クラウドの認証とSAML2.0 -
クラウド利用の増加で複雑化したパスワード管理の最適解とは?
複雑化したパスワード管理によって生じるリスク
利用するクラウドサービスの数が増えるにつれて、パスワードの管理は煩雑になっていきます。
そこで仕方なくメモによる管理や同じパスワードの使いまわしなどの運用方法に手を出してしまうこともあるでしょう。
そのようなパスワード管理はとても危険で、パスワードの漏えいやリスト型攻撃に遭うリスクを高め、セキュリティレベルを著しく低下させる要因になります。
それでは、これからのクラウド時代において、どのようなパスワード管理を行えばよいのでしょうか。
その課題の解決策に、フェデレーション方式のシングルサインオンがあります。
本記事では、フェデレーション方式がクラウドサービスの認証に適している理由に迫ります。
メモや使いまわしはセキュリティレベル低下の要因
近年、あらゆる種類のクラウドサービスが続々とローンチされ、企業が利用するサービスの数も増えています。
それに応じて、利用者のパスワード管理負担も増大。一説によると、1ユーザが管理すべきパスワード数は190以上であるとも言われています。
そのような状況ですべてのパスワードを記憶し、定期的に変更しながら運用していくのは不可能です。
そこで、メモ帳機能などにID/パスワードを記載して管理する方や、ひとつのパスワードを複数のサービスで使いまわしている方も少なからずいるでしょう。
しかし、メモによる管理はパスワード漏えいのリスクがありますし、同じパスワードの使いまわしはリスト型攻撃の格好の餌食となります。
リスト型攻撃は、他人のID/パスワードを入手した悪意者が、他人を装ってあらゆるWebサービスで不正ログインを図るものです。同じパスワードを設定しているサービスが多ければ多いほど、リスト型攻撃の被害も拡大します。
つまり、メモによる管理や同じパスワードの使いまわしは、セキュリティレベルの低下を引き起こします。
ID/パスワード認証における、利用者のパスワード管理の問題は昔から取りざたされてきましたが、令和時代の現在でも変わらず、大きな課題となっています。
クラウドのシングルサインオンは「フェデレーション方式」が最適
パスワード管理の課題を解決するアプローチに、シングルサインオンがあります。
シングルサインオンとは、一度ログインすれば、複数のシステムやサービスでID/パスワードを都度入力しなくても利用できる仕組みのことです。
シングルサインオンを活用すれば、利用者はひとつのID/パスワードを覚えるだけなので、パスワード管理は圧倒的に簡単になります。メモによる管理や同じパスワードの使いまわしをする必要もなくなるため、セキュリティレベルの低下を防ぐこともできます。
ところが、シングルサインオンには複数の方式があり、そのすべての方式がクラウドに適しているとはいえません。
下表は、シングルサインオンの4つの主要方式の概要とメリット・デメリットをまとめたものです。
ご覧のとおり、いわゆる“第一世代”であるエージェント方式やリバースプロキシ方式は、クラウドサービス(SaaS)には対応できません。
また、代理認証方式は、クラウドサービスへの対応は可能ですが、あくまでシステムが人の代理としてID/パスワードを入力するだけなので、サービスを直接攻撃されるリスクが残ります。
他方、フェデレーション方式は、インターネット上で安全なサイト間連携を実現するために考案された技術仕様です。
特徴は、境界防御に依存せず、モバイル利用を制約することもなく、オープンなネットワーク上で安全なシングルサインオン環境が実現できることです。
クラウドサービスでは、境界防御に頼らないセキュリティ対策が求められています。フェデレーション方式は、それに最も適したシングルサインオンといえるでしょう。
フェデレーション方式の標準仕様「SAML2.0」
フェデレーション方式で最も広く利用されているのが、「SAML2.0」という実装方式です。
SAML2.0は、異なるサービスサイト間で認証結果などの情報を安全に受け渡しするために定められた標準仕様です。利用にあたって、事前に認証サイトとサービスサイトの間で、公開鍵やURLなどの情報交換による「信頼関係の構築」と呼ばれる手続きを行います。
SAML2.0はさまざまなフローでシングルサインオンを実現します。ここでは最もシンプルな流れを紹介します。
- 認証サイトがサービス利用者を認証
- 認証サイトからサービスサイトへ署名付きの認証結果を共有
- サービスサイトが認証結果の署名を確認
- サービスサイトがサービス利用者にサービスを提供
以上の手順により、サービス利用者は認証サイトで一度ログインするだけで、複数のサービスサイトを利用できるようになります。
また、認証サイトからサービスサイトに渡される認証結果は、署名によって発行元が正しく、改ざんされていないことを確認できます。そのため、代理認証方式のように認証サイトとサービスサイトの間でID/パスワードを受け渡す方法とは異なり、オープンなネットワークを経由した安全でフレキシブルなクラウド活用を実現します。
フェデレーション方式の活用事例
フェデレーション方式は、さまざまなセキュリティ対策との親和性があり、組み合わせることでセキュリティレベルや利便性を高められます。
例えば、境界防御とフェデレーションを組み合わせれば、外部からのクラウドサービスへのアクセスを禁止し、不正アクセスを防ぐことができます。
また、二要素認証との組み合わせにより、社外からのクラウド利用を事前に許可した端末のみに限定することもできます。
このような認証基盤の構築は、近年のハイブリッドクラウド環境においてトレンドになっています。
まとめ
フェデレーション方式が、クラウドサービスのシングルサインオンに最適であることがおわかりいただけたでしょうか。クラウドサービスのパスワード管理でお悩みの企業様は、導入を検討することをおすすめします。
NTTテクノクロスが提供するTrustBindは、フェデレーション技術と多要素認証プラットフォームをコアに、マルチデバイス・マルチクラウド対応のシングルサインオン環境を構築できます。クラウド時代のアクセス管理プラットフォームとして、セキュリティレベルと利便性の向上に大きく寄与するソリューションです。企業の課題解決に、ぜひご活用ください。