2020年10月5日

ニューノーマル時代のSSOとセキュリティ(後編)
リモートワークに適したSSOサービスを見極める

ニューノーマル時代のSSOとセキュリティ(前編) - リモートワークに適応したアクセス制限とパスワードレス認証

リモートワークには、より一層のセキュリティ対策が必要です。
そのため、前編ではリモートワークでのSSO活用として、環境に適応したアクセスコントロールの設定はもちろんのこと、パスワードを使わないFIDO2の生体認証を使ったパスワードレス認証での認証強化が必要なことをご紹介しました。そして、Windows10、MacBook、AndroidやiPhone/iPadなどのプラットフォームが対応したため、パスワードレス認証が近い将来実現すると予測しています。

しかしながら、実際には運用や管理などの準備を含めパスワードレス認証の導入には時間がかかると考えている管理者や経営者の方も多いのではないでしょうか。ただし、働き方が多様となるニューノーマル時代を支えるSSOサービスは企業資産を守るものとして非常に重要であり、現在利用している人もまた今後導入をしようと考えている人も今一度どのようなサービスが良いのかを考える必要はあります。

そのため、後編ではまずSSOの誕生とその問題点を洗い出し、パスワードレス認証がなぜ必要なのかを今一度考えた上で、どのSSOサービスを選択すべきなのか選ぶ時のポイントと合わせてご紹介します。

SSOの誕生とその問題とは?

SSO誕生の背景には、企業で複数のシステムが導入されるようになり、IDとパスワードという認証方法が当たり前に利用されていることにあります。

・それぞれのシステムごとに異なるIDとパスワードを覚えないといけない
・IDとパスワードは推測されにくいものを設定しないといけない
・パスワードの定期的な変更をしないといけない

このパスワードにかかる多くの「いけない」運用をめぐる背景から誕生したのがSSOです。本来必要な複数のIDとパスワードを必要とせず、1つのIDとパスワードで認証されたユーザーに代わりSSOで他連携システムへの認証を行います。

そして、現在クラウドサービスにおいてSSOのデファクトプロトコルとなったSAML2.0が2005年に誕生します。 この普及を後押ししたのが2008年のGoogle Apps(現G Suite)の対応です。SAML2.0の実装は比較的簡単であり、またユーザーにとって利便性向上のメリットが得られ、企業にとっては正しいパスワード運用で認証強度があがるとされていたため、ここ数年でSaaSビジネスとしてのSSOが急増しました。

一方で、SSOには懸念があります。
最初の認証で多くのリソースへのアクセスを提供できるため、万が一アクセスに必要なクレデンシャル情報(IDとパスワード)が他の人に利用された場合、甚大な影響を受けることになります。例えれば、お城の入り口の鍵を開けて入りさえすれば、全ての部屋に入ることができるということです。

そこで、パスワードに依存しない生体認証などを用いた安全なオンライン認証の標準化を目的として、2012年にFIDOアライアンスが発足します。

2019年にはパスワードレス認証が実現できるFIDO2を発表、W3Cが正式勧告しました。そして、マイクロソフト社がFIDO2を採用したことで、今後は事実上の標準になるのはもはや時間の問題です。

しかし、現在日本においては1つのSSOサービスのみがFIDO AllianceによってFIDO2認定を受けているのが実情です。ほとんどのSSOサービスでは、パスワード認証排除のためにシステム再構築等といった時間が必要なため、IPアドレス制限や他アクセスコントロールなどとパスワード認証を組み合わせた形で提供されています。また一部のSSOサービスでは、2番目の要素として認証コード(スマートフォンでOTPを生成するなど)の提供をしていますが、手動でコードを入力する必要があるため、攻撃者によってフィッシングされる可能性があります。

したがって、パスワード認証を基本としたSSOサービスの構築は比較的に簡単ではあるものの、本当に安全なSSOサービスの提供はそれほど簡単なものではないのです。

ニューノーマル時代の安全なSSOサービスを見極めるには?

ニューノーマル時代を働く中で、さらにリモートワークの普及でクラウドサービスの導入が加速することが予測されるため、SSOは必須のサービスとなるでしょう。
そのSSOサービスをリモートワークで利用する上で、必要となるのが本人確認の精度です。

そのため以下で、SSOサービスを見極める際のポイントを現在の働き方を想定してまとめました。企業によって働き方は多様であり、会社のセキュリティポリシーも様々です。自社のセキュリティポリシーを照らし合わせながら参考にしていただければと思います。

ニューノーマル時代の在宅勤務を想定したポイントリスト
1)IPアドレス制限
社内からクラウドサービスへアクセスする場合、IPアドレスとパスワードのチェックで本人確認をします。現在はSSOサービスで1番多く利用されている認証方法です。
ただし、この組み合わせではAPT攻撃に耐えうることができない可能性があります。
そのため、ユーザープレゼンス(本人がアクセスしようとしているのかどうか)を確認できるYubiKeyなどの利用をお薦めします。

在宅勤務の場合は、IPアドレスの制限ができないため、最も利用されるパスワード認証のみとなり、危険な状態となります。そのため、SSOベンダーが他の制限要素を含め提供しているかどうかを確認することが重要です。ここでは、セカンドファクター(第2要因)となるCloudGate AuthenticatorやYubiKeyなどの利用をお薦めします。ただし、認証コード(SMS、ハードウェアトークンやスマートフォーンで生成されるOTPなど)は前述で説明した通り、危険性があるため利用しないことをお薦めします。

2)端末制限
社員が自宅からアクセスする場合、会社支給のPCなどの端末に制限されているか今一度確認してみてください。端末制限を行う目的は、会社にてウイルス対策をしっかりと行なった端末でしかアクセスできないよう制限することで、外部からの攻撃を防ぐことです。端末制限は証明書認証で簡単に実現できます。

3)SSOサービスベンダーがパスワードに依存したシステム運用をしていないか
なによりもSSOサービスベンダーのセキュリティに対する姿勢を見極めることは重要です。ほとんどのベンダーがSSOの利便性やセキュリティを謳ってはいるものの、本当にお客様の資産情報を守るために経営理念などを含めコミットしているか確認することが極めて重要なのです。
また、日本でも展開している米国のSSOベンダーでは過去に1年間で2回ハッキングされ顧客データを漏洩させたという事件もありました。この攻撃はパスワード関連で行われたようです。そのため、ベンダーがパスワードに依存したシステム運用をしているのであれば、サイバー攻撃に耐えうることができないと考えた方がいいです。

おわりに

「1つのパスワードで守れる」しかし、「1つのパスワードが流出で被害が大きくなる」という矛盾が起こってしまったSSO 。 ニューノーマル時代へと突入したことで、SSOのあり方を見直し、本当に利便性もセキュリティ性も高くするにはどうしたら良いのか今一度考えるきっかけとなったのではないでしょうか。

FIDO2によってSSOサービスにおけるパスワードレス認証が可能になり、さらには様々なプラットフォームが対応したことで、パスワードレス認証が近い未来実現すると予測しています。働き方が多様となるニューノーマル時代を支えるSSOサービスは資産情報を守るものとして非常に重要であるため、どのSSOサービスを選択すべきなのかは見極めなければなりません。

ISRは、これからもCloudGate UNOを通じ安全であることを第一に、クラウドサービスの利便性を損なわないセキュアなシングルサインオンサービスの提供にて、企業のみなさまの大切な資産を守りビジネスの加速をお手伝いをしていきます。

リモートワークを快適に、
完璧にCloudGate UNO

ページの先頭へ