大切なのはユーザー認証だけじゃない！　ゼロトラスト・アーキテクチャに基づいたデバイス証明書で安全な端末認証を

サイバー攻撃の複雑化や高度化に伴いセキュリティ強化が必要となり、パスワードのみの認証ではなくMFA（多要素認証）を導入するなど、ユーザー認証においては多くの企業でセキュリティ強化のための対策がとられてきました。さらに、ニューノーマルな働き方によりテレワークが普及・定着したことで、社外からのアクセスが一般的となり、ユーザーに加えてデバイスの認証の必要性も高まってきました。

今回は、サイバーセキュリティに対する考え方や、SSOサービス「CloudGate UNO」を通してご提供してきた機能など、ISRの歩み（ジャーニー）をご紹介しつつ、新たに開発したオリジナルのデバイス証明書「CloudGate証明書」について解説いたします。

ISRが目指す「安全かつ便利な認証」（私たちのジャーニーの始まり）

ISRは2008年12月27日よりCloudGateサービスの提供を開始しましたが、わずかその1年後の2010年1月、オーロラ作戦と呼ばれる一連のサイバー攻撃についてGoogleが被害を公表しました。この攻撃はゼロデイ脆弱性を入り口としており、攻撃者はGoogleのクラウドサービスにアクセスするためのパスワードを盗み、Gmailのソースコードや他の重要なデータを盗むことに成功していました。

攻撃者がユーザーのPCにキーロガーを導入してパスワードを盗むことができたために、このような事件が発生しました。このことから、私たちはパスワードによる認証だけでは不十分であること、常にサイバー攻撃を受ける可能性があるということを認識しました。そして私たちは「Security First」の考えのもと、「全力でお客様の情報資産を守る」という経営理念を掲げ、パスワードに頼らない認証による安全な世界を実現するジャーニーを始めました。

生体情報、セキュリティキーによるMFA
CloudGate UNOは、SSOベンダーとして初めてFIDO規格に基づくユーザー認証方式を採用しました。2014年に初めてU2Fを採用し、2019年からはFIDO2に対応しています。どちらもパスワードに依存しない方法でユーザーを認証する仕組みです。FIDO2はパスワードの必要性を完全に排除するもので、パスワードレス認証として知られています。パスワードが不要となればユーザーは複雑なパスワードを管理したり覚えたりする必要がなくなるため、安全性の確保だけでなく、より速く、より簡単に利用することができます。ユーザーは指紋や顔をスキャンしてデバイスに認証されるだけでよいのです。

しかし、企業のセキュリティポリシーを変えてパスワードレス認証を本格的に導入するには時間がかかるということもあり、パスワードを利用しつつ他の認証要素を加えるMFAの導入が増えています。MFAにはさまざまな認証方法がありますが、コードをネットワーク上でやり取りすることから窃取される恐れのあるSMSやOTPは安全な方法であるとは言えず、顔や指紋などの生体情報を用いる方法がより安全性が高いと考えられます。そこで2015年から、スマートフォンに搭載の生体認証機能を利用することで安全なMFAを実現できる機能の提供を開始しました。

生体情報などを用いたFIDO2によるMFAであれば、仮にMan-in-the-Browser攻撃を仕掛けたとしても攻撃者は生体認証を突破することはできず、CloudGate UNOへのアクセスは失敗に終わります。

ゼロトラスト・アーキテクチャの導入
2021年7月には、ネットワークの場所、ベースとなるOS、ブラウザ、ユーザーといったすべてのものを信用せず常に認証する必要があるとする、ゼロトラスト・アーキテクチャをCloudGate UNOに採用しました。SSOサービスにおいて情報の機密性などに応じてクラウドサービスごとにアクセス制限を設定できるようにするとともに、クラウドサービスへアクセスするたびに認証を行うアプローチへと変更しました。

働き方の変化によって必要性が増すデバイス証明書

「誰が、どの端末で自社のITリソースにアクセスしているのか」ということは管理者やCIOにとって最も重要な関心ごとであると言えます。しかし、テレワークが普及・定着した昨今においては、業務で使用するクラウドサービスへ社外からアクセスする機会が増しており、「本当に正規のユーザー／端末からのアクセスかどうか」を判断することが難しくなっています。

そこでISRでは、顔や指紋などの生体情報を用いたMFAによるユーザー認証と併用して、正規の端末であるかを確認するためのデバイス証明書による端末制限の利用を推奨しています。

デバイス証明書は、その端末が許可されたものであることを認証するために利用されます。秘密鍵と公開鍵という鍵ペアによる公開鍵暗号方式が用いられており、秘密鍵は端末内部に保管、対となる公開鍵は認証局により本物であるというデジタル署名がされ、証明書が発行されます。デバイス認証の際には、サーバーから届くチャレンジに秘密鍵で署名して返すことでアクセスが承認されます。

現在一般的に使用されているデバイス証明書の問題点
しかし、サイバー攻撃の複雑化・高度化に伴い、ネットワーク経由で受け渡しされる秘密鍵が漏洩する危険性が高まっています。また、現在のPCやスマートフォンで使われている証明書は、マルウェアや攻撃者に端末内に侵入された場合、複製やエクスポートされてしまう可能性があります。

これは、現在の証明書がホストOSの完全性に依存し、ホストが管理するCPUとハードディスクを使用して暗号鍵を生成し保護するためです。ユーザーのデバイスが特定のマルウェアに感染した場合、証明書と秘密鍵が非認証PCへとエクスポートされてしまいます。一度エクスポートされると、高度な攻撃者であれば自分のデバイスを正規のデバイスとして見せることができるため、ユーザーになりすまして侵入することが可能となります。

CloudGate証明書（私たちのジャーニーは続く）

ユーザー認証におけるパスワードのように、デバイスOSにおいてももはやいかなる種類の証明書の生成や保存も信頼することはできないと言えます。そこでISRでは、オリジナルのデバイス証明書「CloudGate証明書」を開発し、2022年9月10日より提供を開始します。

FIDOベースのユーザー認証がより安全だとされる理由は、現在ではほとんどの端末に搭載されている、認証キーの生成・保護に耐タンパー性のあるハードウェアを使用していることにあります。

CloudGate証明書も同様に、セキュアエレメントに基づいた証明書発行という方法をとっています。セキュアエレメントとは、鍵ペアの生成や鍵の保存および使用制限などの機能を備えた、秘密鍵や生体情報などの秘匿データを保護・保存するためのものであり、ほとんどの端末に搭載されています。また、内部に格納されている秘密鍵は取り出すことができないため、安全性が担保されます。

CloudGate証明書の提供開始時点では、TPM（バージョン1.2以上）を搭載するWindows 10以上（64ビット版）のデバイスがサポートされます。Windows 10ベースのPCでは、TPMを使用してCloudGate証明書を生成し、その証明書の公開鍵をCloudGate UNOへ登録することができるようになります。その後CloudGate UNOへアクセスする際には、ユーザーとデバイスの両方が認証されます。PCの場合、TPMには証明書の生成と認証リクエストへの署名に使用された秘密鍵が含まれています。証明書を生成したTPMのみが、チャレンジの認証または署名を成功させることができます。これらの動きは端末内部で自動的に行われるため、ユーザーは何らかの動作をする必要がなく、利便性の面でも優れていると言えます。

現時点ではCloudGate証明書のサポート対象はWindowsOS、ChromeOSのみですが、今後iOSやmacOS、Androidなどより多くのプラットフォームのサポートと機能拡張を予定しています。全力でお客様の情報資産を守るため、安全な認証の実現を目指す私たちのジャーニーは、これからも続きます。

・この記事の内容を詳しく知りたい方はこちら