企業でクラウドやスマートフォン活用が広がる中で、社内への安全なアクセスを実現する高度認証が注目されている。ベリサインは既存製品の優位性を語りながら、その必要性を訴える。
日本ベリサインは3月9日、親会社の米Symantecからユーザーオーセンティケーション担当バイスプレジデントのアトリ・チャタジー(Atri Chatterjee)氏を招き、日本および世界で打ち出す新戦略「SAFE:Strong Authentication For Enterprises(企業のための高度認証)」を発表した。また、同戦略に伴い提供するワンタイムパスワード/電子証明書/リスクベース認証製品を紹介した。
SAFEとは、企業でクラウドやスマートフォンの活用が広がる中で、ID/パスワード+αのセキュリティレベルを担保する「高度認証」の重要性を再度提唱し、普及拡大を目指すプログラムである。チャタジー氏は米国の調査会社Forresterが北米企業360社を対象に行った「過去数年にわたる企業のIT環境の変化と認証への影響」に関するアンケート結果を紹介。企業の課題を(1)企業ネットワークの境界を越えて拡大するITリスク、(2)アクセスとパスワードの問題、(3)高度認証への誤った認識による導入遅れ――の3点にまとめた。その上で課題から見えた高度認証の必要性を以下のように語った。
(1)企業ネットワークの境界を越えて拡大するITリスク
回答企業の76%がSaaS型アプリケーションを利用し、58%は同タイプのアプリケーションを複数利用している。利用状況としてはWeb会議が77%、電子メールが70%、インスタントメッセンジャーが44%、ソーシャルネットワーキングが40%。アクセス端末は企業PCに限らず多くのユーザーが個人PCから企業LANに接続している状況だ。「これは企業が全てのユーザーアクセスを管理しきれない状況を生み出すだけでなく、情報漏えいのリスク拡大にもつながる。実際に54%の企業が2010年に情報漏えいを経験している」(チャタジー氏)
(2)アクセスとパスワードの問題
利用するアプリケーションが増えれば、管理するパスワードも増加する。企業の中にはいまだ1カ月ごとにパスワード変更を求めているところもあり、ユーザーは全てのパスワードを覚えきれず、利便性は非常に悪い。管理者からすればユーザーからの問い合わせに追われ、業務負荷が増大する。「銀行のキャッシュカードを考えてみてほしい。私は10年以上前から同じパスワードを利用しているが、その情報が外部へ漏れたことはない。これはパスワード管理を緩和しろというわけではなく、高度認証をしていれば安全であるという意味だ」(チャタジー氏)
(3)高度認証への誤った認識による導入遅れ
企業ネットワークへのアクセス認証に高度認証を義務付けている企業は30%だった。67%はパートナー企業に対して高度認証を義務付けていない。「高度認証を採用しない最大の理由は所有コスト(TCO)に対する誤った認識があるからだ。高度認証を導入している企業ではハードウェアトークンを持たないクラウド経由のモバイルトークンやトークンなしの認証を利用しており、TCO削減に成功している」(チャタジー氏)
日本ベリサイン IAS製品本部 IASプロダクトマーケティング部 部長代理 小林伸二氏は、実際に高度認証を利用する際のイメージや、同社が提供する高度認証製品として、低コストかつ容易に電子証明書を発行する「マネージドPKIサービス」、ワンタイムパスワードをクラウド経由で提供する「VIPオーセンティケーションサービス/VIPエンタープライズゲートウェイサービス」、ユーザー側での設定なしにリスクベース認証を実現する「VIPオンライン詐欺検出サービス」を紹介した。
小林氏は高度認証のシーンを「コンシューマ利用(B2C/B2B)」「企業利用(B2B)」「リモートアクセス利用(B2E)」の3点に分類し、ベリサインではいずれの利用シーンにも対応可能な製品を用意しているとした。「ベリサインの高度認証は、既存の認証システムにもう1つの認証をクラウド経由で提供するというもの。その手法として、ワンタイムパスワード/電子証明書/リスクベース認証を用意している。既存システムに手を加えずに、管理を複雑化することなく高度認証を提供できるのが特徴だ」(小林氏)。
「高度認証を選ぶ際には『認証精度』『端末依存性』など幾つか確認すべき要件がある。例えばワンタイムパスワードと電子証明書は端末依存性で大きな違いがあり、ワンタイムパスワードはマルチデバイス対応だが、電子証明書は事前に許可した端末からしか認証を許可しない、というようにそれぞれメリットがある」
以下、各製品の概要を紹介する。
電子証明書を利用するには、証明書の認証機関と発行機関がそれぞれ必要になるが、同サービスであれば、認証機関をユーザー企業内に置くことが可能だ。発行はクラウド経由でベリサインが行うため、柔軟に電子証明書を利用できる。
ユーザーID/パスワードに加えたもう1つの認証として、ベリサインからクラウド経由で提供される6桁のワンタイムパスワードを利用できるサービスである。ワンタイムパスワードは30秒ごとに切り替わるため、もしユーザーID/パスワードが漏えいしても他者がログインする危険を回避できる。両サービスの違いは、VIPオーセンティケーションサービスがインターネットバンキング/ショッピング向けであり、VIPエンタープライズゲートウェイサービスが企業のリモートアクセス向けであるという点だ。
ユーザーが利用する端末や行動履歴から、必要に応じて追加の認証を求めるサービス。「例えばいつも使用しているPCと異なるPCからログインをしたり、普段と異なる時間に利用したり、あるいは3時間前には大阪にいたのに今は他国からアクセスしているなど。不正な振る舞いを検出し、見つかった場合には、事前に登録済みの質問(好きなフルーツなど)を問い、場合によっては電話をかけたりすることでユーザーのアイデンティティーを担保する」(小林氏)。上記2つのサービスとは異なり、ユーザー側でトークンや証明書が必要ない点がポイントである。
「クラウドやスマートフォンの普及でネットワークの境界はこれまでとは異なるセキュリティが必要となる。具体的にはインフラの保護、情報の保護、そしてアイデンティティー保護だ。中でもアイデンティティーが保護されていなければいくらファイアウォールなどで保護されていても中に侵入されてしまう。そうした意味でも高度認証で他のユーザーにIDを盗まれる心配なく安心してサービスを利用できる環境を構築することが重要だ。ベリサインの高度認証であれば競合他社と比較してTCO削減率(推計)は42%低い。より求めやすい価格で必要な高度認証を提供する」
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
「高度認証への誤った認識を一掃すべきであり、高度認証こそが、スマートフォンなどを利用してクラウド経由で社内ネットワークへアクセスする現在の業務形態に求められる技術だ」とチャタジー氏
「Gmail、Twitter、Facebookのパスワードを全て同一にしている人もいるが、それは非常に脆弱でいつ破られるか分からない」と高度認証の必要性を語る小林氏
