パスワードの問題を解消する新たな認証方法(2)

パスワードの問題を解消する新たな認証方法(2)

前回はパスワードの問題を解消するものとして、Microsoft PassportとWindows Helloの紹介を行いました。それではそれ以外の方法としては、何が考えられるのでしょうか。この問いへの答えとして挙げておきたいのが「OneLogin」です。

OneLoginとは、Office 365やSalesforce.com、G Suite、Dropbox等のクラウドサービスを利用している企業向けに、シングルサインオンとアクセスコントロールを提供する、クラウド型のソリューションです。これを利用することで、ユーザーは1つのパスワードを憶えるだけで、複数のサービスにアクセスできるようになります。すでに全世界1,400社、150万人以上のユーザーがこれを活用しています。

ここで注目したいのは、OneLoginが多要素認証を標準でサポートしている点です。つまりMicrosoft Passportと同じように、利便性を高めながら、パスワードが持つ本質的な問題を解消できるのです。

OneLoginは大きく2種類のアプローチで、多要素認証を実現しています。

1つは、事前登録したスマートフォンに、ワンタイムパスワードをプッシュ通知するというアプローチです。ユーザーがOneLoginにIDとパスワードを入力すると、30秒に1回のペースで変更される1度しか使えないパスワード(ワンタイムパスワード)が、ユーザーのスマートフォンに送られます。このパスワードを受け取ったスマートフォンで送信ボタンをタップすることで、ログインが完了します。そのため、たとえ他人のパスワードを入手したとしても、事前登録されたスマートフォンを持っていなければ、不正ログインはできません。

もう1つのアプローチは、ブラウザPKIの利用です。これはユーザーが使用するWebブラウザにあらかじめ電子証明書を導入し、この電子証明書がない端末からのログインは遮断するというものです。これもデバイスに紐付けられた2段階認証であり、不正ログインを防止するのに役立ちます。

Active Directoryが導入できない組織でも利用可能

OneLoginでもう1つ注目したいのは、Active Directory(AD)を使わない認証も可能な点です。OneLogin Desktopという機能が提供されており、これによってユーザーとデバイスの一元管理が行えるのです。そのためADへの投資が難しい小規模な組織や、MacOSが混在する環境でも利用可能です。

すでにADが導入されている場合には、利用中のADからリアルタイムにアカウント情報を取得し、OneLoginに反映させることも可能です。新しいユーザーがADに登録されると、即座にOneLoginにもアカウントが追加され、ADでアカウントを削除するとOneLoginのアカウントも自動的に削除されます。もちろんパスワードも同期されますが、OneLoginへの接続はSSLを利用して行われるため、アカウント情報が盗聴される心配はありません。アカウント情報の取得先としては、LDAPもサポートしています。

この他にも興味深い機能として、リスクベース認証が提供されています。 これは機械学習の仕組みを利用し、ユーザーからのアクセスのリスクレベルを評価した上で、ユーザー認証の手法をダイナミックに変更するというものです。

例えば認証ポリシーとして多要素認証の利用を強制している場合でも、リスクレベルが低いと判断できる場合には、多要素認証をパスするといったことが可能です。リスクレベルは、普段と同じIPアドレス・ブラウザー・OSからのアクセスか、異なる場所からのアクセスがあった場合には現実的な移動ペースか、普段と同じ時間帯のアクセスか、Torネットワークからのアクセスではないか等、様々な観点で評価されます。例えばあるユーザーが、日本でログインしてから1時間後にアメリカでログインした場合には、現実的な移動時間ではないためリスクレベルが高いと評価され、多要素認証が求められるようになります。

このようにMicrosoft PassportやWindows Hello以外にも、より安全な認証を実現する手段は存在しています。Microsoft PassportとWindows Helloの利用ハードルが高いと感じている、あるいは環境上の制約から全社での利用が難しいという場合には、OneLoginの活用をお勧めします。

 


関連製品

お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ一覧