Pages

2015年1月26日月曜日

シングルサインオンの有用性 〜パスワードの使い回しをしていませんか?〜

Be.Cloud通信戌亥です。

いきなりですが、1/22の日経コンピュータを読みましたでしょうか?リスト型攻撃の脅威について書かれています。最近自分のアカウントのパスワードを変更をしなければならないような事態になっていたとしたら、疑った方がいいかと思います。その時は利用しているすべてのサイトのアカウントを見直さなければなりません。

本日は企業でクラウドサービスを利用する際にセキュリティ上考慮すべきことについて話をしたいと思います。

リスト型攻撃

リスト型攻撃とはリスト化されたIDとパスワードのコンビネーションを片っ端から様々なサイトで試してログインしてアカウントをのっとるやり方です。

この攻撃の背景となっているのが、パスワードの使い回しです。最近はユーザIDとしてメアドを利用するケースが多いため、メアドとパスワードのコンビネーションが漏れてしまうと攻撃の脅威にさらされます。

記事の中では利用者の9割以上がパスワードを使い回しており、50%の以上の人が2〜3組のパスワードをつかって、様々ななサイトにログインしているという統計がでております。

この対策をどのように考えていますでしょうか?

「うちの会社ではISMSでセキュリティポリシーを決めており、1ヶ月に一回パスワードを変更することになっているため大丈夫だ!」

本当にそういいきれるでしょうか?従業員がパスワードポリシーを守って、一ヶ月に一回パスワードを変更していると言い切れますか?

「その対策としては、従業員にセキュリティポリシーを守るように誓約書を交わしております」

確かに会社の責任の回避にはなるかもしれませんが、それでもアカウント乗っ取りの危険にさらされていることには代わりません。もっといい方法はないのでしょうか?

企業ではクラウドサービスの利用が進んでいます(2015年のクラウドを予想を参考)が、既に10以上のクラウドサービスを利用しているお客様もおられます。そしてそのほとんどは、個別にサービス事業者が管理する認証の仕組みにログインして利用することが多いのが実態です。

企業でのクラウド利用

そもそも、企業でのクラウド利用は「会社」が「クラウド事業者」と契約をして、「従業員」が利用するという形式ですが、「会社」は「クラウド事業者」と「従業員」に認証とパスワードの管理を丸投げしていていいのでしょうか?
ここに会社が関われる余地がないのでしょうか?


本来ならば、契約主体である「会社」がISMSやPマークに従ったセキュリティポリシーを元に自分たちでIDの管理や認証基盤を構築すべきであります。しかし、現状は従業員やサービス事業者に契約書や誓約書で縛ることで、セキュリティ対策としているだけです。これでは、情報漏洩を防ぐ事が難しくなってしまいます。

間接認証

この問題を解決する為に、企業は「間接認証」を検討し、シングルサインオンの仕組みを構築すべきであります。間接認証とは、「サービス」と「認証」を分けて、サービス事業者以外の第3者が「認証」をする仕組みのことをいいます。これに対して、サービス事業者の認証を利用することを「直接認証」と呼ばれています。


個人利用では直接認証が多いのですが、会社が関わってクラウドサービスを利用する場合は、会社が認証の仕組みを提供して、認証とサービスとの利用を分離する方法がよく使われます。

間接認証がいいのは、リスト型攻撃のように、知らないところで、アカウントが乗っ取られるということがありません。また、認証の強度を上げる為には、認証側で2段階認証や2要素認証といったセキュリティの強化をすることができます。例えば、「ユーザIDとワンタイムパスワード」、「ユーザIDとセキュリティカード」等のように、2つの別の仕組みを組み合わせて認証することが可能となります。いずれも、企業内のセキュリティポリシーに合わせたセキュリティの強度策を作成することができます。

SAMLが標準

さて、実際に間接認証をするのは難しいのではないかという議論もあります。SAMLは間接認証の仕組みを提供する為に作られたプロトコルである為、SAMLを利用すれば、間接認証は簡単にできます。Google Apps、Office365、Salesforce等のクラウドサービスでは、SAMLに対応をしており、間接認証の仕組みを提供してます。しかし、それ以外のところは相変わらずサービス事業者が持つ認証の仕組み以外では認証を許していないところが多く見受けられます。

これらのサービスもSAMLに対応して、間接認証を許可するような仕組みが出来上がるまでは、少し時間がかかるかもしれません。しかしながら、ユーザ企業がセキュリティ強化の為にこのような仕組みを求めれば、サービス事業者はその声を無視することができなくなるでしょう。

今こそ、ユーザ企業が立ち上がりクラウド事業者に「間接認証」のサポートを要求していきましょう。



0 コメント:

コメントを投稿