お役立ち
2016.06.02

不正アクセスの危険性が高いクラウドサービス
セキュリティを高めるためには端末制限の併用を

どこからでも利用できるクラウドサービス。利便性は高いのですが、不正アクセス等のリスクも高くなります。この問題を解決するための手段の1つが「端末制限」。それでは実際に、どのような方法が利用できるのでしょうか。

大きく3種類存在する端末制限の方法

最近では急速な勢いでクラウドサービスの活用が広がっています。いつでもどこででもサービスにアクセスできるため、ユーザーにとっての利便性が極めて高いことが、大きな理由だと言えます。しかしどこからでもアクセスできるということは、不正アクセスのリスクも高まるということを意味します。

多くのクラウドサービスは、ユーザーIDによってユーザーを識別し、そのユーザーだけが知っているはずのパスワードを入力させることで、ユーザー本人であることを認証します。しかしパスワードによるユーザー認証は、いったんパスワードが第三者に知られてしまえば、その効力が失われます。IDとパスワードを入手した第三者は、簡単に不正アクセスを行えるからです。

このような問題を回避するための手段の1つが、端末制限です。クラウドサービスにログインできる端末を制限し、それ以外の端末からのアクセスは遮断してしまうのです。この手法を活用すれば、不正アクセスのリスクは大幅に低下します。IDとパスワードを入手しても、正規ユーザーが使用している端末がなければ、サービスへのログインが不可能だからです。

端末を識別する方法としては、大きく3種類のものが挙げられます。ネットワークアダプター(ネットワーク機器)のMACアドレスを使用する方法、IPアドレスを使用する方法、端末証明書を使用する方法です。

MACアドレスは、全てのネットワーク機器で異なるアドレスになるよう採番されており、原則として同じMACアドレスを持つネットワーク機器が2つ以上存在することはありません。この特徴を活かし、Wi-Fiアクセスポイントのアクセス制限で広く使用されています。しかしMACアドレスはネットワーク上で暗号化されずにやり取りされ、比較的簡単に傍受できます。またMACアドレスを改ざんするツールも存在します。そのため端末認証の手段として、十分なセキュリティを担保できないという問題があります。

クラウドに適しているのは端末証明書

クラウドサービスでよく使われるのは、IPアドレスによる制限と、端末証明書による認証です。

IPアドレスによる制限は、クラウドサービスへの接続時に端末のIPアドレスをチェックし、許可されたIPアドレス以外からのアクセスを遮断します。この方法は社内など、特定の場所での利用を前提にしたアプローチだといえます。社外のWi-Fiアクセスポイントや、携帯電話事業者の通信網を経由してアクセスした場合には、IPアドレスが変わってしまうからです。つまり「どこからでも利用できる」というクラウドサービスの最大のメリットが、享受できなくなるわけです。

これに対して端末証明書による認証は、クラウドサービスにより適した手法だと言えます。

端末証明書は、PKI(Public Key Infrastructure:公開鍵基盤)を利用したデジタル証明書の一種です。PKIとは公開鍵暗号を使用し、通信の暗号化や本人確認を行う仕組みです。公開鍵暗号では、暗号化と復号で対となる2つの鍵を使用します。1つは公開鍵、もう1つは秘密鍵です。一方の鍵で暗号化したものは、もう一方の鍵で復号可能です。例えば秘密鍵で暗号化を行った文書は、公開鍵で復号できます。逆に言えば、ある公開鍵で復号可能な文書が送られてきた場合、その送り主は「その公開鍵と対になる秘密鍵」を保有していることが証明できます。これによって本人確認を行うことが可能になるのです。

端末証明書は端末にインストールして使用します。IPアドレスのように、接続されるネットワークによって変化することはありません。またネットワーク上で盗聴することも困難です。攻撃者が直接端末を操作して証明書をエクスポートすれば盗み出すことも可能ですが、自分の端末を他の人に触らせないようすれば、この問題は回避できます。

問題点は対応サービスが少ないこと

ただし、端末証明書に対応した認証を行っているクラウドサービスは、現時点では決して多くありません。そこでお勧めしたいのが「OneLogin」の活用です。

OneLoginは4,000以上のサービスに対応した、SaaS型のシングルサインオンサービス。利用したいサービスを事前に登録しておけば、OneLoginにログインするだけで、各サービスへのログインを行う必要がなくなります。OneLoginへのログインは、ユーザーIDとパスワードによる認証に加え、ブラウザー向けのユーザー証明書による簡易的な端末制限もサポートしています。つまり統合認証基盤としてOneLoginを活用すれば、より強固なセキュリティを確保できるのです。


 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  価格  資料ダウンロード