2020.06.05

進化する生体認証も取り入れてみよう
クラウド型グループウェアもパスワードだけの認証は危険

クラウド型グループウェアもパスワードだけの認証は危険

働き方改革の一環として、現在のリモートワーク普及前からクラウド型グループウェアの導入は加速しています。既に導入をしていた企業にとっては、新型コロナウイルスで急な広がりを見せた在宅勤務への対応も、スムーズにできたのではないでしょうか。また、社員も使い慣れたITツールに手こずることなく、通常の出社時と「変わらず」業務が行えたのではないでしょうか。

しかし、取り巻く環境は確実に「変わっています」。
主要なクラウドサービスを狙い、新型コロナウイルスに便乗した攻撃が増加しているのです。

もし、この時代に変わらず「パスワードだけ」の認証を行っているのであれば、すでに会社は危険に晒されているかもしれません。

今回はクラウド型グループウェアの必要性、そしてパスワードの問題点とパスワードから脱却する認証方法について説明します。

クラウド型グループウェアはリモートワークになぜ必要なのか?

社員同士のコラボレーションが行えるクラウド型グループウェアは、リモートワークには必須のツールです。

「相手の気持ちが分かりにくい」
これは、新型コロナウイルスで普及したリモートワークで一番不安に感じたことだそうです。
すぐに会って確認できる環境にいないからこそ、人とのつながりは仕事を進めていく上でとても重要な要素となります。

クラウド型グループウェアには、「ファイル共有機能」、「チーム内の情報共有としての掲示板やチャット機能」、「メール機能」などがあります。ネット環境を利用すればリモートワークにおいてほとんどの業務を回せるだけでなく、リアルタイムで密なコミュニケーションをとることのできる唯一無二のツールなのです。

私たちISRも以前からクラウド型グループウェアを利用しており、今回の在宅勤務ではこのツールのおかげでコミュニケーションによる不安を解消する工夫ができました。
会議はWeb会議システムを使って発言者の顔を見ながら実施、社員はチャットツールでリアルタイムのコミュニケーションを大切にし、部署別にオンラインランチ会など雑談時間を設けることで、文字だけでは伝わらない空気感や、コミュニケーション不足による社員の孤独感を解消しています。

新型コロナウイルスの収束後も、約74%の人が在宅勤務を「継続したほうが良い」「部分的に継続したほうが良い」と考えている実情から、必ずリモートワークは多様な働き方としてあたり前となり、クラウド型グループウェアは必要不可欠なツールとなるでしょう。

クラウド型グループウェアでパスワードだけの認証は危険なのか?

まず「パスワード」という、貧弱なセキュリティ対策を突く攻撃は多様化し、常に危険が伴っていることを覚えておいてください。

そして、リモートワークになくてはならない、利用者の多いサービスが狙われやすいということも。

Microsoft 365(旧Office 365)やG Suiteといった主要クラウド型グループウェアは、新型コロナウイルスが拡大する前から、多くの企業に利用されています。実際に2019年の調査では、Office365が2018年に比べ1001人以上の企業でも4割以上が利用するサービスとなり、導入が進んでいることが分かりました。

そして、リモートワークが普及した現在、多くのWebサイトでリモートワークに必須のツールとしてこれらのサービスが紹介されています。

そんな利用者の多いMicrosoft 365とGmailにもフィッシング詐欺があり、パスワードの貧弱なセキュリティを突く攻撃が確認されました。

Microsoft 365に関して発生したラテラルフィッシング詐欺では、メールアカウントが乗っ取られた企業から迷惑メールを送信、添付URLをクリックするとSharePoint上のOneNoteで共有されたPDFをダウンロードするよう装っており、そのフィッシングページでIDとパスワードを入力すると攻撃者が独自で準備したと考えられる不審なドメインへと送信されます。Microsoft 365のアカウントを窃取することを目的としているようです。

そして、Gmailにおいては新型コロナウイルスに便乗したフィッシング詐欺として、米政府機関職員の私用アカウントを狙ったメールに無料クーポン提供やオンライン注文を促す内容のリンクをクリックさせ、不正Webサイトへ誘導、Googleアカウントの認証情報を入力させようとしたとのことです。

どちらも被害件数等は明確に出ていませんが、攻撃者はありとあらゆる戦術を使い貧弱なパスワードを狙った攻撃を仕掛けてきていることは分かります。

いつどのような攻撃でパスワードを窃取されるのか予測することは難しいでしょう。だからこそ、危険性の高い「パスワードだけの認証」はまず変える必要があるのです。

パスワードだけの認証から脱却するには?

生体認証を利用してみては、いかがでしょうか。

認証アプリなどを使った2段階認証や、セキュリティキーを使った認証など、多くの方法がありますが、その中でも生体認証は、近年利用傾向も多く、主要メーカーから続々と対応PC端末が出ているため、最も身近に普及した認証方法となっています。既に利用している、今後PCの買い替えを検討しているという企業にとっては、認証のためだけのトークンや機器を揃える必要がありません。

また、主な手法として知られる「顔認証」や「指紋認証」は偽装や複製が難しいため、セキュリティのレベルは高くなり、加えて利用者がトークンを携帯する面倒さもなく、簡単にスピーディーに認証が行えるため利便性が高いというメリットもあります。

この生体認証普及の後押しとなったのが、Touch IDとWindows10です。 現在では、MacBook ProとMacBook AirのTouch IDを搭載した機種でApple IDやApple Payでの買い物に指紋認証が使え、Windows10デバイスではWindows HelloをOneDriveなどに利用できます。

では、企業が利用するクラウド型グループウェアには利用できるのでしょうか。

答えは、「YES」

CloudGate UNOを利用すればクラウド型グループウェアへのアクセスにTouch IDやWindows Helloを使うことができ、 パスワードを使わない生体認証が可能となります。さらには、利用している様々なクラウドサービスにもシームレスにアクセスすることもできます。

Mac Touch ID Windows Hello - passwordless パスワードレス

最後に

今回は、クラウド型グループウェアにおいてのパスワードだけの認証の問題とその解決策を紹介しました。

この解決策となる認証を実装するには、まず自社の環境を洗い出し、整理することが必要となります。 自社の利用端末環境を考え、社員に合った、自社に合った認証方法を一つ選ぶもよし、様々な認証方法を組合わせカスタマイズするもよしです。 パスワードだけの認証から脱却する手段はいかようにもあるのですから。

一番重要なのは、会社の大切な資産情報を危険に晒さないことです。

そして、私たちISRはお客様が利用するクラウド型グループウェアだけでなく、様々なクラウドサービスを安全に便利に利用できるサービスを通じて、皆様のビジネスを加速させるお手伝いをしていきます。

ページの先頭へ