっても、本人のスマートフォンがなければ多要素認証を完了できず、データにアクセスできない状況をつくりだせる（図1）。 　「ただし、デバイス証明書による認証には盲点がないわけではありません。SaaSをWebブラウザで利用する場合は問題ないのですが、中には専用のネイティブアプリで使うサービスもあるでしょう。このアプリ自体がデバイス証明書に非対応だと、正しい端末でもサービスが使えなくなるのです」と斉藤氏は言う。

　そこでHENNGEは、これを解決するソリューションも用意している。それが「HENNGE Lock Plus」だ。このアプリが、デバイス証明書非対応アプリとの仲介役となって証明書がインストールされていることを確認する。これにより、デバイス証明書非対応の専用アプリでもセキュアにSaaSを利用できる。同時に、証明書のない私物デバイスからのアクセスも排除することが可能だ。

　「またHENNGE Oneは、各種IaaS/SaaSはもとより、Azure ADや海外のIDプロバイダーとの連携にも対応しています。確実な『デバイストラスト』を、重要データの保護に役立てていただきたいと思います」と斉藤氏は強調する。

　さらにHENNGE Oneは、もう1つ重要な機能を提供している。それがメッセージングセキュリティだ。

　標的型攻撃で最も多く使われる攻撃経路が「メール」であり、その安全な利用を実現することは、ビジネスリスクを排除する上で不可欠だ。中でも「パスワード付きZipファイル」と「パスワード」を五月雨式に個別のメールで送信する手法は、この領域における大きな課題となっている。

　「この手法は『PPAP^※』と呼ばれ、リスクの温床として問題視されています。PPAPを抑止するため、当社では2つのソリューションを新たに開発しました。1つは、安全なメール受け取りを実現する『HENNGE Cloud Protection』、もう1つは、脱PPAPに欠かせない、外部への安全なファイル添付を実現する『HENNGE Secure Download』です」と斉藤氏は説明する（図2）。 　HENNGE Cloud Protectionは、メール本文やカレンダー、タスクなどに記されたURLのスキャンのほか、添付ファイルのふるまいを確認するサンドボックス機能も装備。これにより標的型メール攻撃による脅威の侵入を防ぐ。また、受信トレイルールの中に不審な転送設定があったり、侵害されたアカウントが含まれていたりした場合に、検知してアラートを上げる機能も備わっている。

　HENNGE Secure Downloadは、ユーザーの操作感は変えないままで、添付ファイルの自動Zip化を行うソリューションだ。送信ファイルはそのままの形で送信トレイに残るため、誰に何を送ったかも後で容易に確認できる。社内ユーザー向けのCCも平文で送られるため、添付ファイルに間違いがあった場合も速やかに気付いてもらうことが可能だ。「さらに、セキュリティレベルの高い企業ではメール監査を行っていますが、本文／添付ファイルが平文でアーカイブされるためファイル検索も容易です」と斉藤氏は付け加える。

　働く場所が多様化し、常に変化し続けるニューノーマル時代。照準を「デバイス」に合わせたセキュリティ対策の重要性はどんどん増している。その際、ポイントになるのが、HENNGEが提唱するID／デバイス管理、そしてメッセージングセキュリティといえるだろう。必要な対策を講じ、セキュアなクラウド活用を加速する上で、HENNGE Oneが強力な武器になる。