2020.11.17 / コラム・Blog
急速度で全国に広がったテレワーク。しかし、すでに急場しのぎの対策ではなく、今後の新しい働き方として、定着し続ける傾向も見えています。テレワーク導入可能な企業にとっては、チャンスである一方、さまざまな導入ハードルを有し、乗り越えるためには多くの専門的知見の導入が必要となる頭の痛い問題でもあることでしょう。
そんな新しい働き方に常についてまわり、すでに数多くのインシデント(事故)を生み出している「テレワーク時代のセキュリティ対策問題」について、前編では触れてまいりました。
後編となる本稿でも、前編と同じくウォッチガード社の多要素認証ソリューションである「AuthPoint」に焦点を当てて、同社の猪股氏のお話にさらに深く切り込み、セキュリティ導入時によく引き合われるキーワードから、対策の詳細を、さらに詳しくご紹介していきたいと思います。
ウォッチガード・テクノロジージャパン株式会社 システムエンジニア部 部長 猪股氏
※引き続き、ご質問をさせていただきたいと思います。 前回は、テレワーク時代のセキリュティ対策としての「AuthPoint」の特徴をお伺いしました。今回は、そこから少し踏み込んで「実際に多要素認証ソリューションの運用や管理で感じた導入効果」や「テレワークシーンにおける課題解決」についてお話をお伺いしていければと思います。
実際に導入をしているお客様では、情報保護や認証に対する明確なニーズがあり、多要素認証ソリューションを採用したという経緯が多いかと思いますが、いかがでしょうか。
猪股氏「そもそも2要素認証のニーズが出てきたのは、サイバー攻撃によるアカウント情報の漏えいに対応する為でした。現在でもランサムウェア系のツールを利用して、PC内のログイン情報を入手するサイバー攻撃が多く、アカウント情報が流出しても2要素認証で不正ログインを防ぐことが目的でした」
サイバー攻撃の目的の多くは、「アカウント情報の取得」
※当初のニーズは、サイバー攻撃でのアカウント情報漏えいによる不正ログインや情報流出に対応したものだったのですね。昨今では色々な場面で多要素認証ソリューションを検討されることが多いかと思いますが、実際に導入されるときやご検討シーンではどのような引き合いが多いのでしょうか。
猪股氏「検討する際に、よく懸念する事項になるのが、導入コストです。以前は多要素認証ソリューションを導入する為には、サーバーが必要など導入コストが高いイメージがありました。昨今では、AuthPointをはじめ多くのソリューションが、クラウドサービスになり、原則として新しい機材や環境を導入する必要がありません。必要な数のアカウントを契約するのみで、既存のPCやモバイル端末で利用可能であり、高いセキュリティを保ちつつ、導入・運用のコストを抑えられます」
※なるほど。まだ多くのお客様が、導入コストが高いイメージを持っているんですね。
猪股氏「次によく話題に上がるのは“トークン”についてのご質問ですね。以前は専用のハードウェア端末が必要でしたが、現在はスマートフォンを利用したアプリでの提供がほとんどです。これまで1台に対し数千円かかっていたコストの削減や、管理の負担というところも軽減されます。」
※トークンというと、銀行などで発行されている“ワンタイムパスワード”などのことでしょうか。たしかに、強固なセキュリティというと、真っ先にそのイメージがありますね。
猪股氏「まさにその通りです。とはいえ、確かに強固ではありますが、企業内で導入するとなると対象人数分の機器が必要となったり、人が増減するたびに機器のメンテナンスが必要になるなど、かなりのコスト負担があります。その点、AuthPointは、すでに社員が個々に所有しているスマートフォンを活用したトークン発行ですので、セキュリティは同等レベルを有しながら、新しい機器の導入もほぼ不要というが強みがあります」
AuthPointのトークンは、専用デバイスでもお持ちのスマートフォンでも発行可能
※たとえば、大学などでは毎年数百名単位で増減するといったこともあるでしょうから、その数のトークンを発行・管理・回収するとしたら、企業にとっては非常に大きな負担になりますね。
猪股氏「そうです。スマートフォンを活用する際には、機種変更が定期的に発生します。AuthPointでは、利用者自身がトークンの移行ができる為、情報システムご担当者様が機種変更の度に対応する工数や負担の軽減が可能です。また、1アカウントに対して1トークンを利用しますので、原則としてIDの使い回しができません。管理者様側からは、ユーザーへの対応にかかる工数削減と合わせて、ユーザー単位での厳密なID管理についてもご好評頂いています」
※そういった現状を踏まえ、今後、テレワークやそれに伴う企業内インフラの環境は、どのように変化していくと思いますか?
猪股氏「当初は2020年のオリンピックによる通勤弊害に対応する為であったテレワークですが、別の事情で一気かつ急速にそのニーズは広がりました。しかしながら各企業は、まだまだテレワークを行う為のインフラ環境の整備が追いついていない状況だと思います。徐々にインフラ環境を整備していく中で、多要素認証を標準でPCログオンやリモートアクセスVPN、クラウドサービスのサインインに適用するよう企業へ提案していきたいと考えています」
※企業向けではありませんが、コンシューマー向けでは、認証のセキュリティが不十分なことが原因で、損失が発生するようなインシデントが多く起こっています。これに対して、猪股氏は「企業に対しても関係のない話ではない」と話します。
猪股氏「日本の文化として、インシデントが起きてから対応する傾向がありますが、実際インシデントはすでに多く発生しています。コンシューマー向けでは、銀行口座からの不正送金やコンビニエンスストアのアプリでの個人情報の漏えいなど、認証に関わる事故は身近なものです。その多くが2要素認証であれば防げたもので、企業においてこうした事故が発生すると、回復することが難しい「信頼」を失うことになります。脆弱な認証システムによる事故を対岸の火事とは捉えず、多要素認証ソリューションの導入を重要なセキュリティ対策のひとつとして検討してほしいですね」
これからの企業に必須なセキュリティ対策「多要素認証の有効化」
テレワークは今後の「働き方」として、当たり前に選択される時代がもうすぐそこまで来ています。しかしながら、それによってインシデント(事故)が発生したり、悪意のあるアクセスにさらされる、という事態が発生することは回避していかなければならないことも事実です。
有用であることは間違いなく、しかし、有用に使うためにはセキュリティが必須、というテレワーク環境。コムネットシステムでは、ウォッチガード社の「AuthPoint」導入支援を通じて、さまざまな企業様のテレワーク課題を解決すべく、ご支援をおこなってまいります。
コムネットシステムが導入支援する多要素認証ソリューション AuthPoint について: MALUTO SRVG プラン
https://www.malutobiz.com/
※2021年12月23日より、CSD +Plusを「MALUTO」に変更し、販売を開始しました。 https://www.malutobiz.com/
多要素認証ソリューション WatchGuard AuthPoint
https://www.watchguard.co.jp/products/multi-factor-authentication
