トピック

ハイブリッドな働き方に合わせたサイバーセキュリティ対策を

ここ数年でテレワークやワーケーションなど、働く場所を問わない働き方が定着しはじめ、出社しなくても仕事ができる環境が整いつつあります。

今回は、今後も続くであろうハイブリッドな働き方に合わせたセキュリティを確保することの重要性や、その方法についてご紹介します。

今後も続く、ハイブリッドな働き方

当初は原則テレワークとしていた企業でも、パンデミックの長期化により次第に出社とテレワークを組み合わせたハイブリッドな勤務形態へとシフトしているところが多いのではないでしょうか。新型コロナウイルス感染症の収束のいかんにかかわらず、このハイブリッドな働き方は定着し今後も続くと考えられます。

そのような状況において、セキュリティをどのように確保するかは一つの課題であると言えます。たとえば、これまでは社員証等により社内への立ち入りを制限するなどしたうえで、社内のIPアドレスからのアクセスのみを許可する形としていれば、ユーザー本人による認証であるという判断ができていました。

しかしながら、テレワークが普及したことで社外からアクセスする頻度が高くなると、従来のIPアドレス制限(社外からのアクセスを制限する)では対応できず、ユーザー本人による認証かどうかの判断が難しい状況となっています。「企業のセキュリティポリシーやセキュリティ対策は今まで通り」というわけにもいかないでしょう。

実際、今年1月末に情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2022」においても、「テレワーク等のニューノーマルな働き方を狙った攻撃」が2021年に引き続き上位にランクインしています。攻撃者も新たな働き方に合わせて攻撃手法や標的を変えつつあるのです。

そのため、テレワーク時のログインにも出社時と同様の認証方式を用いるのではなく、状況に応じてセキュリティレベルの異なる認証方式を使い分ける必要があります。

ハイブリッドな働き方に合わせた認証方式の使い分け

しかし、これまで慣れ親しんだ従来のIPアドレス制限+パスワード認証から、急にハイブリッドな働き方に合わせた認証方式へと移行すると、システム管理者側にもユーザー側にも多くの負担がかかるため、なかなかハードルが高いと思われます。

そこで昨年7月、ISRはCloudGate UNOのSSOサービスにゼロトラストの考え方を採用し、各サービスへのアクセス毎に認証が要求される仕組みや、認証強度をサービス毎に設定できる機能を実装しました。これにより、安全な認証だけでなく、ユーザーの利便性を向上させる機能をすぐに利用することができるようになりました。このセクションでは、この仕組みによって実現できる、ハイブリッドな勤務形態におけるCloudGate UNOのご利用例をご紹介いたします。

アクセスする場所によって認証方式を変更
社内ではクラウドサービスにログインする際、IPアドレス制限とパスワード認証を適用しているとします。しかし、テレワーク(社外からのアクセス)の場合には会社のIPアドレスを使用できないため、クラウドサービスへのログイン時にはパスワード+生体情報のMFA(多要素認証)を適用します。これにより、社内/社外いずれの場合においても本人性を高めることにつながります。

認証状態保持機能を利用して便利にアクセス
CloudGate UNOのSSOサービスには認証状態保持機能が備わっています。これは、一度認証が完了すると、事前に設定した期間内であればその認証をスキップすることができる機能です。たとえば、先ほどの認証方式の設定に加え、パスワードの認証状態保持期間をX日 or X時間、指紋(生体情報)の認証状態保持期間を都度に設定するとします。

社内からアクセスする場合、ユーザーはX日 or X時間おきにパスワード認証を行うだけでクラウドサービスにログインすることができます。社外からアクセスする場合、パスワードの認証状態が保持されている間は指紋認証のみを行うことでクラウドサービスへのログインが可能となります。

つまり、本来であればテレワークの際にはパスワード+指紋認証という多要素認証を行う必要がありますが、認証状態保持機能を用いることで単一要素の認証と同様の簡単な動作のみで安全なログインを実現できるのです。
※クラウドサービスの設定によっては実現できない場合もあります

さらに安全で利便性の高い認証を行うには

前のセクションでは、従来のIPアドレス制限+パスワード認証を残しつつ、ハイブリッドな働き方に対応する方法をご紹介しました。このセクションでは、CloudGate UNOの仕組みを最大限に活用していただくために、私たちが推奨する活用例をご紹介いたします。

アクセスする場所を問わず、Pocket CloudGateによる生体認証を利用
「Pocket CloudGate」とは、お手持ちのスマートフォンをMFAソリューションとしてご利用いただけるCloudGate UNO専用アプリです。スマートフォンに搭載されている顔や指紋などの生体認証機能を用いてCloudGate UNOにサインオンが可能となります。

例えば、従来のIPアドレス制限+パスワード認証の場合、悪意ある第三者が標的のアカウントのパスワードを知っておりIPスプーフィングなどで社内からのアクセスであるように偽装できれば、容易に不正アクセスが成立してしまいます。

しかし社内/社外を問わず、クラウドサービスにアクセスする時はパスワード入力+Pocket CloudGateの生体認証を行うというセキュリティプロファイルを設定しておけば、もし悪意のある第三者がパスワードを入手したとしても、アカウント所有者の手元にあるスマートフォン上で認証リクエストの確認と生体認証を実施しない限り、その不正アクセスを成立させることはできません。

また、昨年アメリカで起こった、歴史上最大のサプライチェーン攻撃と言われるSolarWinds事件の発覚のきっかけになったのは、SolarWinds社の顧客であったMandiant社が、攻撃者が行っていた新規端末の偽装登録を不審に思ったことでした。

攻撃者は、Mandiant社の既存のアカウントに自分のスマートフォンを不正に新規登録し、同社のシステムにログインしていました。ハイブリッドな勤務形態下では、リモートでの端末の自己新規登録を認めている企業も多くあるため、その端末の新規登録が正当か不正か、システム管理者が判断するのは大変困難になります。

この出来事を受けてPocket CloudGateに搭載されたセキュリティ通知機能は、端末登録などのセキュリティに関するアクティビティをアカウント所有者にポップアップで通知するため、早急な対応を実現し、不正ログインによる被害を最小限に抑えることが期待できます。

Pocket CloudGateは場所を選ばず高いセキュリティと利便性を実現する、生体認証とセキュリティ通知機能を搭載したアプリケーションです。現在CloudGate UNOには3つの基本プランがありますが、どのプランを選んでいただいても、Pocket CloudGateをご利用いただけます。

CloudGate UNOのサービス料金

いち早い対策が情報を守ることに繋がる

国家レベルの情報やシステムなどを司る政府等の重要機関では、上記の生体認証を用いる方式だけでなく、FIDO2に準拠した認証器を利用するといったセキュリティ強度の高いゼロトラストに基づくMFAを導入することで、さらなる認証レベルの強化を目指すべきではないでしょうか。

私たちはベンダーとして、お客様の状況に合わせた安全な認証を実現するために複数の選択肢を用意しておかなければならないと考えています。CloudGate UNOにゼロトラストの考え方を採用したり、生体情報を用いたMFAの利用を推奨したりと、ランサムウェアを含むサイバー攻撃の増加や攻撃手法の変化にいち早く対応してきました。また、今回のハイブリッドな働き方のような変化にもいち早く対応できるよう心がけ取り組んでいます。

CloudGateサービス提供当初から根底にある「Security First」という考えに基づき、経営理念でもある「全力でお客様の情報資産を守る」ために、日々の環境変化に応えられるよう柔軟性を持って進化してまいります。