サイバーインテリジェンス セキュリティマネジメント Summit 2024 Summer Review
先進企業に学ぶ、DX時代・生成AI時代のサイバーリスクとの向き合い方
ソリトンシステムズ

日本企業の4つの実装パターンから考える
自社に最適な「多要素認証」とは

サイバー攻撃の巧妙化や場所を選ばない働き方の変化を背景に、セキュリティーレベルを上げる要件として、多要素認証(以下、MFA)が注目されている。だが、MFAの実装には様々な方法があるため、自社に最適な適用方はどれかと頭を悩ませる企業が少なくない。そこで、自動車メーカー、大手学習塾、流通大手、総合人材サービス業など、MFA導入に成功した先進事例を紐解きながら、日本組織の業務環境に応じたMFA実装パターンを考察したい。

急増するMFAを突破する
サイバー攻撃

株式会社ソリトンシステムズ ITセキュリティ事業部 エバンジェリスト 荒木 粧子氏
株式会社ソリトンシステムズ
ITセキュリティ事業部 エバンジェリスト
荒木 粧子
 サイバー攻撃の高度化、巧妙化が進んでいる。いま主流となっているのはSSL-VPNなどの脆弱性を狙った攻撃だが、最近はセキュリティーレベルの高いMFAを導入した企業や組織に対しても、それを突破する攻撃が増加している。

 例えばAiTM(Adversary in The Middle)は、ユーザーと認証先の間に攻撃者が入り込み、通信を傍受して認証済みセッション情報(セッションCookie)を盗み出すフィッシング攻撃のこと。AiTMに成功すると、たとえMFAが導入されたシステムであっても、攻撃者は正規ユーザーになりすましてログインできてしまう。

 「AiTMなどの攻撃に対しては『MFAを導入したから大丈夫』というわけにはいきません。スマホアプリを利用した簡易的なMFAなら簡単に突破されてしまいます。米国や欧州では数年前から報告されていましたが、現在は日本でも被害報告が上がっています。被害を防ぐためには簡単なMFAではなく、より攻撃耐性のあるMFAが必要です」と、ソリトンシステムズの荒木 粧子氏は警鐘を鳴らす。

 これからMFAを導入しようとする企業は、AiTMをブロックできるだけの攻撃耐性があるか、つまり「フィッシング耐性があるかどうか」の観点で評価する必要がある。

 「FIDO2(生体認証などパスワードを用いない認証の仕組み)とデジタル証明書には、このフィッシング耐性があることが証明されています。しかし運用面やコスト面を考慮すると、FIDO2では対応するデバイスが必要で管理も煩雑な反面、デジタル証明書は専用デバイスが不要でマルチOS対応であり、手間のかかる認証局(CA)運用もサービス提供されるようになってきたことから、最近では選択しやすいMFAになってきたといえます」(荒木氏)

 デジタル証明書を使ったMFAでは、正規の証明書を持たない攻撃者はログイン画面にたどり着けない。利用端末が特定できることからも、MFAの中でも高い優位性を持つという(図1)。

DX推進組織における
MFAの選定要件とは

 こうした状況を踏まえ、荒木氏は日本のDX推進組織におけるMFA選定要件を次のように説明する。

 「まず攻撃耐性の高いMFAに変えること。そして自組織・他組織が混在する利用形態ならではの要件、デジタル化に伴う要件などを勘案する必要があります」

 自組織・他組織が混在する利用形態では、MDM(モバイルデバイス管理)外の端末に対応でき、自組織のActive Directory/Entra IDとは別にユーザー管理が可能なこと、コストを抑え、ビジネス部門でも運用できることなどを考慮することが大切だ。またデジタル化に伴う要件としては、クラウド認証・VPN認証ともに利用できること、PC/スマホ/タブレットで利用できること、端末紛失時の対応がしやすいことなどが挙げられる。

 こうした要件に対応したソリューションとして、ソリトンシステムズが提供するのが「Soliton OneGate」である。Soliton OneGateはデジタル証明書の運用・管理を容易にする機能を多数搭載した国産IDaaS(Identity as a Service:ID管理・認証サービス)で、日本の政府情報システムのためのセキュリティー評価制度「ISMAP」にも登録されている。Wi-Fi/SASE※1/VPNの認証、SAML※2によるSSO、SAML非対応のオンプレミスシステムへのSSOや、パスワードレス運用などにも拡大でき、幅広い企業や組織のニーズに応える特長を備えている。

 「Soliton OneGateは、DX推進においてセキュリティー対策に課題をお持ちのお客様に、既に多数ご導入いただいています。実際に、MFAの実装に成功されたお客様を整理してみると、いくつかの類型が見えてきました」と荒木氏は話す。
※1
SASE (Secure Access Service Edge):セキュリティー機能とネットワーク機能を統合したクラウドサービス
※2
SAML (Security Assertion Markup Language):標準化団体のOASISが策定した認証を行うための規格。シングルサインオンやフェデレーションを実現する

成功事例から見えてきた
4つのMFA実装パターン

 荒木氏によるとDX推進組織におけるMFA実装の成功パターンは大きく4つあるという。まず1つ目が「サプライチェーン全体を包括するMFA」だ。トヨタグループの自動車部品メーカー、豊田合成株式会社の導入事例がこのパターンとなる。

 同社はこれまでオンプレミスで運用してきた約160社の仕入先と共有する受発注システムをクラウド化するにあたり、サプライチェーン全体を包含したセキュリティー強化策として、ID/パスワードに加えMFAの導入を検討していた。しかし自社だけではなく、仕入先企業も利用するシステムであるため、利用し始めるまでの手順がシンプルで、かつ運用負荷も少ないことが要件となった。そこで選ばれたのがSoliton OneGateだ。

 「Soliton OneGateは利用し始めるまでの手順がシンプルなため、デジタル証明書の配布も大きな負荷がかからず、容易にMFAを実現できた点をご評価いただきました。また業界内で先んじてMFAを実装できたことで、サプライチェーン上位にいる会社としてセキュリティー強化の解決方法が示せた意義があったというありがたいお言葉もいただきました」と荒木氏は話す。

 2つ目が「組織横断を加速するMFA」である。第一ゼミナール、第一学院などの学習塾を運営する株式会社ウィザスの事例がこれに該当する。

 同社では関連会社の社員や講師・アルバイトなど、Active Directory(AD)に登録されていないユーザーもシステムを利用する必要がある。このためアカウント管理とセキュリティーの担保が複雑化する課題を抱えていた。そこでSoliton OneGateの内部DBを活用して、社内外のユーザーを統合管理。ADに登録されてないユーザーもSoliton OneGateでユーザー登録をすることでデジタル証明書を発行し、全ユーザーが安全にMFAを実現する仕組みを構築した。

 3つ目は「現場の生産性を上げるMFA」である。総合スポーツショップやゴルフ専門店、アウトドア専門店などを全国約400店舗で展開する株式会社アルペンはこのケースだ。

 同社はオフィスや店舗で勤務する約3000人の社員に加え、アルバイトまで含めると約1万2000人の従業員がAndroidのスマートフォンやタブレット、WindowsノートPCを駆使して日々接客業務を行っている。店舗のデバイスは共用のため、従来からパスワードレス認証とSSOを実現していたが、数年前に導入した顔認証は、店舗によっては照明を暗くしているエリアもあるため何度も認証に失敗する事象が多発。スクラッチ開発されたシングルサインオンシステムも、連携システムが増えるたびにコストがかかっていたことから、リプレイスを機にIDaaSの利用を決断。Soliton OneGateの導入によって従来から社員証として利用していたICカードと、NFC付きスマートフォンおよびカードリーダーを使ったデバイスによるMFAを実現した。

 「導入後は多発していた認証不具合が解消し、始業時間帯の一斉アクセスのレスポンスにも問題なく、快適に利用できているそうです。運用効率の向上や業務変革のスピードアップにSoliton OneGateが貢献しているというご評価をいただいています」と荒木氏は話す。

 最後の4つ目が「機密データ保護×MFA」で、ある総合人材サービス業に導入された事例がそれに当たる。

 同社にはこれまでMFAでクラウド上の人材派遣DBにアクセスして閲覧する業務フローがあったが、ブラウザに残されたキャッシュなどから情報漏えいが起こるリスクが懸念されていた。そこで採用されたのがSoliton OneGateのセキュアブラウザだ。これは隔離領域となっているセキュアブラウザ外へのデータ持ち出しやコピー、印刷を禁止する専用ブラウザ。Soliton OneGateの一機能として統合されており、重要度・機密度の高いクラウドシステムにアクセスするときに、MFAだけではなく、セキュアブラウザでのアクセスのみ許可することができるため、機密性の高いデータを安全に共有できるMFA環境が実現した。

 「4つの導入事例でご説明したように、MFA実装の最適解は組織によって異なります。自社にとって最も効率的で効果の高いMFAの在り方はどういったものか、もしお悩みでしたらぜひ当社にご相談ください。利便性と高セキュリティー性を両立し、DXを推進する組織の要件にあったMFAの最適解が必ず見つかります」

 クラウドサービスやリモートアクセスへの不正侵入、組織を越えたシステムの共同利用におけるセキュリティー対策などの課題があれば、4つの導入パターンを参考にしつつ、自組織に最適なMFAを検討すると良いだろう(図2)。
TOPへ
関連リンク
お問い合わせ
株式会社ソリトンシステムズ URL:https://www.soliton.co.jp/