「リモートワークのセキュリティ対策セミナー」レポート ~クラウドの安全なシングルサインオンを実現する「フェデレーション」技術とは?~

2019年12月4日、神奈川県川崎市のミューザ川崎シンフォニーホールで「リモートワークのセキュリティ対策セミナー」が開催されました。本記事では、その中から、クラウドを安全に活用するためのセキュリティ技術を紹介したセッションの様子をレポートします。

クラウドの普及で注目が集まる「ゼロトラスト」と「フェデレーション」

セッションには、NTTテクノクロス株式会社ビジネスソリューション事業部DX推進事業ユニットの井上が登壇し、「クラウドの安全な”認証ファースト”を実現するフェデレーション活用事例のご紹介」をテーマに、リモートワークに不可欠な認証技術と活用事例を紹介しました。

井上はセッションの冒頭で、リモートワークやクラウドの普及とともに注目されているセキュリティモデル「ゼロトラスト」に言及しました。ゼロトラストとは、境界防御型のセキュリティ対策とは異なり、内部ネットワークさえも信頼しないことを前提とする考え方です。井上は「ゼロトラストは境界防御に依存せず、初めに認証が必要になるという点で、“認証ファースト”と言えると思います」として、ゼロトラスト環境における認証の重要性を強調しました。そして、今回のセッションのテーマが、境界防御に依存しない認証関連技術「フェデレーション」であることを紹介しました。

 

クラウド活用に向けた認証の課題は「外部脅威対策」と「ユーザ負担」

まず、企業のクラウド活用における認証の課題として、井上は次の2点を挙げました。1点目はリスト型攻撃などの外部脅威対策です。対策としてIPアドレス制限や多要素認証が挙げられますが、IPアドレスの制限によってリモートアクセスが困難になったり、多要素認証の導入によってユーザビリティの低下や運用コスト増加が起きたりと、デメリットも目立ちます。

課題の2点目は、パスワード管理にかかるユーザの負担です。井上は「現在、1企業が利用するサービスの数は平均で900以上、従業員が覚えるべきパスワードの数は、1人あたり190以上という説もあります」として、ユーザの負担の増加によってパスワードの使い回しが発生し、リスト型攻撃の被害が拡大する悪循環を指摘しました。

 

 

フェデレーション技術で課題解決。安全なシングルサインオンを実現

こうした課題の解決策として、1回の認証で複数のシステムを利用可能にするシングルサインオン(SSO)が活用できます。井上はSSOの主要な方式として「エージェント方式」「リバースプロキシ方式」「代理認証方式」「フェデレーション方式」という4種類を挙げたうえで「フェデレーション方式だけが、境界防御に依存せず、モバイル活用を損なわずに、安全なSSO環境を実現できる技術です」と紹介しました。

フェデレーション方式の中でも、最も広く利用されている規格が「SAML2.0」です。認証するサイトと、認証結果に基づいてサービスを提供するサイトとの間で、事前に公開鍵情報を交換しておくことで、パスワードを通知することなく、認証結果のみを安全に連携できるのです。

【事例1】BtoBサービスの認証基盤を構築。多様な課金体系でコスト抑制

ここで、フェデレーションによる事例が2つ紹介されました。いずれもNTTテクノクロスのクラウドセキュリティソリューション「TrustBind」を活用しています。1つ目は、BtoBサービスの基盤として、SSO認証を構築した事例です。AWSAmazon Web Services)上に構築した2つのBtoBサービスに対し、SAML2.0による連携を唯一の認証手段とすることで、安全な接続を実現しました。

一般的なSSOソリューションはユーザ数による課金が主流ですが、「TrustBind」は複数のライセンス形態に対応しているため、ユーザ数が膨れがちなBtoBサービスを構築するうえではコスト抑制も期待できます。

【事例2】セキュリティとコストを両立。社外アクセスのみ二要素認証

2つ目は、SSOの実現と同時に、社外からのアクセスに端末制限を施した事例です。社内のアクセスはID・パスワードのみで認証し、リモートアクセス時にはクライアント証明書を併用した二要素認証を行うことで、セキュリティとコストを両立しました。また、社内システムの連携では、代理認証方式でのSSOを行っています。井上は「この事例のように、社内システムを段階的にフェデレーション方式に移行する方法は、近年のハイブリッドクラウド環境における認証のトレンドになっています」と紹介しました。

企業や官公庁で100件以上の導入実績。クラウドセキュリティソリューションTrustBind

最後に、「TrustBind」の特長が紹介されました。「TrustBind」は、フェデレーション技術と多要素認証プラットフォームを中核とした、クラウド時代のセキュリティソリューションです。多様なデバイスや、複数のクラウドサービスに対応するSSO環境を実現できます。SAML2.0の他にもOpenIDOAuthといった主要なフェデレーション技術に対応しており、多彩な認証方式を柔軟に組み合わせることが可能です。システム規模を問わない柔軟なライセンス体系も魅力の1つで、2006年の販売開始以降、企業や官公庁で100件以上の導入実績があります。

リモートワークに注目が集まる中、多くの人が来場し、セミナーは盛況のうちに終了しました。 

「TrustBind」は、ゼロトラスト環境に対応するクラウドセキュリティソリューションです。ご興味をお持ちの方はお気軽にご相談ください。