前回の記事では、既存のWebサービスやアプリケーションへのログオン方法に、よりセキュアな認証方式が求められていることについて解説した。ここでは、2要素認証を導入するとビジネスの現場で実際に何が起こるのか考えてみたいと思う。
一見、ユーザーにはメリットがない?
現在のビジネスシーンにおいては、さまざまなツールやアプリケーションが普及している。勤怠管理や顧客情報管理、グループウェア、メール、ストレージなど、当たり前のように業務で利用しているものばかりだ。こうした社内システムやクラウドサービスが増える一方で、当然セキュリティの問題もついて回る。
こうしたセキュリティ対策の一つとして、2要素認証が挙げられる。そして2要素認証でもっとも普及しつつあるのがワンタイムパスワード(OTP)方式だ。実際に金融系のオンラインサービスを使っている人なら、すでに体験済みというユーザーも多いことだろう。しかしこの方式は、従来のID・パスワードの入力に加え、OTPを打ち込まないといけないため、人によっては負担を感じるかもしれない。また、ID・パスワードを管理するだけでも一苦労なのは言うまでもない。
これは筆者の個人的な意見だが、既存のOTP方式はセキュリティやシステム面が優先され、ユーザビリティはあまり考慮されていない。たとえば、銀行のオンラインサービスの場合、ログインで一つめのOTPを入力したのち、振込時にもう一度入力するケースが一般的だ。
さらに、デバイスを見ながら数値を打ち込むだけならよいが、乱数を求められるケースもある。銀行振込でこうした負担がかかることを考えれば、セキュリティ上は安全だとしても、ユーザーに対しては負担を強いているのが実情だ。
2要素認証デバイスによって大きく変わる“負担感”
この“負担感”が、普段業務で利用するアプリケーションや社内システムの中で発生した場合はどうだろうか? 一番避けたい状況は、せっかくコストや時間をかけて導入したアプリケーションや社内システムが、利用されなくなってしまうことだろう。それを回避するためには、ユーザーに負担を感じさせず、2要素認証をスマートに導入できる“デバイス”選びがもっとも重要になる。
そうした中注目されているのが、前回紹介したアメリカやスウェーデンを拠点とするYubico社が開発したUSB型の認証デバイス「YubiKey」だ。このサイズの筐体にOTPが最初から組み込まれており、自動出力のためパスワードを盗まれる心配がない。ユーザーはUSBポートに筐体を挿しボタンを押すだけで済むため、ユーザビリティも申し分ない。日本では、システム開発を手がけるソフト技研が代理販売を行いYubiKeyを活用したセキュリティのサービスやソフトウェアを展開している。
Windowsログオンの場合
では実際に、企業がこのYubiKeyを導入した場合、認証作業がどのように変化し、ユーザーにはどういったメリットがあるのだろうか。
「たとえば、企業で働く人が出社してから最初にやる作業といえば、PCの起動ではないでしょうか?YubiKeyを導入すれば、このPCのログオンがとてもシンプルになります」と語るのは、ソフト技研でチーフプロデューサーを務める高田敦子氏だ。
本連載の1話目でも少し触れたが、今後WindowsにおいてはWindows Hello認証システムが採用され、これを利用したデバイス認証によるシングルサインオンを前提とすることが決定しつつある。それだけにセキュアさが求められることになり、選択したデバイスよってはがんじがらめのログオン環境にもなりかねないのだ。
さらに高田氏は「もっともシンプルなケースを考えると、YubiKeyをPCへ挿し込んでおけばタッチするだけで認証が完了する設定が可能です。また、固定パスワードも設定可能で、記憶できない長く複雑なパスワードを自動出力できるので、それだけでも従来と比べれば安心できる環境です。また、パスワードとOTPの組み合わせによる認証も可能です。その場合も従来通りの入力に加えて、挿してあるYubiKeyにタッチする作業を追加するだけです」とYubiKeyの利便性を語る。
PCを起動し、ログオン時にYubiKeyが求められたら、ポートへ挿してタッチするというシンプルな動作でセキュアなログオン管理ができるというわけだ。そして高度なセキュリティが保たれたログオン方式でも、YubiKeyならユーザーに負担を感じさせず取り入れることが可能なのだ。
YubiKeyを使ったWindowsログオン
YubiKyeを使った場合、Windowsへのログオンひとつとっても様々な設定が可能だ。
■YubiKeyをタッチするだけの簡単ログオン
1.Windows側のパスワード設定はオフにしておく
2.設定ツール「YubiOn Windowsログオン」をインストールする
3.設定ツールを起動してYubiKeyを登録、「YubiOn」を有効にする
4.設定完了。とてもシンプルだがWindowsへログオンする際、指定のYubiKeyでしか入れないので従来よりも高いセキュリティを持った認証ができるようになる
■YubiKeyでアカウントID+パスワード+OTPの複合ログオンを設定する
1.Windows側のパスワードを設定しておく
以降は上記「2」からの設定と同様
Webサービスなど既存のビジネスアプリケーションの場合
次に、日々の業務で利用しているビジネスアプリケーションにおいてはどうだろうか。
ソフト技研でクリエイティブデザイナーを務める星野智子氏は「先進的なアプリケーションでは、すでに2要素認証に対応しているものもあります。その場合は、特別な設定の必要はなく、アプリケーション側で設定していただければ、ログインにYubiKeyが利用できるようになります」と語る。
すでに多くの企業が採用しているビジネスアプリケーションとしてはGoogle社の「Google Apps」がある。このサービスの管理画面を見る人はさほど多くはないと思うが、実はここに2要素認証のオン・オフの設定が用意されている。この機能を使う場合、一般的にはSMSによる一時パスワードの発行などが有名だが、作業コストも時間も必要になる。しかし、YubiKeyならタッチするだけで2要素認証環境が構築できるのだ。
「今後も便利なツールやサービスはますます増加していきます。2要素認証を使用する、しないに関わらず、このままではパスワードを運用するコストは増える一方です。YubiKeyを使用すればパスワードの変更やSMSの受信・入力からも解放され、人はツールやサービスを使うことだけに集中する環境を、セキュアな認証のもとに実現できます。」(星野氏)
YubiKeyを使ったGoogle Appsログイン
Googleアカウントにセキュリティキーを追加する
参考:https://support.google.com/accounts/answer/6103534?hl=ja
1.「アカウント」リンクから「ログインとセキュリティ」の項で[Googleへのログイン]ページに移動
2.[2段階認証プロセス]をクリックし、[開始]ボタンをクリック
3.テキストメッセージ(SMS)または音声通話のいずれかで認証コードを取得
4.認証コードを入力し、2段階認証プロセスを[オンにする]をクリック
5.2段階認証プロセスの[セキュリティキーを追加]をクリック
6.セキュリティキーをUSBポートに挿してタッチして設定は完了
次回のログインからは、パスワード入力後、セキュリティキーのタッチをするだけでよい。 SMSの発行等を経ずに、2段階認証が可能だ。
今から始めておいて損はない
ここに挙げたのは一例にすぎないが、YubiKeyのように多要素認証を前提としたデバイスで認証管理ができる場合、ユーザーが感じる負担は最小限で済む。それどころか、今まで紙にメモしていた煩雑なID・パスワード管理から脱却し、USBドングル一つで、会社で利用しているIT環境への認証作業が終えられるメリットは計り知れない。
「実際に導入いただいている企業のユーザーからは、『パスワードの管理が非常に楽になった』、『パスワードを覚える必要がなくなった』など、喜びの声をいただいています」(高田氏)
現状のIDと静的パスワードによる認証環境にも対応できるので、先んじて導入を始めたとしても決してデメリットはない。
「これだけWebサービスやクラウドサービスが普及している現状では、少なくとも2要素認証が求められるケースは近いうちにやってくるはずです。その時になって慌てないように、今からどのような認証環境が大切かぜひ考えていただきたいです」(高田氏)
ソフト技研では相談ベースはもちろん、企業特有のIT環境による技術的な悩みまで受け付けている。従来の認証環境に疑問を感じたら、すぐに問い合わせてみると良いだろう。次回は、企業がYubiKeyを導入した際の管理者側におけるメリットと、YubiKeyの認証を簡単に既存のアプリケーションに組み込むことができる「YubiOn」について紹介する。
ソフト技研では、YubiKeyを活用したソリューションを「YubiOn」として提供中。詳細は下記の通りだ。
・YubiOn Windows ログオン
・YubiOn 認証サービス
・YubiOn シングルサインオンサービス
・YubiOn セキュアライブラリ
・YubiKey Webサイト
(マイナビニュース広告企画:提供 ソフト技研)
[PR]提供: