トピック

リモートワークに適応したアクセス制限とパスワードレス認証が重要に

連載:ニューノーマル時代のSSOとセキュリティ(前編)

ここ数ヶ月で新型コロナウイルスの影響から在宅勤務という働き方が定着、クラウドサービスをフル活用するニューノーマル時代において、一部機関を狙ったパスワードスプレー攻撃や、役員IDやパスワードの闇市流通など、現在まで耐えうることができたセキュリティ対策をくぐり抜けるサイバー攻撃が日々発生しています。

つまり、在宅勤務を取り入れたリモートワーク実施前のセキュリティ管理のままでは企業資産を危険に晒してしまっています。

では、クラウドサービスをフル活用するニューノーマル時代に必要なSSOとセキュリティとはどのようなものなのでしょうか。全2回の本連載では、企業がリモートワークを安全にそして効果的に運用していくためのSSOとセキュリティ対策について考察していきます。

前編では、現在までのセキュリティ対策を考えるとともに、リモートワークに適応したアクセス制限とパスワードレス認証についてご紹介します。

ニューノーマル前のSSOとセキュリティ対策とは?

主に要件に合わせたアクセス制限とID・パスワードを使った認証でシングルサインオン(SSO)は利用されています。

例えば、社内での業務が多い総務部には社内利用に限定したIPアドレス制限とID・パスワードの認証を適応し、外回りの多い営業部には社外からのアクセスを許可する代わりに自社デバイス(PCなど)利用に限定した端末制限とID・パスワードの認証を適応し利用させるなど。

なぜなら、一般的にシングルサインオンは1つのIDとパスワードを入力するだけで複数のクラウドサービスやアプリケーションなどにログインできる役割を果たす利点とともに、1つのパスワードの管理でセキュリティの確保ができるとされているからです。ここでいうセキュリティの確保とはパスワードをメモしたり、簡単なパスワードの設定をしたり、同じパスワードを使いまわすなどの漏洩リスク軽減を指しています。そして、不正アクセスのリスク回避としてパスワードの一元管理を大きく打ち出しているシングルサインオン製品も多くあります。

新型コロナウイルス感染拡大前まで、働き方改革を推し進めながらも日本企業におけるリモートワークは大きく普及していないため、ある程度のセキュリティをID・パスワードの認証とアクセス制限で確保できていました。

しかし、リモートワーク拡大を背景としてID・パスワードの認証とアクセス制限ではセキュリティ対策が万全とは言えなくなったのです。

最近では、在宅勤務で私物パソコンから遠隔操作するリモートデスクトップの利用が急増し、拙速に在宅勤務に移行した企業がIDとパスワードを入力するだけで遠隔操作を認めてしまっていることが理由でパスワードが闇市で広く流通し、役員クラスのIDは1万ドルで流通するといういった事件、またID・パスワードの使い回しにより国内38社が不正アクセスを受け、遠隔勤務に欠かせないVPNの認証情報が流出した事件がありました。

このようにIT管理者は、リモートワーク拡大を背景としたセキュリティの課題と合わせてパスワードリセットといったサポート業務の負荷を抱える時代となってしまったのです。

リモートワークに適応したSSOとセキュリティ対策とは?

リモートワークに適応したアクセス制限とパスワードレス認証を用いた認証強化を行ったSSOを利用することです。

現在までの出社する働き方であれば、ID・パスワードの認証でもアクセス制限でどうにか不正アクセスを制御できたかもしれません。

しかしリモートワークにおいては、このような対策では無防備な裸の王様状態になっていると言っても過言ではありません。つまり、社内のIPアドレス制限や端末制限で囲っていたお城はなくなり、パスワードという身にまとっていた服は摂取され、敵はやりたい放題です。

「パスワードの一元管理ができるSSOは安全で便利」、「1つのパスワードだけ管理すれば良いのでSSOは安全」はもうニューノーマルな時代には通用しないのです。

何よりもパスワードを使わない、FIDO2が可能にした新時代の認証方式となる生体認証を使ったパスワードレス認証での強化が必要です。さらに、IPアドレス制限や端末制限、また時間や国制限など利用する環境での制限を組み合わせ、強固な認証によるログインからクラウドサービスアクセスまでのエンドツーエンドのセキュリティがニューノーマル時代におけるSSOのセキュリティ対策として必要です。

現在では、Windows HelloやMacBookのTouch IDなどPCデバイスでの世界標準技術に準拠したパスワードレス認証の実装が可能であり、今後はiPhoneやiPadでのTouch IDやFace IDの対応も予定されています。また、2023年1月にはWindows8.1サポートの終了が予定されているため、その時までには70%の企業利用PC端末でパスワードレス認証が行われると予測しています。対応デバイスが増えることにより、新たな認証器を用意しなくても良い時代になるのです。

また、パスワードレス認証はコスト面にも大きなメリットをもたらします。

もともとSSOは利便性の向上も行えるため、社員のログインにかかける時間を削減でき、さらには、管理者が社員からの問い合わせの約半数を占めるパスワードリセットにかける時間を削減できるのです。

おわりに

「クラウドサービスを使う上で、シングルサインオン(SSO)導入しておいてよかった、新型コロナウイルスがあってリモートワークもスムーズに運用できたし、本当便利で、しかも安全で...」と安心されている管理者の方。

リモートワーク実施前のセキュリティ管理のままにしていませんか?
パスワードの一括管理が行えるからSSOが安全だと思っていませんか?

ここ数ヶ月で新型コロナウイルスの影響から在宅勤務という働き方が定着した今、クラウドサービスをフル活用するニューノーマル時代に必要なSSOとセキュリティ対策を見直さなければ、経営幹部のパスワードを闇市場から入手され、今日にでも機密情報にアクセスされているかもしれません。なりすましをみやぶるのはとても難しいのですから。
FIDO2がパスワードレス認証時代をもたらしたことで、CloudGate UNOではSSOサービスとしてリモートワークにも対応した柔軟なアクセス制限とこのパスワードレス認証によるエンドツーエンドのセキュリティを提供しております。今後もお客様が安全に安心して便利なクラウドサービスの活用できるよう取り組んでいきます。

次回の後編では、リモートワークが当たり前となったニューノーマル時代においてどのようなSSOサービスを選べば利便性はそのままに安全な運用ができるのか見極め方についてご紹介します。