ゼロトラストSSO
連携サービスプロバイダー(SP)へのアクセスコントロールにおいてゼロトラストでなければならない
現在までシングルサインオン(SSO)の利点であった、「一度の認証で複数のサービスが利用可能」は、「すべてのアクセスを信用しない」というゼロトラストの考えでは最重点課題となります。そのためゼロトラストSSOでは、各サービスにアクセスするごとに認証が要求される仕組みや、認証強度も各サービスごとに設定が必要になります。
例えば、従来のSSOでは一度ゲート(認証)を通過すれば、サービスA・サービスB・サービスCのいずれにもアクセスが可能でした。しかしながら、ゼロトラストSSOでは、サービスAにアクセスする際にはサービスAのゲートを通過し、そこからサービスBにアクセスする際にはサービスBのゲートから入り直すというプロセスが必要になります。
従来のSSO
ゼロトラストSSO
ゼロトラスト 〜すべてのアクセスを信用しない〜
ゼロトラストとは、すべてのアクセスを信用しないというセキュリティの考え方です。
Zero Trust Network Access(ゼロトラストネットワークアクセス)を省略して、
ゼロトラストといっています。
多様な働き方が増えたことや社会情勢などの理由でリモートワーク、テレワークをする企業が増加したことで、クラウドサービスの利用も増えました。そのため、会社以外の場所からも業務システムにアクセスするなど、ネットワークの外と中の境界が曖昧になってきたことで生まれたセキュリティの考え方です。
これからのネットワークセキュリティには、連携するクラウドサービスへのアクセスコントロールにおいてゼロトラストの考え方が必須といえます。
セキュリティを高め、利便性も維持
リモートワーク、テレワークなどでクラウドサービスの利用が増えたことで、会社以外の場所からも業務システムにアクセスするようになりました。
ゼロトラストの考え方を取り入れながらも、ユーザーフレンドリーで安全なソリューションが求められています。
ゼロトラストについてはこちらのページでも詳しくご紹介しています。
ゼロトラストとは
ゼロトラストに対応したMFAが今こそ必要
米国はゼロトラストやMFAを義務化
アメリカでは2020年から、国家をゆるがすほどの甚大な被害を起こすサイバー攻撃事件が多発しています。
バイデン大統領はサイバー攻撃を防ぐためのセキュリティ向上措置として、政府機関のみならずソフトウェアなどの提供企業にも、ゼロトラストへのシフト、多要素認証(MFA)の採用といった対応を義務付けました。
年間33億回の攻撃に遭った組織も!
アメリカの調査報告書によると、サイバー攻撃の中でもフィッシング攻撃は、盗んだ認証情報の使用と密接に関係していると記されています。情報漏洩の60%以上が認証情報に関係し、パスワードリスト型攻撃を受けた組織の95%では、過去1年間に637回〜33億回の悪意あるログイン試行が行われていました。
フィッシング攻撃からランサムウェア攻撃まで、盗まれた資格情報がさまざまな攻撃パターンで使われデータ漏洩の原因となっています。
出典:
Verizon 「2021年度データ漏洩/侵害調査報告書 」
Dark Reading「85% of Data Breaches Involve Human Interaction: Verizon DBIR」
米国大統領選から学ぶサイバー攻撃対策事例
フィッシング攻撃を防いだFIDO2仕様に準拠したセキュリティキー
2016年の米国大統領選挙選挙では、フィッシング攻撃により認証情報(パスワード)が盗まれ、候補者に不利な情報が拡散したことが敗因の一つと言われています。また、同年春にSMSによる多要素認証が破られ、DNC(民主党全国委員会)幹部のメールアカウントを侵害されるなどのサイバー攻撃を受けました。
2017年からDNCはFIDO2仕様に準拠したセキュリティキーを導入し、2018年の米国議員選挙では海外ハッカーからの攻撃に耐えることができたと言われています。また、2020年の大統領選挙でも、FIDO2仕様に準拠したセキュリティキーを用いた認証方法を採用したことで、同党候補者・バイデン氏の当選に繋がったと言われています。
出典:New York Times「The D.N.C. Didn’t Get Hacked in 2020. Here’s Why.」
サイバー攻撃対策は意識改革も重要
2016年に発生した米国大統領選挙でのDNC(民主党全国委員会)の情報漏洩は、サイバーセキュリティの
問題よりも、ワークフローや組織文化の問題だったと言われています。2017年に新たに就任した
CSO(最高セキュリティ責任者)は、全員参加の会議のたびに必ず以下のことを呼びかけていました。
パスワードを
使いまわさない
二要素認証をする
ソフトウェアを
アップグレードする
暗号化された
メッセージアプリを使う
怪しいリンクを
クリックしない
出典:New York Times「The D.N.C. Didn’t Get Hacked in 2020. Here’s Why.」
早急に取り組むべきサイバーセキュリティ対策
日本においてもDX(デジタルトランスフォーメーション)やリモートワーク、テレワークの導入企業の増加に伴い、セキュリティの隙をついたランサムウェアなどのサイバー攻撃は静まる気配がありません。日本企業も早急にサイバー攻撃対策に取り組むべき時がきています。
境界セキュリティだけでは企業情報が守れない
これまでのオンプレミスがベースとなったセキュリティは、境界防御型セキュリティと言われる境界セキュリティモデルが主流です。これは、ファイアウォールなどを置き、ネットワークとの境界防御を重視するセキュリティモデルです。境界セキュリティとは、守るべき情報資産は境界の内側にあり、アクセスは境界の中からのみにして脅威は境界の外にとどめておく、つまり攻撃者を境界の内側に侵入させないという考え方です。もし外部からアクセスをしたい場合には、VPNを利用することで、安全に社内のネットワークにアクセスできていました。
しかし、クラウドサービスやモバイル端末の活用が進む中で、守るべき情報資産は必ずしも境界の中に存在するとは限らなくなりました。また、境界の中にも内部不正者によって情報資産が漏洩する可能性があります。そこで登場するのがゼロトラストモデルです。
ゼロトラストで重要なのは「アクセス制限」と「ユーザー認証」
ゼロトラストの世界では、すべてのアクセスを信用しないことを前提とします。したがって、すべてのトラフィックを検証する必要があります。そこで重要となるのが、「アクセス制限」と「ユーザー認証」です。
ゼロトラストモデルを採用したSSO
CloudGate UNO
徹底したアクセスチェックで
サービス単位のアクセスルール設定を実現
ゼロトラストの世界では、すべてのアクセスを信用しません。そのため、最初に認証が成功したサービス以外のサービスにアクセスする場合には、再び認証を行います。
これはすべてのアクセスを確認、ログ取得する都度認証を意味します。
これにより、CloudGate UNOはクラウドサービスごとにアクセスルール
(セキュリティプロファイル)の設定が可能になります。
ゼロトラストSSO
SSOの利便性を損なわせない安全な認証
毎回サービスに対して認証情報を入れることは利便性を大きく損なわれます。そこでCloudGate UNOでは、本製品で認証したというセッションで、パスワードや多要素認証、パスワードレス認証などの認証要素による認証を許可する期間(認証状態保持)を設けました。この期間が過ぎると再び認証が要求されます。
この認証状態保持の期間は、認証要素毎ににシステム管理者側で自由に変えることができます。企業として、どの認証要素を採用するのか、また、採用した認証要素に応じてどのくらい認証期間を設けるのかを要素ごとに決めることができます。
ゼロトラストMFA
ユーザーフレンドリーで多様な認証方式
CloudGate UNOのユーザー認証には、「多要素認証」と「パスワードレス認証」があります。いずれも多要素認証(MFA)ですが、より利便性と本人検証性の高いパスワードレス認証を分けています。パスワードレス認証には、スマートフォンアプリを利用した生体認証(CloudGate Authenticator)と、FIDO2仕様に準拠したデバイスを利用した認証があります。
例えば、リモートデスクトップを採用している企業では、出社時にFIDO2仕様に準拠したデバイスを利用して認証しているユーザーが、在宅勤務時に同じ条件で認証できない場合があります。そのような場合でも、同じ認証方式に分類されるCloudGate Authenticatorで認証するなど、一方をバックアップとして利用できます。
ゼロトラストモデルのソリューション導入でサイバー攻撃に備える
アメリカ同様、日本国内でもサイバー攻撃は多発しており、ゼロトラストの考え方でサイバーセキュリティに取り組むことが急務となっています。
事業継続性の観点からも、ゼロトラストモデルを採用したCloudGate UNOをご検討ください。
