ゼロトラストSSOとは、ゼロトラストの考えに基づきセキュリティを強化したSSOです。
従来のシングルサインオン (SSO)は、一度の認証で複数のサービスヘアクセスできる利便性から、多くの企業で導入されてきました。しかし、認証が一度破られるだけで、連携するすべてのサービスが不正アクセスなどのリスクに晒される可能性があります。
ゼロトラストSSOは、この課題を解決するために生まれました。その最大の特徴は、ユーザーがサービスにアクセスするたびに認証を要求し、アクセスの正当性を常に検証し続ける点にあります。
さらに、「どのサービスに、どのレベルの認証を要求するか」を柔軟に設定することで、機密情報を扱うサービスには多要素認証を必須にするなど、リスクに応じた最適なセキュリティ対策が可能になります。
これにより、ユーザーの利便性と高度なセキュリティの両立を実現します。
シングルサインオン (SSO: Single Sign On)とは?仕組みとメリットをSSO専門家が解説ゼロトラストとは、すべてのアクセスを信用しないというセキュリティの考え方です。
これからのネットワークセキュリティには、連携するクラウドサービスへのアクセスコントロールにおいて
ゼロトラストの考え方が必須といえます。
ゼロトラストについてはこちらのページで詳しくご紹介しています。
ゼロトラストとは企業に対するパスワード窃取やフィッシング攻撃を起点としたサイバー攻撃は、年々増加しています。
このような状況において、従来のSSOの弱点は、SSOサービスへの認証情報が漏洩すると、連携するすべてのサービスがリスクにさらされる可能性がある点です。
そこでゼロトラストSSOが考案されました。
ゼロトラストSSOでは、
という2点を都度検証することで、万が一被害が発生した場合でも、その影響を最小限に抑えることができます。
ゼロトラストの世界では、すべてのアクセスを信用しません。そのため、
最初に認証が成功したサービス以外の
サービスにアクセスする場合には、再び認証を行います。
これはすべてのアクセスを確認、ログ取得する都度認証を意味します。
これにより、CloudGate UNOはクラウドサービスごとにアクセスルール
(セキュリティプロファイル)の設定が可能になります。
毎回サービスに対して認証情報を入れることは利便性を大きく損ないます。そこでCloudGate UNOでは、本製品で認証したというセッションで、パスワードや多要素認証、パスワードレス認証などの認証要素による認証を許可する期間(認証状態保持)を設けました。この期間が過ぎると再び認証が要求されます。
この認証状態保持の期間は、認証要素ごとにシステム管理者側で自由に変えることができます。企業として、どの認証要素を採用するのか、また、採用した認証要素に応じてどのくらい認証期間を設けるのかを要素ごとに決めることができます。
CloudGate UNOのシングルサインオンCloudGate UNOのユーザー認証には、「多要素認証」と「パスワードレス認証」があります。
いずれも多要素認証(MFA)ですが、より利便性と本人検証性の高いパスワードレス認証を分けています。パスワードレス認証には、スマートフォンアプリ(Pocket CloudGate)を利用した生体認証と、FIDO2仕様に準拠したデバイスを利用した認証があります。
例えば、リモートデスクトップを採用している企業では、出社時にFIDO2仕様に準拠したデバイスを利用して認証しているユーザーが、在宅勤務時に同じ条件で認証できない場合があります。そのような場合でも、同じ認証方式に分類されるPocket CloudGateで認証するなど、一方をバックアップとして利用できます。
CloudGate UNOの多要素認証(MFA)