ゼロトラスト・アーキテクチャに基づいた
デバイス証明書で安全な端末認証を

大切なのはユーザー認証だけじゃない!
デバイスを含む他の領域もチェックする必要があります。

環境変化に応じて重要性が増す端末認証

サイバー攻撃の複雑化や高度化に伴い、パスワードのみの認証ではなくMFA(多要素認証)を導入するなど、ユーザー認証においては多くの企業でセキュリティ強化のための対策がとられてきました。さらに、ニューノーマルな働き方によりテレワークが普及・定着したことで、社外からのアクセスが一般的となり、デバイス認証の必要性も高まってきました。

CloudGate UNOの認証はデバイス認証とユーザー認証で構成されています。ユーザーがクラウドサービスにアクセスする際には、まず端末確認が行われ、認証成功後にユーザー認証が行われます。この2つの認証が成功して初めてクラウドサービスへのアクセスが可能となります。

ここでは、ISRのこれまでの歩みと、新たに開発したデバイスの 専用チップ(SE,TPM)が発行するCloudGateデバイス証明書を ご紹介します。

環境変化に応じて重要性が増す端末認証

ISRが目指す「安全かつ便利な認証」

(私たちのジャーニーの始まり)

ISRは2008年12月27日よりCloudGateサービスの提供を開始しましたが、わずかその1年後の2010年1月、インターネット、金融、科学など、様々な分野の大企業を標的とした、オーロラ作戦(*1)と呼ばれる一連のサイバー攻撃が発覚しました。
この攻撃はゼロデイ脆弱性(*2)を入り口としており、攻撃者はユーザーのPCにキーロガー(*3)を導入することでクラウドサービスにアクセスするためのパスワードを盗み、ソースコードや他の重要なデータを盗むことに成功していました。

Operation aurora - ISRが目指す「安全かつ便利な認証」

この出来事を受け、私たちはパスワードによる認証だけでは不十分であること、常にサイバー攻撃を受ける可能性があるということを認識しました。
そして私たちは「Security First」の考えのもと、「全力でお客様の情報資産を守る」という経営理念を掲げ、パスワードに頼らない認証による安全な世界を実現するジャーニーを始めました。

パスワードの危険性についてもっと知る
Passwordless -ISRが目指す「安全かつ便利な認証」
Sec level - 生体情報を活用したMFAにより、安全で便利なパスワードレス認証を実現

生体情報を活用したMFAにより、
安全で便利なパスワードレス認証を実現

CloudGate UNOは国内SSOベンダーとして初めて、パスワードに依存しない仕組みであるFIDO規格に基づくユーザー認証方式を採用しました。2014年に初めてU2Fを採用し、2019年からはFIDO2に対応しています。
パスワードが不要で、顔や指紋をかざすだけでよいため、複雑なパスワード管理や入力の手間が省け、安全性の確保だけでなく、利便性の向上にもつながります。

しかし、企業のセキュリティポリシーを変えてパスワードレス認証を本格的に導入するには時間がかかるということもあり、パスワードを利用しつつ他の認証要素を加えるMFAの導入が増えています。SMSやOTPを利用する方法もありますが、コードをネットワーク上でやり取りするため途中で窃取される恐れがあります。そのため、顔や指紋などの生体情報を用いた本人確認をローカル端末で行い、その結果を認証に用いる方法がより安全性が高いと考えられます。

okta-twilio - 生体情報を活用したMFAにより、安全で便利なパスワードレス認証を実現

最新のサイバー攻撃事例:

Twilioのサイバー攻撃でOktaのMFAワンタイムパスコードが流出

詳細はこちら

2015年からは、スマートフォンに搭載の生体認証機能を利用して安全なMFAを実現する機能の提供を開始しました。仮に攻撃者がMan-in-the-Browser攻撃を仕掛けたとしても生体認証で使用する資格情報を再利用した不正アクセスが不可能なため、CloudGate UNOへのアクセスは失敗に終わります。

ゼロトラスト・アーキテクチャの導入

2021年7月には、ネットワークの場所、ベースとなるOS、ブラウザ、ユーザーといったすべてのものを信用せず常に認証する必要があるとする、ゼロトラスト・アーキテクチャをCloudGate UNOに採用しました。
SSOサービスにおいて情報の機密性などに応じてクラウドサービスごとにアクセス制限を設定できるようにするとともに、クラウドサービスへアクセスするたびに認証を行うアプローチへと変更しました。

ゼロ・トラストについて詳しくはこちら
Zero trust - ゼロトラスト・アーキテクチャの導入

働き方の変化によって必要性が増すデバイス証明書

テレワークが普及・定着した昨今においては、業務で使用するクラウドサービスへ社外からアクセスする機会が増しており、「会社のセキュリティポリシーに沿った端末からのアクセスかどうか」を判断することが難しくなっています。

そこで必要となるのが、デバイス証明書による端末制限です。
デバイス証明書は、その端末が許可されたものであることを証明するために利用されます。CloudGate証明書では秘密鍵と公開鍵という鍵ペアによる公開鍵暗号方式が用いられており、秘密鍵は端末内部に保管、対となる公開鍵は認証局により本物であるというデジタル署名がされ、証明書が発行されます。端末をしっかり特定して証明書を発行・インストールしているので、その証明書を使ったデバイス認証は厳密な端末制限が可能となります

Remote work - 働き方の変化によって必要性が増すデバイス証明書
Private key - 働き方の変化によって必要性が増すデバイス証明書

現在一般的に使用されているデバイス証明書の問題点

現在の証明書は、秘密鍵をネットワーク経由で受け渡しする方式が一般的なため、漏洩の危険性があります。また、マルウェアや攻撃者に端末内に侵入された場合には、秘密鍵が複製やエクスポートされてしまう可能性もあります。

一度エクスポートされると、高度な攻撃者であれば自分の端末を正規の端末として見せることができるため、ユーザーになりすまして侵入することが可能となります。

現在の証明書がホストOSの完全性に依存し、ホストが管理するCPUとハードディスクを使用して暗号鍵を生成し保護しているため、このような危険性があります。

CloudGate証明書、2022年9月10日より提供を開始します!

CloudGate Certificate - CloudGate証明書、2022年9月10日より提供を開始します!

ユーザー認証におけるパスワードのように、もはやいかなる種類の証明書の生成や保存も信頼することはできないと言えます。そこでISRでは、オリジナルのデバイス証明書「CloudGate証明書」を開発しました。

CloudGate証明書は、セキュアエレメントに基づいた証明書発行という方法をとっています。セキュアエレメントとは、鍵ペアの生成や鍵の保存および使用制限などの機能を備えた、秘密鍵や生体情報などの秘匿データを保護・保存するためのものであり、ほとんどの端末に搭載されています。また、内部に格納されている秘密鍵は取り出すことができないため、安全性が担保されます。

CloudGate証明書について
現時点ではCloudGate証明書のサポート対象はWindowsOS、ChromeOSのみですが、今後iOSやmacOS、 Androidなどより多くのプラットフォームのサポートと機能拡張を予定しています。

※1 オーロラ作戦 (英 Operation Aurora)

2010年1月にGoogleが公表したことで明らかとなった一連のサイバー攻撃(APT攻撃)。Internet Explorerの当時未発表であった脆弱性(ゼロデイ脆弱性)が攻略された。少なくとも20社の大企業が標的となったとされる。

※2 ゼロデイ脆弱性 (英 Zero-day vulnerability)

ソフトウェアベンダーが不具合を認識しているものの、公表前やパッチが公開される前のソフトウェアバグのこと。

※3 キーロガー (英 Keylogger)

コンピュータへのキー入力を監視し、それを記録するソフトウェアもしくはハードウェアのこと。

資料請求

CloudGate UNOの製品資料や、お客様事例を
まとめた資料をダウンロードいただけます。

資料請求はこちら

お問合せ

CloudGate UNOの導入にあたりご質問等あれば、
お気軽にお問合せください。

お問合せはこちら
ページの先頭へ