明日の認証会議 1st Session 情報システム部門は スマートデバイスにどう向かうべきか ~ 利用者の利便性を向上させつつ セキュリティを強化する方法 ~ 株式会社オージス総研サービス事業本部テミストラクトソリューション部 三田善啓 2014/09/02( 火 )
ThemiStruct のご紹介 ThemiStruct はシステムの 連携 を実現します ThemiStruct は企業の様々なシステムの 連携 を実現する 6 つの IT 基盤ソリューションから成っています 企業を取り巻く様々な IT 環境の変化と要求にお応えできるよう 日々進化し続けています シングル サインオン 社内とクラウドをシームレスにつなぐシングルサインオン ワーク フロー ID 配布 管理 電子証明書の 発行 と 管理 をシンプルに実現 電子証明書 配布 管理 サーバー 監視 ワンタイム パスワード
アジェンダ 1. 企業システムの環境変化とセキュリティ脅威 2. クラウド / スマートデバイス時代に求められる 認証 とは? 3. スマートデバイスを便利に かつ セキュリティを強化するキーワード
企業システムの環境変化とセキュリティ脅威
( 従来 ) 境界セキュリティによるシステム利用 ファイアウォールによる内部 / 外部のセキュリティ境界情報資産はすべて企業内部ネットワークのなかで管理 利用者 インターネット V P N F/W 企業内部ネットワーク 利用者 認証基盤 情報資産
( 現在 ) クラウド利用時のシステム利用 企業外部ネットワークのなかで 情報資産が管理されている いまや 内部 / 外部の垣根がなくなっている 利用者 情報資産 インターネット 情報資産 V P N F/W 企業外部ネットワーク 企業内部ネットワーク 利用者 認証基盤 情報資産
( 現在 ) スマートデバイスの普及 スマートデバイス ( スマートフォン タブレット ) の普及率を考えると 業務での活用を考えねばならない ユーザの声 時と場所を選ばす すぐ使えるので 業務で使えたら営業効率が上がるのに 社用メールの確認ができたらいいなぁ PC で VPN 接続するのは面倒なので タブレットでつなぎたいなぁ スマートデバイス利用ユーザの増加
Cloud First, Mobile First
Cloud First, IT システムを選択する際に パブリッククラウドを第一の選択肢とする 適応領域が増えた Web アプリだけでなく 基幹系 情報系など様々な業務 Cloud Mobile First, Mobile First First ベンダーの対応がされた SAP など オンプレで使っていたアプリがクラウド上で利用可能に データセンターの場所が日本にデータの所在が明瞭になってきている 供給側のプレイヤーが増え 利用者の選択肢は増大
Mobile First スマホ向けのサービスを PC 向けより先に ( 同時に ) 公開する いつでもすぐにつかえる では 具体的に Mobile First どうなったのか? PC の なんでもできる が最適化され 時と場所を問わず使える 業務効率化のツールとしての役割 時と場所を選ばず アクションを起こせるようになり 業務の効率化やビジネススピードの向上が図れる モバイル活用の競争が激化いかに活用し ビジネスに活かすかを競う 今やモバイル無しでは回らない社会に
ん 待てよ!? セキュリティはどうすれ ばいいんだ?
パスワード漏えいによるセキュリティ脅威 ショルダーハッキング ( 覗き見 ) アカウントが漏洩したサイトから入手した ID とパスワードリスト 3% パスワード漏洩 4% 6% 19% 0% 2% 43% 利用者から聞き出し のぞき見利用者の設定 管理の甘さ元従業員や知人 23% スパイウェア 総務省統計平成 24 年度
パスワード漏えいによるセキュリティ脅威 F/W で守られている企業内部ネットワークには接続できないが 社外の情報資産にはアクセス可能 漏えいリスクが高い 情報資産 インターネット 情報資産 F/W 企業外部ネットワーク 企業内部ネットワーク 利用者 認証基盤 情報資産
端末からのセキュリティ脅威 企業管理外デバイス 情報資産 個人 PC 上に情報資産をコピー 情報資産 スパイウェア経由で入手 情報資産 スパイウェア 端末紛失? 情報資産
クラウド モバイルを利用して クラウド モバイル 活用して業務効率を上げたいという目的をお忘れなく 情報漏洩リスク クラウド活用したい!? セキュリティ モバイル活用したい!
クラウド / スマートデバイス時代に求められる 認証 とは?
にんしょう 認証 行為 文書の存在とか, 行為 文書の記載が正当な手続でなされたことを公に証明する行為
境界セキュリティにおける 認証 システム利用のための認証 ガバナンス強化のため ID 統合やシングルサインオンによる統制 利用者 インターネット V P N F/W 企業内部ネットワーク 認証 利用者 認証基盤 情報資産
クラウド利用時の 認証 クラウド時代では 認証技術こそがセキュリティ境界となっている 認証 利用者 情報資産 インターネット 情報資産 V P N F/W 企業外部ネットワーク 企業内部ネットワーク 認証 利用者 認証基盤 情報資産
ITシステム 使う人 場所 デバイス 様々な 変化 が起こっています ソーシャル サービス 外 攻撃者 認証 家 オンプレ 会社
パスワード認証 限 界
パスワードに頼る認証の限界 niconico への不正ログイン 2014 年 6 月上旬 何らかの方法で入手した ID とパスワードのリストを使用した リスト型アカウントハッキングと呼ばれる攻撃が発生し 不正に利用されたアカウントが 17 件 被害総額が 17 万 3713 円となった LINE への不正ログイン 2014 年 6 月上旬 こちらも同様にリスト型アカウントハッキングが発生 不正ログインされたアカウントでは 利用者になりすまして 友だち に対して金品を要求するようなメッセージを送信する事案が出ている mixi への 430 万回超のログイン試行 2014 年 6 月上旬 こちらも同様にリスト型アカウントハッキングが発生 不正ログインを受けた ID 数は 26 万アカウントを超える
セキュリティ強度のアップ ~ 多要素認証 ~ 多要素認証で不正なログイン試行をブロック ID パスワード認証 + OTP/ 電子証明書 ID パスワード認証 会社の IT 資産をスマホから活用したい Mail 会社の IT 資産を会社の PC から活用したい パスワードリストで攻撃してやる 外出ユーザ A さん 悪意を持ったユーザ C さん 会社の IT 資産クラウドサービス 社内ユーザ B さん 社外からアクセスするユーザは ID とパスワードの他に もう 1 要素認証情報を入力させる OTP を表示できない ( 電子証明書認証を持っていない ) 多要素認証を社外ユーザに課すことで 不正アクセスを防止することができる
セキュリティ強度のアップ ~ 多要素認証 ワンタイムパスワード ~ ワンタイムパスワード認証 人に対する認証強化 入力 OTP 表示 ID パスワード OTP ID パスワード OTP OTP を表示するデバイスと OTP を入力するデバイスを分離しておけば 万が一 デバイスを乗っ取られても情報資産へのアクセスは防止できる OTP が毎回変わるから アクセスできない!! 情報資産 パスワード漏洩によるセキュリティ脅威に対応
セキュリティ強度のアップ ~ 多要素認証 電子証明書 ~ 電子証明書認証 デバイスに対する認証強化 管理ポリシー 会社支給端末なので スマートデバイスの管理ポリシーが適用されている 証明書あり 情報資産 証明書なし スパイウェア等のリスク 個人所有のスマートフォンだから アプリを自由にインストールしよう 電子証明書認証に加えて セキュリティブラウザを組み合わせることによって BYOD やデバイス紛失の脅威に対応できます
認証技術に関するまとめ Cloud First, Mobile First により ユーザーのワークスタイルや企業が持つ システムに大きな 変化 が見られます 様々な 変化 が起こっていますが それらを繋ぐ 境界 にあるのは 認証 です 変化 に対応できる 境界 としての役割を担う 認証 の重要性
スマートデバイスを便利に かつ セキュリティを強化するキーワード
環境の変化 によって 考慮事項が増える 営業 です エンジ ニア 悪い人 です 社外からの利用 利用者 です 攻撃への対策 VDI SaaS IaaS オン プレ スマホ クライアントの変化 難しくない システムの変化 使いやすい マネー 現行踏襲 お金
スマートデバイスの使い勝手とセキュリティ 使い勝手? セキュリティ スマートデバイスの使い勝手を損なわないでセキュリティを強化したい
VDI(Virtual Desktop Infrastructure) 外出先でも スマートデバイスを利用して 社内と同じように仕事が可能です < 社内 > < 外出先 > 証明書サーバ VDI サーバ インターネット SSL-VPN VDI クライアント スマートデバイスから SSL-VPN 経由で 仮想ソフトウェアで接続する 外出 クライアントは仮想ソフトウェアだけが起動すればいい
認証連携 認証基盤を利用して 社内アプリとクラウドを繋ぎます VDI と比較して 既存資産を利用することができます < 外出先 > 会社支給端末は証明書認証 それ以外の端末は OTP 認証と デバイスによって認証方式を使い分けもできます < クラウド > < 社内 > 認証連携 インターネット 多要素認証 認証基盤 スマートデバイスから SSL-VPN 経由で 仮想ソフトウェアで接続する 証明書サーバ SSO 対象アプリ
セキュリティブラウザ セキュリティブラウザでデータの堅牢性を保証 なかなか防ぐことのできないデバイスの紛失から 情報漏洩につながる ( メール ID/PW セッション情報 電子証明書 )? 上記のようなインシデントに対し JMAS 様のセキュリティブラウザ KAITO が非常に有効です
セキュリティブラウザ 端末に情報を残さないことで 情報漏洩を撲滅 セキュリティブラウザ KAITO を使っていない場合 セキュリティブラウザ KAITO を使っている場合 空 参照したデータが端末に残ってしまう 参照したデータを端末に残さない KAITO 未導入だと デバイスの紛失 盗難の際 重要情報が第三者に閲覧される可能性があります
個人の ワークスタイル や企業の 実現したいこと が変化 求められるセキュリティ要件が高度化 複雑化している
本セッションのまとめ 今後 ますます クラウドの活用 スマートデバイスの活用 が求められる 環境の変化とともに 新たに発生するセキュリティ脅威に対応しなければならない だれでもアクセスできるクラウドサービスの情報資産を守るため 多要素認証が必須である セキュリティと使い勝手の両立を目指すキーワード VDI(Virtual Desktop Infrastructure) 認証連携 セキュリティブラウザ 次セッションより 具体的事例を紹介します