ワンタイムパスワードによるネットへのゲストアクセスというアイデア
NetAttest EPSを提供するソリトンシステムズ、マーケティング部の宮﨑洋二氏は、「そうした運用を、手軽に行いたい場合におすすめしたいのが『ワンタイムパスワード』による認証だ」と話す。
ワンタイムパスワードは、システムに「使い捨て」のパスワードを実装するための仕組みだ。サーバと「トークン」と呼ばれるデバイスの組み合わせによって実現でき、トークンでは、そのときだけ利用できるパスワードが常に生成される仕組みになっている。NetAttest EPSには、このワンタイムパスワードを別に専用のサーバを用意することなく実現できる機能が、標準で備わっている。
宮﨑氏は、このNetAttest EPSと、ファミリー製品の「NetAttest SecurityFilter」との組み合わせによるワンタイムパスワードが、セキュリティやガバナンス上の要件を満たしつつ、利便性の高い「社内ホットスポット」を運用するための解決策になるとする。
NetAttest SecurityFilterは、保護すべきネットワークの経路上に配備することで、接続されたデバイスの検疫やアクセスコントロールを行えるアプライアンス製品である。このNetAttest SecurityFilterは、NetAttest EPSと連携して動作することができる。NetAttest SecurityFilterのアクセスコントロール機能と、NetAttest EPSのワンタイムパスワード機能を連携させることで、社内ネットワークを通じたネットアクセスを、ワンタイムパスワードを提示させることで許可するといった運用が容易に行えるのだ。
「例えばゲスト用のIDを予め作っておき、その認証はワンタイムパスワードを使って行うようにする。こうすることで、ゲストはトークンを貸与されている、その時だけネットワークを利用できる。アクセスポイントのパスコードを頻繁に変更したり、ゲストが来社するごとにIDとパスワードを発行するといった手間は不要になる」(宮﨑氏)
ワンタイムパスワードの運用にはパスワードを発行する「トークン」が必要になるが、既に来訪者用の「ゲストカード」のようなものを使って、人の建物への出入りを管理するといったことをやっている企業であれば、その導入も容易になるはずだ。宮﨑氏は「ゲストカードにユニークな番号を振り、それぞれにワンタイムパスワードのトークンを付けておけば、その記録から『ゲストとして、どこのだれが、いつ、社内からネットにアクセスしたか』ということも記録として残すことができる」という。
自動的に発行される「その場限り」のパスワードで、運用の負荷を下げつつ、セキュリティレベルを高め、なおかつゲストカードの運用に統合する形で「誰がいつ」アクセスしたかの証跡も残しておくことができるというわけだ。
NetAttest SecurityFilterによる運用のメリットは、ほかにもある。少し大きめの来客用会議室フロアをもつ企業では、そこに複数の無線LANアクセスポイントを設置しているケースも多いだろう。NetAttest SecurityFilterは、ネットワークの中継点に挟み込む形で設置すれば良いため、認証に関する設定を複数のアクセスポイントごとに行う必要もなくなるのだ。運用管理の負荷を下げる点で、管理すべきポイントが1カ所にできるというのは見逃せないポイントだ。
スマートデバイスの普及だけでなく、日々急速に進化し、変化していくネットワーク環境を考えるにあたって、「企業情報システムの安全を確保する」という立場では、どうしても「規制」や「制限」といった観点での「保護」が主眼になりがちであり、それは仕方のないことでもある。しかしながら、少し先に訪れる状況を視野に入れながらネットワークを再構築していくことで、必要十分なレベルのセキュリティを確保しつつ、エンドユーザーにとって「使いやすく」「便利な」ネットワーク環境を提供することも十分に可能である。企業の情報システムを司るスタッフにとって、これは価値のある視点なのではないだろうか。
コラム
NetAttest EPS+LAPによる「人」と「端末」の認証でセキュリティ強化
本稿では、NetAttest EPSとNetAttest SecurityFilterの組み合わせで、容易に「社内ホットスポット」でのワンタイムパスワード運用を行う方法について紹介した。実は、NetAttest EPSとの組み合わせで、より強固なセキュリティを実装できるオプション製品もある。それが「NetAttest LAP」だ。
NetAttest LAPは、ネットワークの各セグメントに配備することでネットワーク上に流れるパケットを監視し、有線LAN、無線LANを問わず、システムに登録されていない端末からのネットワークアクセスを検知し、ブロックするという機能をもっている。ネットワーク機器に割り当てられた一意の「MACアドレス」による認証環境を手軽に実現できる製品だ。
これをNetAttest EPSと組み合わせることで、IDとパスワードによる「人」と、MACアドレスによる「端末」の2つの要素で認証を行い、社内ネットワークへのアクセスをコントロールすることができるようになる。
来客が利用する会議室スペースからのネットアクセスを利便性の高いものにする一方で、そこに隣接する執務スペースでのセキュリティは、より強固なものにしたいというニーズもあるだろう。NetAttest EPSとNetAttest LAPとの組み合わせにより「執務スペースからは、許可された端末を、許可された人が使わねばならない」という、より高いセキュリティポリシーにも応えることができるわけだ。
