サプライチェーン全体を通した
多要素認証と情報漏洩対策の実現法

　DX推進組織が実際に直面している課題としては、まず「インターネットに外接するリモートアクセスやクラウドからの侵入防止」が挙げられる（図1）。最近ではVPN機器やリモートデスクトップを経由した侵入が増えている上に、大量のパスワード攻撃も観測されている。 　「これらに対抗する上では、複数の認証方法を組み合わせたMFA（多要素認証）の導入が有効です。ただし、ここで注意しておきたいのが、決して『MFAがあればそれで安心』ではないという点です」とソリトンシステムズの荒木 粧子氏は説く。

　MFAがその効果を発揮するためには、例外なく常時稼働し続けていることが必要だ。しかし時には、保守作業上の理由などで一時的にMFAを無効化する場合もある。そのわずかな隙を突いて、脅威に侵入されてしまったケースもある。

　「加えて最近では、『AiTM（Adversary in the Middle）』と呼ばれるMFAを突破する攻撃も増えています。簡易的なスマホアプリのようなものだと、フィッシング攻撃に対する耐性がそれほど強くない。その結果、被害が拡大する傾向にありますので、AiTM攻撃にも対応できるMFAを選ぶことが肝心です」と荒木氏は話す。

　ちなみにMFA関連ソリューションには、前述のスマホアプリのほか、FIDO2 セキュリティキーやデジタル証明書を使うものなど、いくつかの選択肢がある。導入・運用にかかるコストも勘案した上で、できるだけフィッシング攻撃耐性の高いものを選ぶことが重要だ。

　「かけられるコストにも限界がありますので、セキュリティーリスクとその対策に必要なコストを、最適な形にバランスさせることが重要です」と荒木氏はアドバイスを送る。

　さらに、「サプライチェーン全体でDXに取り組む際にMFAを徹底しきれない」という問題もある。本社や支店などはともかく、取引先をはじめとした他組織の社員・端末にまでMFAを漏れなく実施させるのは至難の業だ。しかし、これをやっておかないことには、外部からの侵入リスクを抱えたままになってしまう。

　DX推進する上で配慮すべきセキュリティーの課題は外部からの侵入だけではない。「組織を超えたシステム共有における情報漏洩対策」も必須のテーマだ。最近では内部不正による情報漏洩被害も決して少なくないからだ。

　「特にDX推進の取り組みにおいては、組織を超えてシステムやデータを共有する場面もあります。しかも、こうしたシステムは、生産業務や顧客サービスなどビジネスの中核を担っていることも多い。関連する企業やユーザーのリテラシーも一定ではないので、ルールだけでなく技術的な対策でデータを保護することが重要です」と荒木氏は話す。

　情報漏洩対策に役立つ技術としては、ファイル暗号化やクラウドのDLP（Data Loss Prevention）機能、高度なDLP製品、画面転送型仮想化技術などが考えられる。ただし、これもそれぞれに一長一短がある。

　例えば、ファイル暗号化の場合には、復号化したファイルを最終的に削除する必要がある。しかし、たとえ削除証明を義務付けたとしても、それがどこまで信頼できるのか懸念が残る。また、SaaSの中にはそもそもDLP機能を備えていないサービスがあるし、高度なDLP製品も導入・運用にかかるコストやユーザー生産性への影響を考慮する必要がある。同様に画面転送型仮想化技術についても、クラウドサービスであれオンプレミス構築であれ、それなりのコストと運用負担を覚悟しなくてはならない。

　「こうした中、コストバランスの良さから注目を集めているのが、セキュアブラウザ／セキュアコンテナです」と荒木氏。これは、端末内に仮想的な隔離領域を作り、その内側だけでデータを活用することで、情報漏洩を防ぐというものだ。

　「隔離領域から外にデータを持ち出すことはできませんし、クラウド／システムとの通信も暗号化されます。また、セキュアブラウザはマルチOS対応であることが多く、環境を選ばず導入できます。これらの特長は、サプライチェーン全体でDXを推進する場合に大きなメリットとなります」と荒木氏は続ける。

　ソリトンシステムズでも、こうした課題に対応したソリューションを展開している。「DXは現場主導で進められることも多いので、IT部門でなくとも管理できることが重要です。また、自社以外の他組織のユーザーをきちんと管理できることも求められます。当社ソリューションは、これらの点に配慮した設計となっています」と荒木氏は話す。

　その1つが、デジタル証明書を活用してMFAとシングルサインオンを実現する国産IDaaS（ID as a Service）ソリューション「Soliton One Gate」だ。ここではシステムやクラウドへログインする際に、端末上のデジタル証明書とパスワードなどの認証情報を確認。両方ともOKでなければ、アクセスを拒否するようになっている（図2）。 　「デジタル証明書の配布についても、簡単に端末にインストールできる専用アプリ『Soliton KeyManager』を用意していますので、他組織のメンバーにも容易に配布できます。また、Microsoft IntuneなどのMDMシステムを利用されている場合は、そちらで配布することも可能です」と荒木氏は話す。Soliton KeyManagerでは、クライアント証明書を配布する際に、外部CA証明書やVPN／Wi-Fiプロファイルなどもまとめて配布できるという。

　また、情報漏洩対策にも、セキュアブラウザ「Soliton SecureBrowser」、セキュアコンテナ「Soliton SecureWorkspace」、リモートデスクトップ「Soliton SecureWorkspace forリモートデスクトップ」などの製品群を提供している。

　ブラウザだけで完結する業務であれば、Soliton SecureBrowserだけでカバーすることが可能。Officeファイルの編集や業務アプリケーションの利用も行いたい場合は、Soliton SecureWorkspaceを利用すればよい。ファイルサーバー上のファイルなども利用できるため、通常の事務作業であれば支障を来す心配はない。どうしても普段のデスクトップをそのまま使いたいという場合には、それもSoliton SecureWorkspace forリモートデスクトップで実現できる。

　これらの利点を評価して、同社ソリューションを導入している企業も数多い。例えばJR東海や豊田合成では、サプライチェーン全体のMFAに活用。また、ある教育関連企業でも、クラウド利用時のMFA＆情報漏洩対策に役立てているという。

　サプライチェーン全体のセキュリティーを推進するのであれば、目的とコストのバランスに配慮しながら、こうしたソリューションを上手く活用することが求められる。