モバイル活用が進むにつれ、企業と個人のITの強化は、あいまいになるばかりです。あまいなITの境界は、クラウドやオンプレミス、モバイルリソースに分散していく企業データのセキュリティと機密性に対する懸念も引き起こします。あいまいなIT境界を保護し構造を復元するために、いくつかのテクノロジーが登場しています。今回は、これからのID管理のために重要なテクノロジーを紹介します。
アクセス管理とSSO(Single Sign On)
アクセス管理ソリューションとSSO(シングルサインオン)は、IDフェデレーション(連携)技術により、ユーザーが保持すべきIDの数を最小限に抑えます。多くのユーザーは、業務の遂行に必要なWebおよびクラウドアプリケーションにアクセスするために、20~25個のIDとしてユーザー名とパスワードのセットを保有していますが、これを1ユーザーが1つのIDを保持するだけで、すべての企業リソースにアクセスできるようにできます。
ユーザーは同じユーザー名とパスワードで、すべてのVPN(仮想私設網)やVDI(Virtual Desktop Infrastructure:デスクトップ仮想化)、クラウド、Webアプリケーションにログインできます。結果、セキュリティ業界で「パスワード疲れ」と呼ばれる現象がなくなります。IT部門のオーバーヘッドも大幅に削減されます。ヘルプデスクへの依頼から、パスワード忘れやパスワード紛失に伴うパスワードのリセットという作業がなくなるためです。同種の依頼はヘルプデスクへの全依頼の20%を占めています。
SSOは、スタンドアロンの仕組みでも広範なアクセス管理の仕組みでも、様々なID連携プロトコルに対応しています。具体的には、SAML 2.0やOpenID Connectといったオープンソースプロトコル、米Microsoftの「WS-Federation」といった独自プロトコル、「パスワードボールト」や「リバースプロキシ」といった技術などです。
SSOを導入すると、その1つのIDを保護するために追加の認証要素が使用されるため、ハッキングやフィッシング、マルウェアによるIDの窃取が起こりにくくなります。追加の認証要素には、生体認証や、PKI資格情報、ワンタイムパスコード、コンテキスト属性(ログインに使用されるソースネットワークまたはデバイスとブラウザのペア、時刻、地理位置など)が含まれます。
SSOとアクセス管理の目標は、ユーザーにとって可能な限り透過的で使いやすい認証過程の実現です。そのために「ステップアップ認証」が採用されています。ステップアップ認証では、企業ネットワークの外部からのログインや、認識されないデバイスとブラウザの組み合わせでのログインなど、リスクが高い状況でのみ追加の認証要素を入力するようユーザーに要求します。これによりユーザーは、デフォルトではアプリケーションに即座にアクセスできると同時に、状況によっては強力な認証を実行できるようになります。
エンタープライズ環境のリスクを効果的に管理するために、「継続認証」という新たな概念が導入されています。継続認証では、パスワードやワンタイムパスコードなどのステップアップ要素は、アプリケーションごとのアクセスポリシーによって指示された場合にのみ必要になります。
例えば従業員が出勤や病欠、休暇などを記録する出勤簿のアプリケーションでは、オフィス外からのアクセスでも追加の認証要素を要求しません。一方で、機密性の高いクラウドベースのアプリケーションにおいては、企業ネットワークの外部にアクセスするたびに強力な認証を要求するように設定できます。継続認証では、企業リソースに包括的に統一されたルールを適用するのではなく、アプリケーションごとのアクセスポリシーに従って、きめ細かく適用することが可能になります。
OpenID Connect
OpenID Connectは、ブラウザベースのSSOとモバイルデバイス間のIDギャップを埋めるためのプロトコルです。ブラウザベースのアプリケーションやモバイルネイティブなアプリケーション、そしてデスクトップクライアント全体にわたってSSOを容易に実装するためのフレームワークを提供します。
現在、モバイルアプリでSSOを有効にするためには、モバイルデバイスにコンテナをインストールし、そのコンテナに業務に必要なすべての保護されたモバイルアプリケーションを導入します。新しいOpenID Connect標準を採用するようになれば、単一のIDプロバイダーに対して認証することで、すべてのアプリケーションでSSOを利用できるようになります。
BYOI(Bring Your Own Identity:個人IDの業務利用)
ユーザーは企業が発行するID以外にも複数のIDを既に保有しています。例えば、政府が発行する身分証明書や医療機関のICカード、あるいはソーシャルIDや「FIDO」などの商用IDといった各種のオンラインIDです。ID管理の専門家たちは今、これら理論上、十分なID保証レベルを提供するIDであれば、従業員やパートナー企業のスタッフが保有する個人IDを使って企業リソースにアクセスできるようにすることを検討しています。
例えば、初めての出勤日に、IT部門を経由することなく、個人のソーシャルメディアのアカウントなどを使って企業ネットワークと、すべてのアプリケーションにログインできたらどうでしょうか。 そんな日が来るのも、そう遠くはないかもしれません。蘭ジェムアルトの調査によれば、IT導入の意思決定者の63%が「コンシューマー向けのセキュリティ方式でも企業に十分な保護を提供する」と感じており、その過半数が「わずか3年でこれらの方式が完全に統合される」と考えています。
企業ITとコンシューマーITの境目は、あいまいになってきています。企業のIT 部門などセキュリティを担うチームは今後、指紋認証や虹彩認識などコンシューマー向けサービスでは既に一般的になっているのと同様の認証方式を導入しなければならないというプレッシャーに、より強く晒されていくことでしょう。
筆者プロフィール
Mor Ahuvia(モウ・アフヴィア)
蘭ジェムアルト。ID保護市場、および法人と技術責任者に対し自社のIDaaS(ID) as s Service)ソリューションの評価調査に従事。ジェムアルト(旧SafeNet)入社前は、RSA FraudActionのサイバーコミュニケーションスペシャリストとして5年間、顧客やパートナー、メディアに対しマルウエアやフィッシング、サイバー犯罪といったブラックマーケットのオンライン上の脅威に関する最新情報を提供していました。LinkedIn:https://www.linkedin.com/in/morahuvia/
- エンタープライズに広がるBYODと、それを支えるPKI【第2回】(2017/05/08)
- エンタープライズモビリティの現状【第1回】(2017/05/01)
