クラウドアクセスの勘所~あるべき「認証」のススメ~

ビジネス推進本部応用技術部

セキュリティチーム

三島 千恵

 

本コラムでは、ネットワンシステムズの考えるクラウドセキュリティのうち、あるべき「認証」についてご紹介します。
 

クラウド利用の進む背景

従来、社員は毎日オフィスに出勤し、会社から支給された特定のデバイスを使用して、オンプレミスにある業務システムを利用していました。しかし、デバイス・ワークスタイルが多様化するにつれ、社員は個人所有のパソコンやスマートデバイスも含む様々なデバイスから、オフィスだけではなく自宅や喫茶店など様々な場所で業務をおこなうようになってきています。このようにデバイスやワークスタイルが多様化すると、オンプレミスに置かれた業務システムでは対応できなくなり、必要な業務システムをクラウドに置く、クラウドサービスを利用することが自然な流れとなります。

ここで重要となるのが、「クラウドセキュリティ」です。クラウドを利用する場合、従来のオンプレミス型のセキュリティではなく、改めてクラウドに必要なセキュリティを考えなければいけません。「認証」は、このクラウドセキュリティで重要な要素の一つとなっています。
 

あるべき「認証」とは?

あるべき認証の軸と要素が、下記の図です。

1

 

認証の大きな軸は、「セキュリティ」と「利便性」となり、さらに「セキュリティ」は「防御」と「検知」に分かれます。そして、これら「セキュリティ」と「利便性」で満たすべき具体的な要素としては、「ID管理」「アクセス管理」「多要素認証」「シングルサインオン」「証跡・ログ管理」の5つとなります。

 

まず、1つ目の軸「セキュリティ」についてご説明します。

2

 

「防御」の目的は、「正規のユーザだけログインさせること」と「ユーザの権限に応じたサービスだけ利用させること」です。オンプレミス・クラウドに関わらず、ユーザはIDで識別され、現状ではその多くがパスワードによって本人確認をおこなっています。そこで、ログインページで入力したIDとパスワードが正しいのか、すなわち正規のユーザかどうかを識別する「ID管理」が必要となります。ただし、パスワードだけの認証では、パスワードが漏えいした場合のリスクが非常に高くなります。

 

[参考:パスワードの使い回しのリスク]

 

パスワードに加えて、本人確認をおこなうための追加の要素を要求する「多要素認証」が現在ではほぼ必須となっています。「多要素認証」とは、「知っている」「持っている」「自分自身」の3つの要素のうち、2つ以上を組み合わせたものです。

3

 

パスワードは「知っている」の要素になるため、例えば「持っている」に該当するトークンによるワンタイムパスワードと組み合わせる、「自分自身」に該当する指紋などと組み合わせることが、「多要素認証」になります。

次に、ユーザの権限に応じたサービスだけを利用させる「アクセス管理」は、機密情報や特定の部門向け業務システムなどに不要なユーザがアクセスすることを防ぐために重要です。これら「ID管理」「多要素認証」「アクセス管理」による「防御」によって、正規のユーザだけをログインさせ、さらに正しい権限でのサービス利用ができるのです。

しかし、これだけでは正規のユーザが過失・故意に関わらず発生させた情報漏えいに対して、何も手立てがありません。そこで、正規のユーザが不審な動きをしていないか監視し、過去に不審な動きがなかったかを分析・調査するための「検知」が必要となります。認証をおこなった際のログを収集し、分析・調査をおこなう「証跡・ログ管理」が重要となるのです。

 

2つ目の軸である「利便性」は、すなわち「シングルサインオン」です。

4

 

いくらセキュリティが強固でも、利用するサービスごとに毎回面倒な認証が必要となるシステムでは使い物になりません。そこで、オンプレミス・クラウド関わらず、各サービスへの認証を一手に引き受ける「認証ゲートウェイ」を置くことで、ユーザには認証ゲートウェイへのログインでのみ認証を要求し、各サービスへシングルサインオンをおこないます。
 

まとめ

本コラムでは、クラウドサービスが利用されるようになった背景と、今後クラウドを利用する場合のあるべき「認証」についてご紹介しました。クラウドを前提とした際、あるべき認証とは「ID管理」「アクセス管理」「多要素認証」「シングルサインオン」「証跡・ログ管理」を満たし、「セキュリティ」と「利便性」を確保している必要があります。

ネットワンシステムズでは、「認証ゲートウェイ」としてF5ネットワークス社のBIG-IP APMを選定し、SIEM製品を連携させることで、このあるべき認証を実現する認証ソリューションを提供しています。このソリューションにご興味をお持ちの方は、是非ネットワンシステムズまでご連絡いただければと幸いです。
 

署名、執筆者プロフィールについて

三島 千恵
ネットワンシステムズ株式会社 ビジネス推進本部 応用技術部 セキュリティチーム所属。
入社以来、ADC/セキュリティ製品担当として、主に F5 製品や CASB 製品の評価・検証・技術サポート業務に従事。

イベント/レポート

pagetop