内部不正なども考慮して社内の二要素認証環境を整備せよ
ソリトンシステムズでは、マーケティング部マネージャ 宮崎洋二氏が登壇し、「今、求められる認証セキュリティ ~限界を露呈した従来の認証から脱却し、安心して使えるIT基盤を実現する~」と題する講演を行った。
ソリトンシステムズ
宮崎洋二氏
宮崎氏はまず、企業システムで用いることのできる認証要素の例として、個人の記憶を使うもの(マトリクス)、個人の特性を使うもの(顔認証、指紋認証)、個人が所有するもの(ICカード、USBトークン、ワンタイムパスワード)、端末に配信するコードといった分類があると説明した。「それぞれにメリット、デメリットがあるため、企業は、自社の状況にあったものを適切に組み合わせていくことが必要」と解説した。
ここで注意したいのは、特定の利用シーンで二要素認証を導入していても、脅威は完全には防げないという点だ。たとえば、利用者認証の強化策としてワンタイムパスワードを導入したとする。しかし「外部からの悪意のある攻撃」を排除する意味では有効だが、「内部で発生するシャドーIT」には意味をなさない。正規の利用者はワンタイムパスワードを使って不正を行うこともできるからだ。
「企業における二要素認証の導入でのポイントは、個人に関する認証要素だけではなく、企業全体で見た場合に異なる認証要素を適切に組み合わせることです。具体的には、利用者認証を二要素にするだけでなく、利用者認証のほかに端末認証などの異なる認証要素を加えます」(宮崎氏)
追加する認証要素としては、端末にインストール情報(電子証明書)や端末固有の情報(データ通信端末の識別情報)などがある。たとえば、WiFiの利用時にパスワードで利用者認証を行うだけでなく、MACアドレスを利用して端末のアクセスを制限するといったケースだ。とはいえ、MACアドレスは暗号化されておらず、偽装が容易だ。このため、悪意をもって攻撃してくるケースにはMACアドレスフィルタリングは意味をなさない。あくまで、適切な認証要素を追加することが求められる。
そんななかソリトンが推進しているのは、電子証明書による企業ネットワークの認証強化だ。具体的には、RADIUS、プライベートCA、ワンタイムパスワードなどのネットワーク認証を行うアプライアンス製品「NetAttest EPS」を提供する。宮崎氏は「電子証明書によるネットワーク認証が安全に簡単に可能です。自社の状況にあわせて、適切な認証強化に取り組んでほしい」と訴えた。