企業を取り巻くビジネス環境は、ここ数年で大きく変化している。特にクラウドサービスやスマートデバイスの普及が、多くの企業に対し利便性や業務効率の向上、コスト削減といった成果をもたらしていることは周知の通りだろう。しかし一方、こうしたビジネス環境の変化は、新たな課題も生み出している。
利便性の低下とセキュリティリスクに悩む企業が増加
クラウドサービスも含め、ユーザーが利用する業務アプリケーションが増えれば、それだけ普段から使用するID/パスワードも多くなり、結果としてそれは利便性低下と管理工数の増加につながる。また、標的型攻撃に代表される高度なサイバー攻撃が急増したことを受け、ID/パスワード管理の甘さが及ぼすセキュリティリスクもまた、増大の一途をたどっているといえよう。
クラウドサービス/スマートデバイスの普及により、利便性や業務効率の向上、コスト削減などが可能になったが、同時にそれは新たな脅威も生み出した。ID/パスワード管理の甘さが重大なセキュリティリスクを招いているのだ |
これまでのID/パスワードに関する認識は間違いなく改める必要があり、このような現状に対応するべく、EMCジャパンでは4月14日にSaaS型認証プラットフォーム「RSA Via Access」の国内提供を発表した。同ソリューションはクラウドアプリケーションとオンプレミスのアプリケーションを統合したシングルサインオン(以下、SSO)環境を構築することで、利便性とセキュリティの両立を実現するものだ。本稿ではこのRSA Via Accessを例に、モバイルファースト/クラウドファースト時代において、どのような点に留意して認証システムの統合は進められるべきなのかを解説していきたい。
RSA Via Accessが実現する、利便性とセキュリティの両立
RSA Via Accessでは、アクセス経路がポータルに一元化されているため、ユーザーはあらゆるアプリケーションをシームレスに利用することが可能となる。さらに、アプリケーション/ユーザー/デバイス/ネットワークなど、条件に応じて認証レベル設定が行えるほか、生体認証やFIDO準拠のトークンといった多要素認証を追加することで、高度化を増すサイバー攻撃に耐えうるセキュアな環境も担保できる。オンプレミス環境に設置するRSA Via Access Identity Routerが社内の認証サーバを中継する仕組みを持つ同ソリューションであれば、ID/パスワード情報がクラウド上に保存されることがなく、悪意ある第三者の攻撃からID/パスワード情報を守ってくれるわけだ。
RSA Via Accessと仮想アプライアンスとして提供されるRSA Via Access Identity Routerをもったハイブリッドの認証システムにより、昨今課題となっている利便性とセキュリティの担保が可能 |
それでは、既に多くのアプリケーションが運用されている企業においては、どのようなフローと視点をもって認証システムの統合をすすめればよいのか。
統合のフロー - 2つの統合フローと、「準備フェーズ」の重要性
2つの統合フロー
実際に業務アプリケーションのID/パスワードを統合する場合、そこには大きく「一括統合」と「段階的統合」の2つ選択肢がある。
一括統合 すべてのアプリケーションについて、一括のタイミングでID/パスワードをまとめて統合する手法。事前の調査や準備にそれなりの時間と手間を要するが、統合されれば大幅に利便性とセキュリティが向上でき、管理負荷の軽減も実現できる |
---|
段階的統合 優先度の高いアプリケーションから、段階的にID/パスワードの統合を進める手法。スピード感高く認証システムの整備が進められる一方で、当然ながら恩恵の範囲は統合対象となるアプリケーションのみとなる |
---|
双方ともにメリット・デメリットを持ち合わせているが、優先度の高いアプリケーションがある程度限られていたり、実務への影響をできるだけ抑えたいような場合は、段階的統合を選択すると良いだろう。システム刷新のタイミングがある場合であれば、一括統合の手法が適しているといえる。
重要視すべきは「準備フェーズ」
いずれのパターンであっても、統合作業自体は、1~2週間程度で完了ができる。認証システムの導入において重要なのは、社内で使われているID/パスワード情報を精査する「準備フェーズ」だ。この準備フェーズでは、各ユーザーが使用しているID/パスワードをまとめるだけでなく、アプリケーションごとに異なる認証形式や仕様のチェックも求められる。ID/パスワードの統合作業で、一番の肝となる部分がこの準備フェーズなのである。クラウドアプリケーションも含めて認証システムを統合する場合、特に注意すべき点がある。
クラウドアプリケーションも含めた認証システム整備 - 注意点 クラウドアプリケーションは導入が容易なことから、部門やグループ単位で導入しているようなケースがあるが、くれぐれもこれらの見落としがないようにしたい。また、退職した社員のID/パスワードが有効なまま残っていたり、ひとつのID/パスワードを複数人で使い回しているような状況は、セキュリティリスク増加の要因となる。こうしたセキュリティ上の「穴」や「綻び」を埋めるためにも、準備フェーズでは十分注意する必要がある |
---|
そのほか、SSOでID/パスワードを統合すると、経営者層など一部で限定的に使っていたアプリケーションが、全社的に公開されてしまうようなケースも考えられる。このような状況を防ぐには、ユーザーごとにアプリケーションの表示・非表示を設定できるよう、ユーザー属性や部門情報などもまとめておくようにしたい。
アプリケーションとアクセス元の情報で認証レベルを設定し、強固なセキュリティを
RSA Via Accessの利点は、アプリケーションやユーザーグループ、アクセス元の環境など、さまざまな条件ごとに認証レベルを設定できる点も挙げられる。認証レベルの設定については、アクセス先である「アプリケーションの種類」と、アクセス元である「ユーザー、デバイス、ロケーション」の二軸にわけて考えるとよいだろう。
アクセス先 - アプリケーションの種類 企業の中には、利便性よりもセキュリティ強度を優先するべき重要なアプリケーションが存在する。まずはこれらをリストアップし、どこまでSSOの対象に含めるかもしっかりと見極める必要がある |
---|
アクセス元 - ユーザー、デバイス、ロケーション システム管理者から取引先にいたるまで、業務アプリケーションを利用するユーザーは多岐に渡る。また、アクセス元のデバイスも、専用デバイスだったりBYODのデバイスだったりと、そのセキュリティレベルはさまざまであり、ここでも幾つかのグループで切り分けを行っておきたい |
---|
これらの二軸を考慮し、たとえば、社内PCから正社員がアクセスした時以外は追加の認証を用意する、社外からはVPN接続のみ許可する、など、アプリケーションの重要度に応じた認証設定を行うわけだ。基本的に“企業として守るべき情報資産”の優先度が高いほど、詳細かつ厳しい認証設定が必要になるといえよう。
なお、RSA Via Accessではいくつかのポリシーが標準で選択できるようになっているほか、同社の認証ソリューション「RSA SecurID」を始めとする多要素認証製品と連携を行うことが可能であり、企業のニーズに応じて最適な認証環境が整えられる。
アプリケーションとアクセス元の情報で認証レベルを設定し、強固なセキュリティを
冒頭で述べた通り、企業はいま、増え続けるID/パスワードに起因する利便性の低下、そして高度なサイバー攻撃がおよぼすセキュリティリスクの増大という課題を抱えている。本稿で紹介したRSA Via Accessは、増加するID/パスワード情報の統合で利便性を向上しながらも、セキュリティ犯罪から重要な情報資産も守ることができる製品だ。一般的にセキュリティと利便性はトレードオフの関係にあると言われているが、同ソリューションであれば、これらを両立する認証環境が構築できるのである。
クラウドファーストという考え方は驚くべきスピードで浸透している。RSA Via Accessがもたらすサービス価値は、昨今において大きく高まっているといえよう。先に触れたフローも参考に、ID/パスワードの統合をぜひ検討してほしい。
RSA Via Access 概要資料のご紹介
マイナビニュースでは、本稿で紹介したRSA Vis Accessについて、詳細をご説明する資料を提供しています。ぜひ、下記リンクよりダウンロードください。
<<概要資料をダウンロードする>>
※ダウンロードにはお名前や勤務先情報のご入力が必要です。
※個人情報の取り扱いにつきましては、ダウンロードページでご確認ください。
RSA Via Access セミナーを毎月開催EMCジャパンでは、RSA Via Accessに関するセミナーも毎月開催しています。「ID/パスワードが多すぎて利便性・生産性が低下している」「ID/パスワードの管理が困難」「情報漏えいが起きないか不安」といった悩みを抱える企業は、ぜひ一下記リンクより御申込みください。 <<申込みページはこちら>> 【5/31開催】増加するアプリケーションへの3つの課題とその解決※ EMCジャパンのサイトへ移動します |
---|
(マイナビニュース広告企画:提供 EMCジャパン)
[PR]提供: