目次 |
ここ数年、企業のクラウドシフトが加速しています。企業の業務効率・生産性向上を狙ったDX推進や政府によるクラウド・バイ・デフォルト原則、コロナ禍によるリモートシフトなど、その要因は多岐にわたっています。 |
IDの不適切な管理・運用は大きなリスク
ネットワークやクラウドサービスを安全に使うには、ユーザー認証が不可欠となります。そこで大きな課題になっているのがID管理です。
コミュニケーションツール、メール、業務システム、ポータル、ワークフローなどクラウドサービスを利用する際、サービス全てに個別のID/パスワードが割り振られ、必要に応じてユーザーを認証しています。
これらのアカウント管理を適切に行わなければ、不正アクセスや情報漏えいのリスクが高まります。実際、リモートワークで使われる遠隔会議システムやVPNソリューションへの不正アクセスやサイバー攻撃が増えており、その対策は急務となっているのが実情です。
アカウント管理について、総務省が公開している「テレワークセキュリティガイドライン」には「クラウドサービスを安全に利用するためには、(中略)クラウドサービス利用時に必要なセキュリティ対策を明確にし、そしてクラウドサービスを利用する際のIDやパスワード等のアカウント情報や保存するデータを適切に管理することが必要」と記載されています。
「1234」や「0000」といった覚えやすいパスワードを使う、同一のパスワードを使い回す、パスワードを書いたメモをパソコンの近くに置いておく等、ID管理・運用を不適切に行っていると、不正アクセスや乗っ取りなどのセキュリティリスクが高まります。かといって、複雑なパスワード定期的に変更するというルールにすると管理工数が増え、ユーザーの利便性が大幅に低下するという課題もあります。
社員のライフサイクルに合わせた管理も必須
ID管理という観点で考えると、社員のライフサイクルに応じた管理・運用も重要となってきます。新入社員や退職者などが生じた場合、アカウントを登録/削除するだけでなく、組織改編時には職務に紐付いた権限を速やかに変更する必要があるからです。 |
複数の認証要素を組み合わせた多要素認証が有効
ユーザー自身によるID管理だけではなく、運用管理を行う上でも注意が必要となります。前述のテレワークセキュリティガイドラインによると、リモートアクセス時には複数の認証の要素を組み合わせた多要素認証が推奨されています。
認証の要素として、ID・パスワードといった本人しか知り得ない知識情報、指紋や声紋といった生体情報、特定の機器を所持する所持情報の3つがあげられます。
知識情報は、汎用性が高く導入しやすい一方、「多数のサービスを利用するとどれがどれだか覚えられない」「漏洩しやすい」といったデメリットがあります。
生体情報は、覚える必要がなく、なくす恐れもありません。複製や偽造が難しいため、なりすましにあいにくいというメリットがありますが、時間の経過と供に生体情報が変化した際の対応を考えなければいけません。また、万が一生体情報が漏えいした場合、安全性の回復が難しいという課題もあります。
所持情報は、認証するためのIC カード、USB デバイス、スマートフォンなどを所持していればいいため、何かを覚える必要がありません。しかし、破損、紛失、盗難といったリスクがあります。
それぞれメリット/デメリットがあるものの、これらを組み合わせて多要素認証を行うことで、ユーザーの利便性を確保しながら、安全性を向上させることができます。
ID基盤を構築し、ID運用のサイクルを回すにはIDaaSが有効
セキュリティを確保しながら、適切にIDを管理するには、ID基盤を構築し、日々のID運用のサイクルを確立することが重要となります。
JBCCでは、①ID管理、②シングルサインオン、③セキュリティ、④ID連携、⑤ログ管理の5つの機能を備えたクラウドサービス「IDaaS (Identity as a Service)」の運用支援サービスを提供しています。このIDaaSを利用すれば、増え続けるIDの管理・運用やセキュリティを確保することが容易となります。
IDaaSを使えば様々なクラウドサービスの利用において、パスワード+ワンタイムパスワードのような多要素認証が可能となります。それにより、ID・パスワードのセキュリティを高め安心・安全にクラウドサービスを使用できるようになります。
さらに、1つのIDで複数のサービス全てにアクセスするシングルサインオンにも対応し、メールアドレスをIDとして活用しているSaaSや、社員番号をIDとして使用しているSaaS、名前と社員番号をIDとして使用しているSaaSなど、サイロ化されているユーザーIDを統合し、ID利用環境に応じた属性情報を登録することも可能です。1つのIDで使用しているサービス全てにアクセスできるようになるため、ユーザーの利便性を低下させずに複数のクラウドサービスを利用することが可能となります。
万が一、使用しているSaaSのID情報が漏洩した場合は、直接ログインさせず、IDaaSにリダイレクトさせます。その場合、IDaaSで認証されなければSaaSを利用できないため、不正アクセスや情報漏えいを防ぐ効果も期待できます。
さらに、誰がいつ、どのアプリで何をしたのかといったログを取得し、IDの利用状況を可視化することも可能となります。セキュリティ面での効果はもちろん、「誰に」「どのような操作を許可するのか」、「守りたいデータは何か」というアプローチも可能となり、データをどう活用するのかというDXを推進する際の基盤としても活用でき、欠かせない要因となるでしょう。
さまざまな脅威に対抗するため全方向で支援するJBCC
JBCCは、ID運用支援以外にもユーザーが使用するデバイス、ネットワーク、サーバー、アプリケーション、データなどの様々な脅威に対して全方向で支援する体制を整えています。セキュリティ対策やDX推進などにお悩みの際にはJBCCにご相談ください。
資料ダウンロード
ID 管理・運用の"スキ"に潜む大きなリスク。今こそ求められるセキュリティ施策とは?クラウド利用促進やリモートワークシフト、DX 推進、海外事業、M&A などといった企業情報システムを取り巻く環境は大きく変化しています。そのような中、今までの対策ではもう企業情報システム環境を守りきれなくなっているのが現状で、ID 運用の現場負荷も増大しています。このような課題を解決するため、めざすべきはID 環境の統合と運用効率化です。本資料では、そこへ到る道筋を示すとともに、みごと課題を解決された企業の事例を交えながら、ID 管理の理想像を探っていきます。 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |