企業でクラウドやスマートフォン活用が広がる中で、社内への安全なアクセスを実現する高度認証が注目されている。ベリサインは既存製品の優位性を語りながら、その必要性を訴える。
日本ベリサインは3月9日、親会社の米Symantecからユーザーオーセンティケーション担当バイスプレジデントのアトリ・チャタジー(Atri Chatterjee)氏を招き、日本および世界で打ち出す新戦略「SAFE:Strong Authentication For Enterprises(企業のための高度認証)」を発表した。また、同戦略に伴い提供するワンタイムパスワード/電子証明書/リスクベース認証製品を紹介した。
SAFEとは、企業でクラウドやスマートフォンの活用が広がる中で、ID/パスワード+αのセキュリティレベルを担保する「高度認証」の重要性を再度提唱し、普及拡大を目指すプログラムである。チャタジー氏は米国の調査会社Forresterが北米企業360社を対象に行った「過去数年にわたる企業のIT環境の変化と認証への影響」に関するアンケート結果を紹介。企業の課題を(1)企業ネットワークの境界を越えて拡大するITリスク、(2)アクセスとパスワードの問題、(3)高度認証への誤った認識による導入遅れ――の3点にまとめた。その上で課題から見えた高度認証の必要性を以下のように語った。
(1)企業ネットワークの境界を越えて拡大するITリスク
回答企業の76%がSaaS型アプリケーションを利用し、58%は同タイプのアプリケーションを複数利用している。利用状況としてはWeb会議が77%、電子メールが70%、インスタントメッセンジャーが44%、ソーシャルネットワーキングが40%。アクセス端末は企業PCに限らず多くのユーザーが個人PCから企業LANに接続している状況だ。「これは企業が全てのユーザーアクセスを管理しきれない状況を生み出すだけでなく、情報漏えいのリスク拡大にもつながる。実際に54%の企業が2010年に情報漏えいを経験している」(チャタジー氏)
(2)アクセスとパスワードの問題
利用するアプリケーションが増えれば、管理するパスワードも増加する。企業の中にはいまだ1カ月ごとにパスワード変更を求めているところもあり、ユーザーは全てのパスワードを覚えきれず、利便性は非常に悪い。管理者からすればユーザーからの問い合わせに追われ、業務負荷が増大する。「銀行のキャッシュカードを考えてみてほしい。私は10年以上前から同じパスワードを利用しているが、その情報が外部へ漏れたことはない。これはパスワード管理を緩和しろというわけではなく、高度認証をしていれば安全であるという意味だ」(チャタジー氏)
(3)高度認証への誤った認識による導入遅れ
企業ネットワークへのアクセス認証に高度認証を義務付けている企業は30%だった。67%はパートナー企業に対して高度認証を義務付けていない。「高度認証を採用しない最大の理由は所有コスト(TCO)に対する誤った認識があるからだ。高度認証を導入している企業ではハードウェアトークンを持たないクラウド経由のモバイルトークンやトークンなしの認証を利用しており、TCO削減に成功している」(チャタジー氏)
日本ベリサイン IAS製品本部 IASプロダクトマーケティング部 部長代理 小林伸二氏は、実際に高度認証を利用する際のイメージや、同社が提供する高度認証製品として、低コストかつ容易に電子証明書を発行する「マネージドPKIサービス」、ワンタイムパスワードをクラウド経由で提供する「VIPオーセンティケーションサービス/VIPエンタープライズゲートウェイサービス」、ユーザー側での設定なしにリスクベース認証を実現する「VIPオンライン詐欺検出サービス」を紹介した。
小林氏は高度認証のシーンを「コンシューマ利用(B2C/B2B)」「企業利用(B2B)」「リモートアクセス利用(B2E)」の3点に分類し、ベリサインではいずれの利用シーンにも対応可能な製品を用意しているとした。「ベリサインの高度認証は、既存の認証システムにもう1つの認証をクラウド経由で提供するというもの。その手法として、ワンタイムパスワード/電子証明書/リスクベース認証を用意している。既存システムに手を加えずに、管理を複雑化することなく高度認証を提供できるのが特徴だ」(小林氏)。
「高度認証を選ぶ際には『認証精度』『端末依存性』など幾つか確認すべき要件がある。例えばワンタイムパスワードと電子証明書は端末依存性で大きな違いがあり、ワンタイムパスワードはマルチデバイス対応だが、電子証明書は事前に許可した端末からしか認証を許可しない、というようにそれぞれメリットがある」
以下、各製品の概要を紹介する。
電子証明書を利用するには、証明書の認証機関と発行機関がそれぞれ必要になるが、同サービスであれば、認証機関をユーザー企業内に置くことが可能だ。発行はクラウド経由でベリサインが行うため、柔軟に電子証明書を利用できる。
ユーザーID/パスワードに加えたもう1つの認証として、ベリサインからクラウド経由で提供される6桁のワンタイムパスワードを利用できるサービスである。ワンタイムパスワードは30秒ごとに切り替わるため、もしユーザーID/パスワードが漏えいしても他者がログインする危険を回避できる。両サービスの違いは、VIPオーセンティケーションサービスがインターネットバンキング/ショッピング向けであり、VIPエンタープライズゲートウェイサービスが企業のリモートアクセス向けであるという点だ。
ユーザーが利用する端末や行動履歴から、必要に応じて追加の認証を求めるサービス。「例えばいつも使用しているPCと異なるPCからログインをしたり、普段と異なる時間に利用したり、あるいは3時間前には大阪にいたのに今は他国からアクセスしているなど。不正な振る舞いを検出し、見つかった場合には、事前に登録済みの質問(好きなフルーツなど)を問い、場合によっては電話をかけたりすることでユーザーのアイデンティティーを担保する」(小林氏)。上記2つのサービスとは異なり、ユーザー側でトークンや証明書が必要ない点がポイントである。
「クラウドやスマートフォンの普及でネットワークの境界はこれまでとは異なるセキュリティが必要となる。具体的にはインフラの保護、情報の保護、そしてアイデンティティー保護だ。中でもアイデンティティーが保護されていなければいくらファイアウォールなどで保護されていても中に侵入されてしまう。そうした意味でも高度認証で他のユーザーにIDを盗まれる心配なく安心してサービスを利用できる環境を構築することが重要だ。ベリサインの高度認証であれば競合他社と比較してTCO削減率(推計)は42%低い。より求めやすい価格で必要な高度認証を提供する」
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
「高度認証への誤った認識を一掃すべきであり、高度認証こそが、スマートフォンなどを利用してクラウド経由で社内ネットワークへアクセスする現在の業務形態に求められる技術だ」とチャタジー氏
「Gmail、Twitter、Facebookのパスワードを全て同一にしている人もいるが、それは非常に脆弱でいつ破られるか分からない」と高度認証の必要性を語る小林氏
