「便利で安全」を両立するモバイルセキュリティの新提案とは?:“パスワード漏えい後”も守り抜く
モバイル端末やクラウドサービスの業務活用を進める上で、認証システムには利便性とセキュリティという異なる要素の両立が求められる。本稿では、これらの条件を満たす「リスクベース認証」を手軽に導入するための方法を紹介しよう。
モバイル端末やクラウドサービスの普及に伴い、従業員が社外からも業務アプリケーションにアクセスできるようにする企業が増えつつある。だが、そこで課題となるのがユーザー認証の方法だ。業務アプリや端末の種類が多様化する中、従来のIDとパスワードを中心とした認証では十分なセキュリティレベルを保てなくなりつつある。
クラウド型の業務アプリの多くは、IDとパスワードによるユーザー認証を採用している。だが、この認証方法だけでは対策できないのが“パスワードの盗難リスク”だ。マルウェア攻撃や端末の紛失、入力画面の盗み見などを通じて第三者にログイン情報を知られてしまえば、次にパスワードを変更するまで不正アクセスを許してしまう恐れがある。
パスワードの盗難に備えるためには多要素認証を導入するなどの手段があるが、正規のユーザーがログインする手順も煩雑にしてしまうデメリットもある。ユーザーの利便性を損なわずに、パスワードの漏えい後にも対処できる認証方法はないか――その答えの1つが「リスクベース認証」というアプローチだ。
“パスワード漏えい後”も防御する「リスクベース認証」とは
リスクベース認証とは、システムにアクセスしようとするユーザーの利用端末やアクセス環境、振る舞いなどの“コンテキスト情報”を分析し、「怪しい」と判断されるユーザーだけに追加認証を要求する仕組みだ。
例えば、攻撃者が社員のID/パスワードで社内システムに不正侵入しようとした際に、そのアカウントが普段使っていた端末やWebブラウザからのアクセスかどうかを判定する。もし普段と異なる点が多数見つかった場合は、ユーザーが事前に登録しておいたメールアドレスなどにワンタイムパスワードを発行することで、不正アクセスを水際で阻止するといった具合だ。
すでにリスクベース認証の仕組みを取り入れているシステムとしては、GoogleやFacebookといった大手Webサービスや、金融機関のネットバンキングサービスなどが挙げられる。だが従来、リスクベース認証はシステム構築の複雑さやコストの高さから、これらの大規模なコンシューマー向けサービスなどでしか利用されてこなかった。そうした中、一般企業でも容易に導入できるリスクベース認証システムとして日本IBMが国内投入したのが「IBM Security Access Manager for Mobile V8.0」(以下、ISAM for Mobile V8.0)である。
高度なリスクベース認証を安価で実現する「ISAM for Mobile V8.0」
ISAM for Mobile V8.0はその名の通り、モバイル端末を業務で使いたい企業をターゲットとしたリスクベース認証システムだ。IBMのシングルサインオン製品「IBM Security Access Manager for Web」(ISAM for Web)に、リスクベース認証機能を持つ「Tivoli Federated Identity Manager」(TFIM)を組み合わせてアプライアンス化したもの。この機能を仮想化環境で稼働させるためのソフトウェア(仮想アプライアンス)でも利用できる。
同製品では、上述したリスクベース認証の仕組みを細かいレベルで設定できる。端末の機種のほか、クライアントOSの種類、画面の解像度、使用しているフォント、Webブラウザの種類、通信設定、ネットワーク環境などの情報をリアルタイムに解析し、0から100までの値で「リスクスコア」を算定する。その数値が高かった場合のみ、該当するユーザーに追加の認証を要求する仕組みだ。
例えば、関東圏のみで事業を行っている企業の社内システムに関西地方からアクセスがあった場合は、位置情報に基づきスコアを加算する。それ以外にも端末種別やWebブラウザの種類などでスコアが高まった場合は追加認証を行い、スコアが上がらなかった場合は通常の出張とみなしてログインを許可する――といったことが可能だ。
日本IBMの竹日正弘氏(ソフトウエア事業セキュリティーシステムズ事業部 IBM認定上級ITスペシャリスト)正規のユーザーにとっては、“いつも通り”の使い方をしていればID/パスワードのみの認証で済むメリットがある。また企業にとっては、スコアの高さによってはアクセス自体を拒否するなど、さまざまなポリシーを設定して運用できるのも利点だろう。
さらに、万一ログイン認証をかわされてしまった場合に対して、その後のプロセスにおいて不正利用をブロックするための機能を用意している。ISAM for Mobile V8.0ではログイン後のユーザーの挙動も監視し、例えば、正規のユーザーが通常業務ではほとんど使っていないアプリケーションに突然アクセスするような、通常では考えられない使い方をした際に、リアルタイムにリスクスコアを積み上げていく。これが一定のしきい値を超えた時、即座に追加認証を要求したりできる。
価格は仮想アプライアンス(ソフトウェア)版がエントリーレベル構成で約650万円から、またハードウェアアプライアンス単体では標準価格で1039万5000円となる。「これまで他社が提供してきたリスクベース認証製品は億単位の導入コストがかかる場合が多かったため、この価格設定は市場に大きなインパクトを与えるでしょう」と日本IBMの竹日正弘氏は胸を張る。
ポリシー設定から運用までをトータルでサポート
ISAM for Mobile V8.0に含まれるISAM for Webでは、基本機能としてWebアプリケーションへのシングルサインオン機能を搭載し、複数のWebアプリに対するアクセスを簡素化できる。また導入面でも、アプライアンス製品として提供されるため、企業はインフラ構築などの手間をかけずに導入できるメリットがある。
実際に稼働を始めるまでのステップとしては、リスクスコアの加算に必要な属性や、追加認証などのポリシーを設定する必要がある。とはいえ、これらの作業を自社で行うのはハードルが高いと感じる企業も少なくないだろう。そこで日本IBMでは、ISAM for Mobile V8.0の初期設定や運用を支援するサポートサービスを用意している。
「ISAM for Mobile V8.0の導入時は、当社やパートナー企業が顧客を全面的にサポートするケースがほとんどです。そのうえで、実際の運用が始まってからの一部設定変更や、アプリケーション追加時のポリシー設定などの作業を、顧客企業のIT部門に担当いただく場合が多いです」(竹日氏)。なお、要件定義から稼働までの準備は3カ月程度で完了することが多いという。
竹日氏によれば、ISAM for Mobile V8.0は10月の発売以来「非常に多くの企業から引き合いが寄せられている」という。「顧客自身がミドルウェア製品などを組み合わせて同様のリスクベース認証システムを構築しようとすると、システムの構成を考えたり実際に構築するために大きな手間やコストがかかります。ISAM for Mobile V8.0は、手軽に導入して使い始められる点が高く評価されているようです」(竹日氏)
モバイル端末やクラウドサービスを業務で活用する上で、認証システムには「ユーザーの利便性」と「セキュリティ」という異なる要素の両立が欠かせない。ISAM for Mobile V8.0は、これらの条件を満たすリスクベース認証システムを安価で構築するための有効な手段といえるだろう。
関連ホワイトペーパー
モバイル環境におけるアクセス管理、セキュリティー対策は万全ですか?
BYOD普及の時代、モバイル・ユーザーはさまざまなデバイスを使用して、いつでも、どこからでも企業リソースにアクセス。モバイルによるビジネスの変革が進む一方、サイバー攻撃は巧妙化している。今、求められる強力なモバイルアクセス管理ソリューションとは?
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2014年1月2日
関連ホワイトペーパー
BYOD普及の時代、モバイル・ユーザーはさまざまなデバイスを使用して、いつでも、どこからでも企業リソースにアクセス。モバイルによるビジネスの変革が進む一方、サイバー攻撃は巧妙化している。今、求められる強力なモバイルアクセス管理ソリューションとは?
ITmediaはアイティメディア株式会社の登録商標です。