CloudGate UNOは国内SSOベンダーとして初めて、パスワードに依存しない仕組みであるFIDO規格に基づくユーザー認証方式を採用しました。2014年に初めてU2Fを採用し、2019年からはFIDO2に対応しています。
パスワードが不要で、顔や指紋をかざすだけでよいため、複雑なパスワード管理や入力の手間が省け、安全性の確保だけでなく、利便性の向上にもつながります。
しかし、企業のセキュリティポリシーを変えてパスワードレス認証を本格的に導入するには時間がかかるということもあり、パスワードを利用しつつ他の認証要素を加えるMFAの導入が増えています。SMSやOTPを利用する方法もありますが、コードをネットワーク上でやり取りするため途中で窃取される恐れがあります。そのため、顔や指紋などの生体情報を用いた本人確認をローカル端末で行い、その結果を認証に用いる方法がより安全性が高いと考えられます。
2015年からは、スマートフォンに搭載の生体認証機能を利用して安全なMFAを実現する機能の提供を開始しました。仮に攻撃者がMan-in-the-Browser攻撃を仕掛けたとしても生体認証で使用する資格情報を再利用した不正アクセスが不可能なため、CloudGate UNOへのアクセスは失敗に終わります。
2021年7月には、ネットワークの場所、ベースとなるOS、ブラウザ、ユーザーといったすべてのものを信用せず常に認証する必要があるとする、ゼロトラスト・アーキテクチャをCloudGate UNOに採用しました。
SSOサービスにおいて情報の機密性などに応じてクラウドサービスごとにアクセス制限を設定できるようにするとともに、クラウドサービスへアクセスするたびに認証を行うアプローチへと変更しました。
ある企業で、顧客情報の漏洩が発覚しました。不正アクセスされた証拠を見つけるためのフォレンジック調査の結果、ハッカーは特権的なアクセスを持つ社員の自宅にある個人用パソコンにマルウェアを仕込み、この社員のパスワードを窃取し、社内の機密情報へ不正アクセスを行ったことが判明しました。
更に調査を進めていくうちに、不正アクセスを行ったハッカーは、この社員の個人用パソコンにインストールされていたソフトウェアの脆弱性を狙ってマルウェアを仕込んだことが特定されました。この脆弱性については、ソフトウェアを開発した企業から脆弱性を修正のするためのパッチがすでに公開されていましたが、驚くべきことにこの社員はそのパッチを有効にするためのアップデートを3年もの間行っていなかったということも分かったのです。
一般的に、企業が管理する端末は情報資産の漏洩を防ぐため、適切なセキュリティ対策を講じており、もちろんソフトウェアのアップデートに関しても最新の状態になるように管理がされています。
この事例は、ソフトウェアを最新の状態に保つことの重要性を示すものですが、それと同時に企業が管理していない不特定のパソコンを介して従業員に極めて機密性の高いデータにアクセスさせることは、大きなセキュリティリスクを招くということも分かります。
現在の証明書は、秘密鍵をネットワーク経由で受け渡しする方式が一般的なため、漏洩の危険性があります。また、マルウェアや攻撃者に端末内に侵入された場合には、秘密鍵が複製やエクスポートされてしまう可能性もあります。
一度エクスポートされると、高度な攻撃者であれば自分の端末を正規の端末として見せることができるため、ユーザーになりすまして侵入することが可能となります。
現在の証明書ではホストOSの完全性に依存し、ホストが管理するCPUとハードディスクを使用して暗号鍵を生成し保護しているため、このような危険性があります。
ユーザー認証におけるパスワードのように、もはやいかなる種類の証明書の生成や保存も信頼することはできないと言えます。 そこでISRでは、オリジナルのデバイス証明書「CloudGate証明書」を開発しました。
CloudGate証明書は、セキュアエレメントに基づいた証明書発行という方法をとっています。セキュアエレメントとは、鍵ペアの生成や鍵の保存および使用制限などの機能を備えた、秘密鍵や生体情報などの秘匿データを保護・保存するためのものであり、ほとんどの端末に搭載されています。また、内部に格納されている秘密鍵は取り出すことができないため、 安全性が担保されます。
現時点ではCloudGate証明書のサポート対象はWindowsOS、ChromeOSのみですが、今後iOSやmacOS、 Androidなどより多くのプラットフォームのサポートと機能拡張を予定しています。