サイバー攻撃の急増、重要視されるのは「ハードウェアベース」のユーザー認証と端末制限
CloudGate証明書で情報資産への入り口のセキュリティを強化する

昨今、隣国への侵攻やミサイル発射といった物理的な攻撃だけでなく、サイバー空間での攻撃も激化しています。実際、Verizonの2022年調査報告書ではランサムウェアが関係するデータ漏洩／侵害の件数は増加し、過去5年間の合計を上回る結果となっています。もちろん日本も例外ではなく、周りを取り巻く環境は安全とは言えなくなるでしょう。

また、テレワークの定着により社員が遠隔から企業情報へアクセスする機会が増えたことで、正規のユーザーによるアクセスかどうかを厳密に判断する必要性が増してきています。

企業はこのような状況を意識し、自社の大切な情報資産を守るため、情報へアクセスする際の入り口となる部分のセキュリティ強化をしっかりと進めていく必要があります。そこで重要となるのがハードウェアベースの暗号化による認証です。CloudGate UNOでは、管理者は企業のセキュリティポリシーに従いつつ、強固なユーザー認証と証明書による端末制限を簡単に設定・利用することができます。

今回は、セキュリティ強化に欠かせないハードウェアベースの認証について解説しつつ、ISRが2022年9月にリリースしたデバイス証明書「CloudGate証明書」をご紹介いたします。

ハードウェアベースのユーザー認証

パスワードやコード入力型の認証方法の場合、ネットワークを経由してサーバーと認証情報のやり取りを行うため、途中で第三者に窃取される危険性があります。万が一、情報が窃取されてしまうと、なりすましなどの被害に繋がる恐れがあります。

ハードウェアベースの認証の場合、端末内蔵の認証器やセキュリティキーを利用してユーザー認証を行います。指紋や顔など本人特有の生体情報を利用してユーザーの特定を行うことから、手や顔をかざすだけの簡単な動作でありながら、なりすましなどのリスク低減に繋がります。また、認証情報をネットワーク上でやり取りすることなく、ハードウェア内で本人確認等を行ったその結果のみをサーバーへ伝えるため、フィッシングなどにより第三者に窃取される危険性も少ないと言えるでしょう。

さらに、認証情報の保管や暗号化の際に用いる秘密鍵の生成・保管などは端末内蔵のセキュリティチップ内で行われます。このセキュリティチップは現在ほとんどの端末に搭載されており、耐タンパー性に優れていることから、第三者が秘密鍵や認証情報を盗み出したり、暗号化データを復号したりすることはほぼ不可能と言えます。

ハードウェアベースの証明書による端末制限

ユーザー認証による本人確認に加えて、デバイス証明書をインストールした端末のみアクセスを許可する端末制限を併用することで、「ユーザー本人による、会社指定の端末でのアクセスである」というユーザー・端末の二重の確認が行われるため、より強固なセキュリティを実現できます。

しかし、現在の証明書配布方法では、端末外で生成された秘密鍵と証明書がネットワークを経由して端末へインポートされる形となっており、途中で第三者に秘密鍵を窃取される危険性を孕んでいます。秘密鍵が漏洩すると、証明書を不正にコピー・エクスポートすることができてしまうため、いくらデバイス証明書による端末制限を行っていたとしても、第三者が正規端末になりすまして社内の情報へアクセスできるようになってしまいます。また、ユーザーが意図的に証明書を他の端末へエクスポートできてしまうため、指定端末のみのアクセスを許可するとする会社のセキュリティポリシーに違反してしまいます。

そこで、CloudGate UNOでは、2022年9月よりTPMなどのセキュアエレメントに基づいた発行方法のデバイス証明書「CloudGate証明書」の提供を開始しました。CloudGate証明書の発行方法では、端末内蔵のセキュアエレメントで秘密鍵（鍵ペア）が生成され、認証局からは証明書のみが端末へと配布されます。ユーザー認証情報と同様、秘密鍵はセキュアエレメント内部に格納されて取り出すことができず、安全に保管されます。加えて、確実に意図した端末に証明書をインストールできるため、厳密な端末特定を実現します。

CloudGate証明書のリリースにより、CloudGate UNOではユーザー認証・証明書発行のいずれにおいてもハードウェアベースのサービスの提供が可能となりました。

ここからは、CloudGate証明書の実際の発行フローと認証フローをご紹介します。

CloudGate証明書の発行フローと認証フロー（Windows）

Windows専用（ブラウザはGoogle ChromeとMicrosoft Edgeのみサポート）のCloudGate証明書の発行操作方法と実際のユーザー認証方法をご紹介します。

発行フロー：管理者が証明書をインストールしたい端末を操作

①Google ChromeまたはMicrosoft Edgeブラウザで、CloudGate UNO管理者サイトに記載されている証明書発行専用URLにアクセスします。

②CloudGate UNO管理者アカウントで認証を行います（セキュリティ強化のためパスワードのみの認証は許可されません）。

③ブラウザの拡張機能とWindowsアプリ（CloudGate UNO Certificate Manager）のインストールを行います。

④証明書名を入力する画面が表示され、任意の名称を入力します。

―――処理が開始され、ハードウェアベースの証明書発行・インストール処理が行われます―――

⑤ブラウザの拡張機能で証明書が正常にインストールされたことを確認します。

以上で、管理者による端末での作業は完了です。

このように、管理者は端末で特別な作業を行う必要はありません。日頃から行っているサービスへサインオンするときと同じような手順のみで、安全なハードウェアベースのデバイス証明書を簡単に発行することが可能です。

ユーザー認証フロー：証明書をインストールした端末でのサインオン方法

①CloudGate UNOのサインオン画面でユーザーIDを入力します。

②端末登録済みのデバイス証明書選択画面が表示され、CloudGate証明書を選択すると検証が行われます。

③FIDO2やPocket CloudGateなどのアプリケーションを利用した本人確認のための認証を行います。

以上の3ステップでユーザーのサインオンは完了です。

ISRが目指す「Security First」

CloudGate証明書の現在のサポート対象はWindows OSとChrome OSですが、今後iOSやmac OS、Androidなどより多くのOSへの拡大を目指しております。

利便性を追求することも大切ではありますが、ISRでは企業の重要な情報資産へのアクセスを担うサービスとして、セキュリティの確保は最優先で行われるべきだと考え、CloudGateサービスの提供開始当初より「Security First」という考え方に基づいた開発・運用・サポートを行っています。

昨今の労働環境を取り巻く状況の変化や、激化するサイバー攻撃などを受けて、ISRではハードウェアベースのユーザー認証や証明書の提供を行ってきました。今後もその時々の状況に応じて求められているものを素早くキャッチし、一つでも多くの日本企業をサイバー攻撃の脅威から守るべく、セキュリティ強化につながるサービスの開発・提供に取り組んでまいります。