ゼロトラストセキュリティ

ゼロトラストセキュリティ導入記～今なすべきセキュリティ対策のコツ～

2021.11.11

第9回
IDaaSでユーザー認証の「運用管理性/利便性」と「セキュリティ」を強化

アライドテレシスが導入したゼロトラストセキュリティの具体例をもとに、その詳細を紹介する連載の第9回。前回はアライドテレシスのエンドポイントセキュリティソリューションについて紹介した。今回は、ユーザー認証について、アライドテレシスの取り組みを紹介する。

クラウドを含めたシングルサインオン（SSO）など、IDaaSでID管理の課題を解決

ゼロトラストセキュリティ1は、ネットワークへアクセスする通信、アクセスするデバイス、アクセスする人、これらすべてを信用せずに常にチェックを行い、正常な通信、端末、利用者だけにアクセスを許可する方法だ。

ゼロトラストを実現する4つの要素

ユーザー認証：
IDaaS2でユーザー・デバイスに基づいた認証
エンドポイントセキュリティ：
UEM3による端末管理、EDR4で脅威対策
アクセス制御：
セキュリティゲートウェイ、SD-WAN5/SD-LAN6で常に通信をチェックして最小限でアクセスを許可
ログ監視：
SIEM7で通信や端末、IDの挙動を監査・分析

用語解説

1
ゼロトラストセキュリティ：「信頼しない（ゼロトラスト）」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。
2
IDaaS（アイダース）：Identity as a Serviceの略。クラウド上の各種サービスで利用されるID情報などの統合管理と認証基盤を提供し、シングルサインオンを可能とするクラウドサービスのひとつ。
3
UEM（ユーイーエム）：Unified Endpoint Managementの略。統合エンドポイント管理。ネットワークに接続された端末(エンドポイント)を包括的に集中して管理するソリューションもしくは仕組みをいう。
4
EDR（イーディーアール）：Endpoint Detection and Responseの略。ネットワーク配下に接続されているパソコンなどいわゆるエンドポイントを監視し、疑わしい挙動や脅威を検知して対策などを講じる機能もしくは方法のこと。
5
SD-WAN（エスディー・ワン）：Software-Defined Wide Area Networkの略。ソフトウェア制御により広域ネットワークを運用管理する技術。従来のように現場に赴いて機器の設定や調整を行うのではなく、中央のソフトウェアで広域なWANネットワークの構築や設定、制御を行うこと。
6
SD-LAN（エスディー・ラン）：Software-Defined LANの略。会社や組織内のLANをソフトウェア制御して、運用や設定変更などを効率化・容易化する仕組み。
7
SIEM（シーム）：Security Information and Event Managementの略。セキュリティ情報イベント管理。ファイアウォールなど複数のセキュリティ機器から情報を一元的に集めて分析を行い、同時に監視と驚異の検出、通知を行う仕組みもしくはその方法をさす。

ゼロトラストセキュリティの要素の説明でも最初に挙げているが、本来ユーザー認証はセキュリティ対策において真っ先に取り組むべきことであり、アライドテレシスでも2019年以前から取り組みを進めてきた。

中村

ユーザー認証、いわゆるIDの管理については、2019年にゼロトラストセキュリティの調査・検証を始める以前から課題となっていました。

福川原

当社ではMicrosoft 365やSalesforceをはじめ、多くのクラウドサービスを利用しています。それぞれ異なるIDとパスワードを用いてログインしているため、さまざまな非効率が起きていました。

メールやファイル共有にとどまらず、今では多種多様な業務システムがクラウドサービスとして提供されている。ユーザーはサービスごとにIDとパスワードを管理する必要があり、複数のクラウドサービスを利用する場合には、そこからさまざまな課題が生じる。
以下の表はID管理8/ユーザー認証における、利便性や運用に関わる課題だ。

用語解説

8
ID管理：ID=Identityを管理する仕組み、もしくは考え方。端末やシステム、ネットワークのIDとパスワードといったユーザーアカウント情報を一元的に管理し、適切な利用者にのみ権限を付与してIDを発行しシステム内の情報と実情に齟齬が出ないように保つこと。

ユーザー認証における、利便性や運用に関わる課題

これらは一般的によく聞かれる課題だが、アライドテレシスでもクラウドサービスの利用が増えるにつれ、同様の声が聞かれるようになっていたという。

鈴木

特に多いのはやはりパスワードリセットの依頼ですね。パスワードを忘れてしまったり、打ち間違えを続けたりしてログインできなくなったのでリセットして欲しいと。ほぼ毎日のように、そうした依頼がありました。

アライドテレシスでは以前からSaaS9型のIDaaS（ID as a Service）を一部導入していたが、それによるシングルサインオン（SSO）10は特定のサービスだけにしか対応していなかった。

用語解説

9
SaaS（サース）：Software as a Serviceの略で、サービスとしてのソフトウェアの意。パッケージを購入して、サーバーやPCなどのオンプレミス環境にインストールして利用するタイプではなく、クラウド経由で利用するソフトウェアを指す。
10
シングルサインオン（SSO/エスエスオー）：Single Sign-Onの略。企業や組織で業務利用される複数のシステムやソフトウェア、サービスなどへの認証(ログイン)を一度の処理によって利用可能とする仕組みやソリューション。SSOを利用することで複数のID/パスワードの管理が不要となる。

福川原

基本的にIDとパスワードはシステム（サービス）ごとに管理されていて、最低限3か月に1回はパスワードの更新が必要という社内ルールで運用していました。そのためパスワード忘れの問題も多かったと言えます。

そこでさまざまなIDaaSを実際に導入し、検証を行った。IDaaSはすでにさまざまなサービスが提供されているが、検証の結果、アライドテレシスが実際に導入したのは、Azure AD11（Azure Active Directory）でのSSOだ。
アライドテレシスではもともとオンプレミスでADを運用していたが、Azure ADを導入してIDを連携し、各クラウドサービスへはAzure AD経由で、社内リソースへのアクセスはオンプレミスのADから、SSOでログオンできるようにしたのだ。

用語解説

11
AD（エーディ）：Active Directoryの略。Windows Serverのサービス機能の1つ。ネットワークに接続されたWindows OS搭載のパソコンなどの認証情報をデータベースで一元的に制御する。本記事内で登場するAzure ADは、Microsoftがクラウド型で提供するActive Directoryの事をいう。

福川原

これにより、最初にWindowsにIDとパスワードでログオンすれば、さまざまなクラウドサービスもそのまま利用できます。パスワード入力の手間を削減するとともに、パスワード忘れやリセットといった工数も低減できています。

なお、これと同時にパスワードの文字種文字数などの強化を実施するとともに、MFA（多要素認証）12も導入して、セキュリティ面の強化も実施している。MFAについては次章で説明する。

用語解説

12
MFA（多要素認証）：Multi-Factor Authenticationの略で、多要素認証の意。不正アクセス対策などのセキュリティ強化策として用いられ、異なる２つ以上の方式を組み合わせて行う認証のこと。生体情報も認証方法の1として含まれる。以前も触れた二要素認証もこの類になる（3話参照）。

MFAを導入して認証を強化

しかしIDaaSを導入して、各サービスへのSSOを実現しても、利便性や運用性が強化されただけであり、それだけではゼロトラストセキュリティが求める認証の強化とは言えない。そこで重要なのがMFAだ。MFAはIDとパスワードだけではなく、場所やデバイス、生体など多要素の情報をもとに認証を行う方式だ。アライドテレシスではテレワーク推進以前から、外出先（顧客先）でFAT PC13を使うエンジニアや、一部の部署でMFAを導入している。

用語解説

13
FAT PC：いわゆる従来のパソコンのことで、アプリケーションやデータなどを全て端末に保存し、全ての操作が行えるもの。シンクライアントと区別してそう言われる。

福川原

従来、多要素認証は当社全体の要件ではなく、利用はサービス（サーバー）管理者に委ねられていました。つまり多要素認証を利用しているシステムとそうでないものがあったわけです。とはいえ、クラウドサービスの利用は接続元の送信IPアドレスを制限した上で、従来のID/パスワード認証を実施していましたので、実質的には場所（IPアドレス）と知識（パスワード）の二要素認証14と言えるものです。ですが、テレワークの促進により、社外などさまざまな場所からもクラウドサービスへアクセスしたいという要望が高まっていました。

MFAにもSSO同様さまざまなソリューションが提供されており、どのようなMFAを利用するのが良いかという導入・検証を行ってきたが、将来的に全社導入を目指すというところで、Windows Hello for Businessの多要素認証を活用する方向で現在検証を行っている。

鈴木

私のチーム（情報システム部門）を中心に使い勝手などの検証を行っています。当社の場合、社員が利用しているPCがベンダーも機種もバラバラということもあり、それぞれ動きが異なりますので、検証は慎重に行っています。

Windows Hello for Businessでは、PIN15やワンタイムパスワード、指紋、顔、デバイス、ネットワークといった要素のうち、いくつ満たしていれば（例えば、顔認証+PINなど）認証するかという指定ができるため、運用面や利便性も含め検証を進めている。

用語解説

14
二要素認証：不正アクセスへの対策などセキュリティ強化策として用いられている方式。異なる２つの認証方式を組み合わせて行う本人確認のこと。
15
PIN（ピン）：Personal Identification Numberの略。個人認識番号。クレジットカードやキャッシュカードの暗証番号を指すことが多いが、本記事では、PC端末などにログインする際のパスワードを指す。ADなどの外部認証を使わず、その端末固有に設定されたPINでログインする。

福川原

指紋+デバイス+パスワードといったように認証を強化することで、接続場所からの制限を排除でき、セキュリティを強化できます。ただ、社員が利用しているPCによっては、顔認証用のカメラがなかったり、指紋認証できなかったりしますので、適用の拡大はPCの更改にあわせて検討する予定です。

鈴木

Windowsへのログオンを多要素認証化することで、その先のSSOのセキュリティを強化し、またパスワードリセットも多要素認証でユーザー自身が実施できるようにすれば工数の削減にも繋げることができます。

IDaaSをDevOpsでサービス化して提供

アライドテレシスは2021年8月、クラウドサービスや社内WEBシステムに対して「SSO」「ID管理」「アクセス制限／コントロール」を提供するクラウドサービス「Net.CyberSecurity16クラウドID管理サービス」の提供を開始した。

中村

実際に社内で導入、検証し、その経験やノウハウを生かして、最適なIDaaSを選定してDevOps17でサービス開発を行いました。費用を抑え、リードタイムも短く、容易に利用できるサービスです。

用語解説

16
Net.CyberSecurity：アライドテレシスが開発した脆弱性診断サービス。自社のWebサイトや社内のLANシステムが抱えるセキュリティリスクを洗い出し、守るべきシステムや資産、データを低コストかつシンプルに可視化し、特定します。
17
DevOps（デブオプス）：開発(Development)と運用(Operation)を組み合わせた言葉。開発チームと運用チームが協同し、製品などのビジネスの価値を生み出す仕組みやそれを行う組織をいう。開発スピード、信頼性、生産性、品質の向上が本仕組みのメリットとしてあげられる。