Pages

2015年10月23日金曜日

事業貢献ITと認証基盤

Be.Cloud通信戌亥です。

最近B2Bのポータルのご相談を受けることが多くなりました。いわゆる事業貢献ITっていうやつです。これまでのシステムは社内の業務効率化が多かったのですが、最近は売上貢献にITをつかうという要望が多くなってきております。

それでは事業貢献ITを構築する場合に最低限やっておかなければならないことはなんでしょうか?もちろんそれはセキュリティです。その中で最も重要なのが認証になるわけですが、認証ってどうしてますか?

「パスワード管理しっかりやっています」
「SSLいれて、暗号化もやっています」

これはもちろん重要なのですが、もう一歩踏み込んで考えてみませんか?

そもそも、認証ってなんでしょうか?

「ID/パスワードが合っているということでしょう」

それも重要ですが、それだけでは十分ではないかもしれません。認証とは本人確認の手段であるとかんがえてくください。

「本人確認って、ID/パスワードが合っていれば本人でしょう」
「それ以外のことをやる必要あるの?」

B2Bポータルでお客様に利用してもらうのであれば、お客様が安心して利用できるインフラを構築しなければなりません。ID/パスワードは確かに本人しか知らないはずの情報でログインしているので、他人が入れないはずなのですが、そのID/パスワードが誰かに漏れた場合はどうしますか?

「もれたら!って、タラレバを言われても」
「他に方法あるの?」

本人確認をするには、「本人が知らないこと」と「本人しか持っていないもの」の2つの要素を活用して認証をするとよりセキュアに確認できます。本人しか持っていないものとはカードなどですが、カードは結構お金がかかるので、本人がもっているスマートフォンなどを活用する方法もあります。スマートフォンには電話番号が付いているので、その電話番号にSMSなどを使ってワンタイムパスワードを送り入力してもらうやりかたです。

例えば、Google Appsなどで2段階認証を登録しておくと、初めて利用するブラウザからのログインに対しては、SMSにワンタイムパスワードが送られて、それを入力しないとログインできないようにしています。誰かがログインパスワードを盗んでログインしようとしても、その時にはスマホに通知される仕組みになっています。

B2Bのでもこのような仕組みを検討してはどうでしょうか?

詳しいことは11/4のセミナーでご覧ください
↓ここで申し込みを・・・
http://www.unirita.co.jp/seminar/program/20151104bec_aws.html




0 コメント:

コメントを投稿