なぜ今、認証プラットフォームの再考が重要か? ワークスタイルと共に変わる企業セキュリティ
悪意あるPC遠隔操作への対策としても有効
記事をお気に入りリストに登録することができます。
ビジネスパーソンの働き方が大きく変わってきている。ネットワーク経由で自社システムやクラウドサービスにアクセスし、時間と場所にとらわれず仕事をする人が増えてきた。利用するデバイスもPC、タブレット、スマートフォンなどさまざまだ。一方、ユーザー側の利便性が高まるにつれて、企業が負うべきセキュリティリスクはより増大することになる。そこで求められる重要なセキュリティ対策の1つが、“利用者の正当性を正しく見極めること”だ。
基本的なセキュリティ対策に加えて重要となるユーザー認証
ここ数年、企業ではコスト削減や利便性向上の観点からクラウドサービスの利用が大きく進み、それに拍車をかけるようにユーザーがビジネスに利用するデバイスの種類も多様化してきた。
また情報システムの重要度が増し、インターネットのビジネスシーンでの利用が加速し続けている昨今、BYOD(Bring Your Own Device:個人使用のデバイスを企業等の業務で利用すること)という新たなデバイスの利用形態も登場してきている。
さらに、インターネットの拡張期にはその匿名性からパーソナルユースのサービスが拡大した側面があったが、今日のビジネスユースでは、企業は匿名性は排除し、適切なユーザーに対して適切なサービスを提供しなければならない。
こうした状況を踏まえて、エントラストジャパン 営業部 部長の芳賀 悟氏は、企業に求められる重要なセキュリティ対策の1つとして、認証プラットフォームの構築を挙げる。
エントラストジャパン
営業部 部長
芳賀 悟氏
「今ではサービスやシステムの利用者がいる場所、あるいはサービスを提供する場所が地理的にも固定される必然性がない状況が生まれてきています。使用されるデバイスも、ビジネス用とプライベート用とで使い分けることが困難になってきている。こうした環境下で自社の情報資産を守っていくためには、大前提として、そのシステムやサービス、あるいはデバイスを利用しているのが正しいユーザーなのかを正確に見極める必要があります。そこで求められるのが、セキュリティ基盤としての認証プラットフォームです。」(芳賀氏)
一口にセキュリティ対策といっても、例えば悪意ある第三者が自社システム内に侵入することを防ぐファイアウォールや、コンピュータウィルスを検出/除去/復旧するためのウイルス対策ソフトなど、防御、予防、回復といったさまざまな観点がある。
「もちろんそのような基本的対策は必須ですが、悪意ある攻撃者もどんどん高度化してきています。利用権限を持つユーザーに成りすまして、システムやサービスに入り込み、さまざまな破壊活動や情報の盗み出しを行うようになってきている。そうした攻撃を防ぐために必要なセキュリティ上の観点が、“正しいユーザーかどうかをきちんと特定すること”なのです」(芳賀氏)
また現在では、先にも触れたようにデバイスの多様化が進み、“このデバイスを持っている人間は本当に正しいユーザーか” といったところまで確認する必要性が増してきている。
「日本企業では、経営マネジメント層の人が自分のID/パスワードを秘書と共有している場合があります。冷静に考えてみれば、例えば人事考課までが他人に見えてしまう状況になっているということです。ただ日常業務の便宜上、そうした使い方を会社として認めているのであれば、このレベルの情報にアクセスする場合にはID/パスワードだけの入力でいいが、重要な企業情報を見る場合には役員本人だけが持つ乱数表の文字列入力を行うなどして、認証レベルを高めるといった取り組みが必要です。」(芳賀氏)
また情報システムの重要度が増し、インターネットのビジネスシーンでの利用が加速し続けている昨今、BYOD(Bring Your Own Device:個人使用のデバイスを企業等の業務で利用すること)という新たなデバイスの利用形態も登場してきている。
さらに、インターネットの拡張期にはその匿名性からパーソナルユースのサービスが拡大した側面があったが、今日のビジネスユースでは、企業は匿名性は排除し、適切なユーザーに対して適切なサービスを提供しなければならない。
こうした状況を踏まえて、エントラストジャパン 営業部 部長の芳賀 悟氏は、企業に求められる重要なセキュリティ対策の1つとして、認証プラットフォームの構築を挙げる。
営業部 部長
芳賀 悟氏
一口にセキュリティ対策といっても、例えば悪意ある第三者が自社システム内に侵入することを防ぐファイアウォールや、コンピュータウィルスを検出/除去/復旧するためのウイルス対策ソフトなど、防御、予防、回復といったさまざまな観点がある。
「もちろんそのような基本的対策は必須ですが、悪意ある攻撃者もどんどん高度化してきています。利用権限を持つユーザーに成りすまして、システムやサービスに入り込み、さまざまな破壊活動や情報の盗み出しを行うようになってきている。そうした攻撃を防ぐために必要なセキュリティ上の観点が、“正しいユーザーかどうかをきちんと特定すること”なのです」(芳賀氏)
多様な認証方式に対応するユーザー認証プラットフォームが必要
これまでユーザー個人を認証する場合、システムやサービスへのログイン時に、IDとパスワードをセットで入力させるという方法が主流だった。しかしクラッカーの攻撃を受けたクラウドサービスからID/パスワードが流出するという事件は後を絶たず、これらだけの認証でユーザーを特定するのは現状、非常に心もとない。また現在では、先にも触れたようにデバイスの多様化が進み、“このデバイスを持っている人間は本当に正しいユーザーか” といったところまで確認する必要性が増してきている。
「日本企業では、経営マネジメント層の人が自分のID/パスワードを秘書と共有している場合があります。冷静に考えてみれば、例えば人事考課までが他人に見えてしまう状況になっているということです。ただ日常業務の便宜上、そうした使い方を会社として認めているのであれば、このレベルの情報にアクセスする場合にはID/パスワードだけの入力でいいが、重要な企業情報を見る場合には役員本人だけが持つ乱数表の文字列入力を行うなどして、認証レベルを高めるといった取り組みが必要です。」(芳賀氏)
この記事の続き >>
さまざまなビジネスシーンに応じた認証を可能にするには?
さまざまなビジネスシーンに応じた認証を可能にするには?
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
