前回の記事「ゼロトラストセキュリティ 最新状況とメリット」で「ゼロトラスト」対策の現状とその対策のメリットについて説明しました。
企業や組織が提供するサービスや置かれている環境によって、取り入れるべき対策は一通りではありません。ただし、ユーザーの利便性を可能な限り損なわないまま、セキュリティを向上させる対策の共通ポイントは「IDと認証管理」といえます。
今回は「IDと認証管理」がゼロトラスト対策のポイントになる理由と、その実装のために考えるべき内容を説明します。
シリーズ「ゼロトラストセキュリティとIDaaSの活用」
#1 ゼロトラストセキュリティ 最新状況とメリット
▶ #2 ゼロトラスト対策のポイントはIDと認証管理
#3 クラウド利用におけるゼロトラスト対策 これからのIDaaS
#4 クラウド利用におけるゼロトラスト対策 フィッシング耐性の高い認証
クラウド利用におけるゼロトラスト対策 Oktaの主なユースケース5選
なぜ「IDと認証管理」がゼロトラスト対策のポイントなのか
みなさんも実感しているように、社内ネットワークの内部でしかシステムを利用させない、利用しない、という時代からどこからでもシステムを利用する、という時代に変わってきました。利用するサービス自体もWEB上で提供されることが主流になっています。企業にとっては、多様な働き方・学び方の提供が人材や利用者確保とも密接に繋がるため、環境やデバイスを制限することも難しくなっています。
<環境変化の背景>
- 社外でのノートPC、スマートフォンなどの利用
- 在宅勤務などによるリモートワークの普及・定着
- SaaS、PaaS、IaaSと呼ばれるクラウド型サービスの利用拡大
- 個人所有のデバイス利用(BYOD、Bring Your Own Device)
デバイス利用において、会社と比べ、学校法人などでは、教職員のみならず、在学生・卒業生がつかうデバイスを制限・制御するのは現実的ではありません。同じ人であってもひとつのサービスに複数のデバイスからアクセスすることも多々あります。今は主にメールアドレスと個人が設定したパスワードを用いた個人認証が行われていますが、提供・利用するサービスの数だけ、その管理もバラバラの場合が多く、利用者も管理者も不便を感じているのではないでしょうか。
また、このような管理の煩雑さは管理不備につながり、不正アクセス・情報ろうえい・サービス侵害などセキュリティ面で悪用されるだけでなく、革新への壁にもなり得ます。
ゼロトラストセキュリティにおけるID・認証管理 3つのポイント
アプリケーション防御
ネットワークを信頼しないゼロトラストセキュリティでは、アプリケーションにアクセスしてくる時の認証(利用者本人であることの確認)の強化がより大切になります。従来の多層防御の考えとも合わせて、同じ人(ID)であっても、アクセスする場所(社内ネットワークか外部かなど)・デバイス(社用PCか個人のタブレットかなど)に応じて、多要素認証を加えることで不正なアクセスを防御する精度を高めます。
認可強化の必要性
ゼロトラスト対策では、アクセス権を最小化することも重要視されています。認可とは、利用者に正しい権限を与えることです。行う業務、利用するサービス、情報取り扱いの許可レベル、部署や学科などにより、アクセス可能なアプリケーションを正しく制御する必要があります。
すべてのログ分析の必要性
不審な挙動の検知、インシデント発生時の検証など、不正アクセスを検知するために、全てのアクセスログをIDやIPアドレス・デバイスなどの情報と紐づく形で管理する必要があります。
ID・認証管理強化に役立つIDaaSのメリット
ID・認証管理を実現するためのID統合管理の方法として「IDaaS」があります。IDaaSとは、これまで説明してきたゼロトラストセキュリティのポイントを押さえながら、ID・認証管理の基盤となるソリューションです。
今回はまず、IDaaSによるID・認証管理統合で得られる組織としてのメリット、利用者へのメリットをまとめます。
組織としてのメリット
- 人の入社・入学、退職・卒業、部署異動などに伴うIDの管理・運用業務の効率化
- オンプレミスとクラウドサービスのID統合管理による組織全般のセキュリティ向上
- クラウドサービス導入における運用負荷・リスクの軽減
利用者へのメリット
- 環境に縛られず必要なサービスを利用できる
- 各サービス毎のID/Password管理から解放される
- 乗っ取り・なりすましなどによる被害にあう確率の軽減
ID・認証管理強化を実現するには?
ID・認証管理強化の有効な方法である「IDaaS」導入のためには、次のような段階を踏む必要があります。
- 管理すべきIDとサービスの現状を把握する
既存Active DirectoryやLDAPなどユーザーアカウントのデータソースの確認
どのようなサービスにどのアカウントを持ってアクセスしているかの確認 - 導入方針の決定
導入目的とスケジュール、範囲となる利用者・サービス、セキュリティポリシーの策定 - 運用やツール構成の設計と検証
IDaaSを運用する上でのプロセス、テナント構成、ライセンス構成など - 運用開始
アプリケーション認証切り替え手順の整理などを実施
当社でのご支援
NHNテコラスでは、IDaaS製品として、グローバルでトップシェアを誇るOkta社が提供する、従業員のID・アクセスを統合管理するクラウド型サービス「Okta Workforce Identity Cloud」を取り扱っています。ライセンス販売から、検討段階のヒアリング・検証・導入支援も行います。
また、インフラ・ネットワーク支援として、ご利用中のAWS(Amazon Web Services)・GCP(Google Cloud Platform)の現状分析・診断を始め、構築・運用・監視を「C-Chorus」というサービス名で提供しております。
ご興味がある方は、お気軽にお問合せフォームからご相談ください。
シリーズ「ゼロトラストセキュリティとIDaaSの活用」
#1 ゼロトラストセキュリティ 最新状況とメリット
▶ #2 ゼロトラスト対策のポイントはIDと認証管理
#3 クラウド利用におけるゼロトラスト対策 これからのIDaaS
#4 クラウド利用におけるゼロトラスト対策 フィッシング耐性の高い認証
クラウド利用におけるゼロトラスト対策 Oktaの主なユースケース5選