2020.10.06 / コラム・Blog
近年ではフリーメールやゲーム機の個人認証にも「2段階認証」というシステムで実装されはじめ、馴染みが深くなってきたのではないでしょうか。オフィスへの入退室で例えるなら、暗証番号入力に加え、指紋認証や静脈認証といった生体認証で入室を許可するイメージです。
つまり、暗証番号が流出しても2段階目の認証がクリアされなければ、入室は許可されません。もし暗証番号のみの場合、暗証番号の使い回しや意図しない情報流出等、管理が不適切な状況では、容易に入室することができてしまいます。 現在多くの企業においても、利用者を特定し、利用を限定する為の認証は様々なITシステムで採用されています。
PCへのログオン、クラウドサービスへの接続、基幹システムへのアクセス等、もはや認証プロセスを経ないシステムは存在しないと言える程ではないでしょうか。 本稿では、昨今急増したテレワーク環境に対応したVPNの利用や、会社外からの接続に対してより強固な認証プロセスを活用した安全なネットワーク設計をご紹介します。
テレワークでよくある「 VPN 渋滞」によるネットワーク遅延
昨今テレワークが急速に普及し、自宅から会社のネットワークに安全にアクセスするリモートアクセスVPNの利用が急増しています。 このVPNという技術は、これまでの社内ネットワークで業務を行う前提のネットワーク設計に対し、例外的に会社外から社内ネットワークへのアクセスを許可するだけで利用可能で、大きな設計変更が不要です。
そのため、急なテレワーク対応を迫られた情報システム担当者にとって、魅力的な選択肢でしょう。 VPN自体にも認証プロセスがあり、多くのシステムでは、ID・パスワードの組み合わせによる利用者の特定・限定する仕組みが活用されています。しかし、ID・パスワードだけで充分なセキュリティと言い切れない環境も多く、特に不慣れなテレワーク環境では、重要なパスワードをメモに残す、従業員で使い回すなど適切に管理できてない場面も散見されます。
また、急ぎ構築したVPNの利用環境では、こうした状況の考慮が不十分な設計になってしまい、悪意ある第三者からの攻撃を受ける可能性を増大させていることも少なくありません2020年8月中旬の日本経済新聞の記事によれば、日本企業38社のVPN認証情報がインターネット上に流出・取引され、第三者に悪用されるリスクがあることが明らかになりました。
(2020年8月24日20:00日本経済新聞記事)漏洩した直接的な原因はVPN装置の脆弱性を突かれたとの見解ですが、VPN運用において暗証番号やID・パスワードだけの認証では、もはや接続時の安全を担保できるとは言い切れないのではないでしょうか。
前述のVPN利用時の認証プロセスの脆弱性と並んで、昨今急増したテレワーク環境下において「VPN渋滞」という新たな課題を耳にすることが多くなってきました。 これはクラウド環境への接続に対する社内ネットワーク経由の接続のみを許可するというセキュリティ対策的な制限や、テレワーク増加による社内ネットワークへの外部からのアクセスが集中することで生じる現象です。
当然、アクセスしたい人が多ければ多い程、接続に順番待ちが生じてしまい「渋滞」が発生、業務に支障をきたすような「ネットワークの遅延」を引き起こします。これらを解消する方法として、十分な通信の帯域を確保することや、社内ネットワークを経由しない経路でアクセスを実現することが効果的です。
一方でこうした課題を解決することを優先して、セキュリティ対策をおろそかにすることが多いため、VPNを快適・安全に利用しながら、業務効率を落とさない環境を構築していくことが重要です。
コムネットシステムが提供するクラウド型多要素認証サービス「AuthPoint」やVPN機能を搭載したファイアウォール装置と「AuthPoint」がバンドルされた、セキュアなリモートアクセスVPNサービス「MALUTO SRVGプラン」は、これらの問題を解決します。 AuthPointは、認証プロセスを強化するクラウドサービスで、企業が利用する様々なクラウドサービス、VPN認証、PCログオンに対して、横断的にセキュアなアクセスとシングルサインオンを実現します。
多要素認証ソリューションとしても活用でき、リモートアクセスVPNの認証を強化することができます。 前述の例によれば、暗証番号を入力する認証に加え、スマートフォンでの認証を加えることにより、個人を特定してなりすましを防ぎ、セキュリティ効果をより高めることができます。現時点では、他社サービスには存在しないソリューションで、より効果的に認証プロセスを強化できるサービスです。
また、VPN渋滞を回避する前述の社内ネットワークを経由しない手法では、セキュリティ上どのような経路を利用して接続しているのかを明確にし、その経路での接続が正当なアカウントからの接続か証明することが重要です。 AuthPointのクラウドアプリケーション(SAMLベース)のSSO機能を利用して、一般的なSaaSへのアクセスを想定した場合、ID・パスワード認証にスマートフォンをトークンとして活用する認証手段を加えることで、認証対象である「個人」を確実に特定する形で証明することができます。
また前述の社内ネットワーク経由であるという経路証明に加え、リモートアクセスVPNを併用する場合にも、「スプリットトンネル接続」を選択することで、社内ネットワークへのアクセスはVPN経由、それ以外のクラウドへのアクセスはVPNを経由しないといった接続形態を選ぶことができ、ここまで懸念してきた課題を全て回避することが可能です。
ご紹介したテレワーク環境でのよくある課題に対して、AuthPointはひとつのソリューションで解決することができます。導入においても、使い慣れているスマートフォンを利用する為、ユーザーも受け入れ易いでしょう。
昨今の情勢において、新たなセキュリティ対策としてVPNやクラウドへのアクセスには多要素認証を設けるといった対応が、今後益々必須となっていくのではないでしょうか。是非こうした課題をお持ちのお客様、興味をお持ち頂いたお客様は、お気軽にご相談ください。
ご紹介したソリューション WatchGuard AuthPoint
https://www.watchguard.co.jp/products/multi-factor-authentication
MALUTO SRVGプラン
https://www.malutobiz.com/
※2021年12月23日より、CSD +Plusを「MALUTO」に変更し、販売を開始しました。 https://www.malutobiz.com/
