エンドポイントのリスクは端末への不正ログインだけではない

前回の記事において、情報漏えいの原因として最も多いのがヒューマンエラーによるものであり、ノートPCやタブレットといった業務端末の紛失・盗難に対する対策が急務であることを説明した。紛失・盗難という状況の業務端末が悪意を持つ第3者の手にわたり、パスワードが破られ、内部に記録されている情報に自由にアクセスできるようになった結果、そうした情報が悪用される、というような不正利用を防ぐ手段として、モバイルセキュリティソリューション(MDM)の活用や、生体認証の導入などが高い効果をもたらすことにも触れたが、NTTデータの大谷氏によると、業務端末にまつわる重大なリスクは他にもあるという。ちなみに大谷氏は、情報セキュリティに関するさまざまな研究開発、脆弱性診断、コンサルティング、自社セキュリティ施策の実施、インシデント対応などに長年従事し、情報漏えいによる被害や情報セキュリティインシデントの発生確率の調査、被害の定量化についての調査活動を行っている、いわばセキュリティのプロだ。

NTTデータ 品質保証部 情報セキュリティ推進室 NTTDATA-CERTシニア・エキスパートの大谷尚通氏

大谷氏は次のように提言する。「最近では業務でもクラウドサービスの活用が進んでいますが、例えばクラウドストレージにビジネス上の機密情報を保存していた場合、万が一そのパスワードが破られてしまうと、情報漏えいによる被害は甚大なものとなる恐れがあります。そうしたアプリケーションアクセスの認証をいかに堅牢にするかが、これからのエンドポイントセキュリティでは問われているのです」

アプリケーションの認証に関しても、業務端末へのログイン認証と同様に、セキュリティレベルを引き上げるための基本中の基本は、より長く複雑なパスワードを設定することだ。しかしながら、アプリケーションに対して、個々に異なるパスワードを設定するとなると、どうしても人間の記憶が追いつかなくなる。その結果、同じパスワードの使い回しが発生してしまうのである。こうした使い方は、近年、脅威が叫ばれているパスワードリスト型攻撃のリスクが極めて高くなってしまうことを忘れてはならない。パスワードリスト型攻撃では、1つのWebサイトから漏えいしたIDとパスワードの組み合わせを他の様々なWebアプリケーションにも適用して不正侵入を試みるという手法であるため、どれだけ長く複雑なパスワードを設定していたとしても、同じものを複数のアプリケーションに適用していた場合にはまったく効果はないのである。また、だからといって、ID、パスワードを紙に書いたりファイルに保管したりしたのでは、今度はそれらの紛失・盗難のリスクが生じる。もちろん、アプリケーションごとに違ってはいるものの、覚えやすい単純なパスワードを使ったのでは意味がない。

生体認証でアプリケーションアクセスまでカバー

異なる複数の複雑なアプリケーション・パスワードを安全かつ簡単に使えるようにする手段として、昨今パスワード管理ツールが普及しつつある。ただし一般的なパスワード管理ツールの場合、マスターパスワードを使用しているため、業務端末とともにこのパスワードが破られてしまえば、やはりアプリケーションへの不正アクセスを許してしまうことになる。

こうしたアプリケーションの認証の問題についても有効な解決策となるのが、前回紹介した業務端末の生体認証だ。もちろん、アプリケーション側の認証に生体認証を用いているケースは、特にクラウドのWebアプリケーションの場合ほとんど考えられないだろう。しかし富士通が提供しているセキュリティソフトの「SMARTACCESS(スマートアクセス)」ならば、PCやタブレットでの生体認証をWindowsログオン時だけでなく、企業内の業務システムやクラウドサービスの認証にも適用することができるのである。すべてのアプリケーションのIDとパスワードをあらかじめ「SMARTACCESS」から登録しておけば、業務端末側の生体認証で適切なユーザーであることを確認した後に、IDやパスワード入力を「SMARTACCESS」が代行してくれる仕組みだ。このため、アプリケーションごとに異なる複雑なパスワードを設定したとしても、忘却や漏えいの心配もなく簡単に利用できるようになるのである。

「SMARTACCESS」を用いたアプリケーションログオンのイメージ。「SMARTACCESS」に手入力だったID、パスワード入力を登録するだけで、アプリケーションそのものを改造することなく、「SMARTACCESS」がアプリケーションごとに異なっていたIDやパスワードの入力を代行してくれるようになるため、生体認証によるハイセキュアな本人認証の実現と利便性の両立を手軽に実現できるようになる。 ※ 画面はイメージで実際と異なる場合があります

スタンドアロンで動作するタイプの「SMARTACCESS/Basic」であれば、前回紹介した手のひら静脈センサーなどを内蔵した富士通の法人向けノートPC「LIFEBOOK」シリーズや法人向けタブレット「ARROWS Tab」シリーズにこれまた標準添付されている。つまり、富士通の法人向け業務端末を購入すれば、追加のコストや手間をかけずとも、すぐに生体認証によるWindowsログインとアプリケーションのログインが可能となるのである。さらに複数の業務端末の生体情報やスマートカード情報、ID・パスワードの一元管理が可能な「SMARTACCESS/Premium」と「Secure Login Box」も用意されている。

生体情報や代行入力するID/パスワードのデータをアプライアンスサーバ「Secure Login Box」で一元管理することで、「Secure Login Box」配下にあるどのPCからでもユーザーは「SMARTACCESS/Premium」を介してログオンすることができるようになる

大谷氏は生体認証の信頼性についてこう語っている。「セキュリティの世界では、まず新しい攻撃手法が先に登場して、後からその対策が考案されるというのが一般的です。しかし、認証技術に関してはその逆で、守る技術が先に生まれるという特徴があります。となると、攻撃者は破るための手法を考えて実行しなければならなりません。それが生体認証ともなると手間がかかりすぎるので、不正を行っても採算が合わないと攻撃者は考えるかもしれません」

つまり、業務端末に生体認証に導入しておくだけでも、内部不正に対して高い抑止効果が期待できると言っていい。そして何よりも、業務で使用するアプリケーションが多様化するなか、高い安全性を担保しつつも、ユーザーの利便性も向上させることが、セキュリティ対策を単なるコストで終わらせないための鍵となるのである。そこで次回では、エンドポイントのセキュリティ向上と業務の効率化の双方を実現する、生体認証をはじめとした様々なソリューションについて詳述することにしたい

富士通では法人向けノートPC「LIFEBOOK」シリーズや法人向けタブレット端末「ARROWS Tab」シリーズで、手のひら静脈認証センサーを内蔵したモデルを提供している

高いユーザビリティとセキュリティを両方実現する富士通PC/タブレット生体認証ソリューション


1.手のひら静脈認証内蔵ノートPC/タブレット

富士通では、手のひら静脈認証や指紋認証を内蔵した法人向けPC/タブレットを提供している。SMARTACCESS/Basicが標準添付されているため、PC/タブレット単体でも、利便性が高く、セキュアな運用が可能になる。

富士通では、モバイルノートPCやタブレットに手のひら静脈センサーを内蔵し、法人向けに提供している


2. ID/パスワードの入力を代行し、利便性を向上させる「SMARTACCESS」

富士通では、手のひら静脈認証を始めとする生体認証やFeliCa/スマートカード認証などにより、Windowsのログオンやアプリケーションのログオンに必要なIDやパスワード入力を代行するソフトウェア「SMARTACCESS」を提供。システムごとに異なるパスワードをそれぞれ記憶、入力する必要がなくなるほか、複数システムログオン時にも1度の認証だけで済ませられるシングルサイオンにも対応している。

これまで手で入力していたIDやパスワードの入力をセキュリティデバイスにより代行することで、確実な本人認証を実現しつつ、アプリケーションごとに異なっていたIDやパスワードを管理、入力する必要がなくなるので、ユーザーの利便性も向上させることができる。ログオンやアプリケーションなど、対象のIDやパスワードをSMARTACCESSから登録するだけで設定も完了できるため、導入もスムーズに行うことができる


3. 生体認証データを一元管理できるアプライアンスサーバは低コストかつスピーディーに導入可能

富士通の提供する、専用ソフトと専用ハードが一体となったアプライアンスサーバ「Secure Login Box」を活用することで、手のひら静脈や指紋といった生体情報データ、「SMARTACCESS」で代行入力するIDやパスワードのデータを紐付けて、PC/タブレットに依存せず一元管理することができるようになる。ユーザーは「Secure Login Box」配下のどのPC/タブレットからでも利用することが可能だ。

アプライアンスサーバ「Secure Login Box」を活用することで、数千ユーザー規模の生体情報などによる代行認証に必要なデータを一元管理できるようになり、業務端末にID/パスワード情報を置かず、各PC環境に各種ログオン方法を依存しない運用を可能にする。サーバとつながっている黒いボックスは外付文字表示装置で、「Secure Login Box」の状態を可視化できる