CYBERNET

重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

不正アクセスの危険性が高いクラウドサービス
セキュリティを高めるためには端末制限の併用を

お役立ち

どこからでも利用できるクラウドサービス。利便性は高いのですが、不正アクセス等のリスクも高くなります。この問題を解決するための手段の1つが「端末制限」。それでは実際に、どのような方法が利用できるのでしょうか。

大きく3種類存在する端末制限の方法

最近では急速な勢いでクラウドサービスの活用が広がっています。いつでもどこででもサービスにアクセスできるため、ユーザーにとっての利便性が極めて高いことが、大きな理由だと言えます。しかしどこからでもアクセスできるということは、不正アクセスのリスクも高まるということを意味します。

多くのクラウドサービスは、ユーザーIDによってユーザーを識別し、そのユーザーだけが知っているはずのパスワードを入力させることで、ユーザー本人であることを認証します。しかしパスワードによるユーザー認証は、いったんパスワードが第三者に知られてしまえば、その効力が失われます。IDとパスワードを入手した第三者は、簡単に不正アクセスを行えるからです。

このような問題を回避するための手段の1つが、端末制限です。クラウドサービスにログインできる端末を制限し、それ以外の端末からのアクセスは遮断してしまうのです。この手法を活用すれば、不正アクセスのリスクは大幅に低下します。IDとパスワードを入手しても、正規ユーザーが使用している端末がなければ、サービスへのログインが不可能だからです。

端末を識別する方法としては、大きく3種類のものが挙げられます。ネットワークアダプター(ネットワーク機器)のMACアドレスを使用する方法、IPアドレスを使用する方法、端末証明書を使用する方法です。

MACアドレスは、全てのネットワーク機器で異なるアドレスになるよう採番されており、原則として同じMACアドレスを持つネットワーク機器が2つ以上存在することはありません。この特徴を活かし、Wi-Fiアクセスポイントのアクセス制限で広く使用されています。しかしMACアドレスはネットワーク上で暗号化されずにやり取りされ、比較的簡単に傍受できます。またMACアドレスを改ざんするツールも存在します。そのため端末認証の手段として、十分なセキュリティを担保できないという問題があります。

クラウドに適しているのは端末証明書

クラウドサービスでよく使われるのは、IPアドレスによる制限と、端末証明書による認証です。

IPアドレスによる制限は、クラウドサービスへの接続時に端末のIPアドレスをチェックし、許可されたIPアドレス以外からのアクセスを遮断します。この方法は社内など、特定の場所での利用を前提にしたアプローチだといえます。社外のWi-Fiアクセスポイントや、携帯電話事業者の通信網を経由してアクセスした場合には、IPアドレスが変わってしまうからです。つまり「どこからでも利用できる」というクラウドサービスの最大のメリットが、享受できなくなるわけです。

これに対して端末証明書による認証は、クラウドサービスにより適した手法だと言えます。

端末証明書は、PKI(Public Key Infrastructure:公開鍵基盤)を利用したデジタル証明書の一種です。PKIとは公開鍵暗号を使用し、通信の暗号化や本人確認を行う仕組みです。公開鍵暗号では、暗号化と復号で対となる2つの鍵を使用します。1つは公開鍵、もう1つは秘密鍵です。一方の鍵で暗号化したものは、もう一方の鍵で復号可能です。例えば秘密鍵で暗号化を行った文書は、公開鍵で復号できます。逆に言えば、ある公開鍵で復号可能な文書が送られてきた場合、その送り主は「その公開鍵と対になる秘密鍵」を保有していることが証明できます。これによって本人確認を行うことが可能になるのです。

端末証明書は端末にインストールして使用します。IPアドレスのように、接続されるネットワークによって変化することはありません。またネットワーク上で盗聴することも困難です。攻撃者が直接端末を操作して証明書をエクスポートすれば盗み出すことも可能ですが、自分の端末を他の人に触らせないようすれば、この問題は回避できます。

問題点は対応サービスが少ないこと

ただし、端末証明書に対応した認証を行っているクラウドサービスは、現時点では決して多くありません。そこでお勧めしたいのが「OneLogin」の活用です。

OneLoginは4,000以上のサービスに対応した、SaaS型のシングルサインオンサービス。利用したいサービスを事前に登録しておけば、OneLoginにログインするだけで、各サービスへのログインを行う必要がなくなります。OneLoginへのログインは、ユーザーIDとパスワードによる認証に加え、ブラウザー向けのユーザー証明書による簡易的な端末制限もサポートしています。つまり統合認証基盤としてOneLoginを活用すれば、より強固なセキュリティを確保できるのです。

skysea

この記事に関連するサービス

クラウド型シングルサインオン・アクセスコントロール OneLogin

関連記事

安全性を高めるために利用広がる二要素認証。選択の鍵は「中間者攻撃」に対する防御力にあり
ID+パスワードの脆弱性を補完するために端末認証でセキュリティを強化する端末証明書