ゼロトラスト構築の肝 SSOを簡単に導入し、徹底したパスワードレス化を実現するには？：利便性とセキュリティは両立できるか

企業内で利用しているID／パスワードが増えると、ユーザーがパスワードを使い回したり、弱いパスワードを使ったりしてしまいセキュリティ強度が下がる。しかし複雑なパスワードの定期的な変更の強制と言った運用を続けていると利便性が下がってしまう。利便性とセキュリティを両立するにはどうすればいいか。

[PR／ITmedia]

PR

　企業がスピーディーなビジネスを展開する上でSaaS（Software as a Service）をはじめとしたクラウドサービスの利用は必要不可欠になった。クラウドサービスは社内ネットワークの外からでも利用できるため多様な働き方の実現にも有効だ。

　だがクラウドサービス利用が進むにつれて、利便性とセキュリティをどう両立させるかが情報システム部門やセキュリティ部門にとって大きな課題になっている。これを解消するには、従来の境界防御型セキュリティアプローチからゼロトラストセキュリティに転換する必要があり、その第一歩となるのが多要素認証（以下、MFA）とシングルサインオン（以下、SSO）の導入だ。本稿はこれらを簡単に実現する方法を紹介する。

パスワードの使い回しに対処するにはどうすればいいか

　利用するクラウドサービスの増加に比例してID／パスワードの数も増えている。企業向けIT製品情報サイトの「キーマンズネット」が2023年に実施した読者調査（回答件数：386件）によると、「管理しなければならないID／パスワードが16個以上」と回答した読者が回答者の17.1％を占めている。

　増え続けるID／パスワードを全て覚えるのはユーザーにとって負担になるのに加え、Webブラウザに覚えさせずこれらを手入力するとなると手間が掛かり、利便性を損なうことは想像に難くない。そのため同じパスワードを使い回したり推測しやすい脆弱（ぜいじゃく）なパスワードを使ったりしてログインの煩雑さを避けようとするユーザーも中にはいるはずだ。

　しかしこうした運用はいずれ大きなセキュリティリスクを招く。同じパスワードを使い回していると、あるサービスでパスワードが漏れた際に他のサービスまでそのパスワードで侵入される恐れがある。サイバー攻撃者は推測しやすい脆弱なパスワードをリスト化しており、これを使って企業のWebサイトに不正アクセスを試みるケースもある。

　そこで、利便性とセキュリティを両立させる手段として注目を集めているのがSSOだ。SSOはID／パスワードなどで一度認証してしまえば、その認証情報を使ってさまざまなサービスに自動でログインできるようにする仕組みだ。これを使えばID／パスワードが自動入力されるため、同じパスワードを使い回したり推測しやすいパスワードを使ったりせずにセキュリティを強化しつつ社内システムをシームレスに利用できるようになる。

　海外で開発された複数のセキュリティ製品を国内で展開するソフト技研の福野哲也氏（統括責任者）は「ID／パスワードだけの認証から脱却し、ゼロトラストセキュリティといった新たなセキュリティアプローチを構築する第一歩として、MFAやSSOは最適な選択肢だと思います」と話す。

ニーズが急速に高まるMFAとSSOを簡単に導入・運用するには？

　SSOに対する企業のニーズは高まっており、ソフト技研にも多くの問い合わせが寄せられている。福野氏は「サービスごとにID／パスワードを管理するのが負担になっている企業が、IDaaS（Identity as a Service）やオンプレミスのID管理システムなどを使ってSSOをできるようにするケースが増えてきています」と話す。

　ただしSSOを導入・運用する際には幾つか注意すべきポイントがある。1つ目はコストだ。IDaaSはアクセス制御やユーザーおよびアプリケーションの可視化、監査など複数の機能を提供するものが多く、SSOのためだけにこれを採用するのはランニングコストや機能の面からもやや過剰な場合もある。

　2つ目はSSOの対象範囲だ。OSへのログインとSaaSやWebアプリケーション利用時のログインが連動していなかったり、SSOが古いオンプレミスシステムには対応していなかったりする場合、独自にシステムを連携させる必要が生じる。

　ソフト技研はこうした課題に対して物理セキュリティキーを使ったMFAおよびSSOソリューションを提供している。物理セキュリティキーはUSBポートに挿入して利用する小型の外付けデバイスで、スマートフォンと同様に所持情報としても利用できる。同社が取り扱う代表的な物理セキュリティキーが「YubiKey」だ。YubiKeyはスウェーデンと米国に拠点を置くYubicoが開発しており、ログイン認証やアクセス保護、SSOなどのセキュリティ機能を提供する。

用途に応じて選択できるYubiKey（出典：ソフト技研提供資料）

　ソフト技研の松田智明氏（開発責任者）は「YubiKeyは150カ国以上で数百万ユーザーに採用されており、国内では大手製造業者やソーシャルゲーム企業、クラウドERPベンダー、クラウド事業者などが取り入れています」と話す。

　YubiKeyは薄型で持ち運びしやすく、高い防塵（じん）、防水、防寒性能を備えている。USBポートから電力を供給するため電池も不要だ。松田氏は「YubiKeyは物理セキュリティキーなのでコピーもできませんし、YubiKeyのシリアルキーと自分のIDをひも付けるため誰かに貸し出すこともできません。ゼロトラストセキュリティの考え方に即したソリューションだと思います」と述べる。

　OSへのログイン時、USBポートにYubiKeyを挿入して金属部分にタッチすると、その都度ワンタイムパスワードが生成されてデバイス認証が可能になる。これが完了するとID／パスワードを使った認証を実施してMFAを実現する。

　ソフト技研は多様な物理セキュリティキーだけでなく、YubiKeyを中心とするセキュリティソリューション「YubiOn」を取り扱っている。「YubiOn Portal」と、閉域網向けの認証ソリューション「YubiOn WindowsLogon Standalone」「YubiOn MacLogin Standalone」だ。SSOはYubiOn Portalの「Yubion Portal SSO」機能で提供される。

　「YubiOn Portalは物理セキュリティキーだけでなくYubiKeyの情報やユーザー情報を一元的に管理できる専用のWebポータルを備えています。YubiKeyの導入時にはOSとYubiKey、ユーザーをひも付けるキッティング作業が必要ですが、WebポータルはCSVファイルで利用者情報を一括登録する機能もあるためシステム構築の手間が少なく、MFAとSSOを簡単にかなえられます」（松田氏）

　WebポータルにはOSの位置情報を収集してログ表示する機能や、YubiKeyを紛失したり出張時に持参するのを忘れたりした場合に備えてID認証だけでログインできる「緊急ログイン機能」などもある。管理者はこれらの機能をすぐに設定できるので、不測の事態にも迅速に対応できる。

　松田氏は「ユーザーはOSログイン時、ID／パスワードの入力とYubiKeyを利用したMFAでYubiOn Portalにアクセスします。これで一度OSにログインできれば、その後はSaaSなどの複数サービスにSSOでアクセスできるため、徹底的なパスワードレス化を推進できます。従業員のITリテラシーに頼らなくても、YubiKey単体でOSへのログインから各サービスの入り口のセキュリティまでをカバーできるという点が大きな特徴です」と語る。

YubiOn Portal SSOの概要（出典：ソフト技研提供資料）

大幅なシステム改修ができない企業こそYubiOnの導入が生きる

　松田氏によると、MFAを既に使っている企業が新たにSSOを導入したい場合はYubiOn Portal SSOのみを提供するなど、柔軟に対応するのでコストを抑えて迅速に導入可能だという。

　YubiOn Portal SSOは、SAML（Security Assertion Markup Language） 2.0によるフェデレーション認証方式に対応しているサービスと連携できる。　「今後の展望としては、YubiOn Portal SSOを利用できるサービスを増やしていきたいと考えており、SAML以外の認証プロトコルの実装も視野に入れています」（松田氏）

　福野氏は「ID／パスワードを使ったレガシーな社内システムの運用を継続しており利便性に問題があるが、『大幅に改修できない』『手を掛けられない』という悩みを抱えている企業は多いと思います。システムの中身を大幅に変更できないが『ログイン部分だけでもMFAやSSOを入れてセキュリティや利便性を強化したい』というニーズがある企業には、ゼロトラストの第一歩として簡単で安価に導入できるYubiOn Portalを採用してほしいと考えています」と語った。