ID・パスワードが盗まれても不正ログインされない対策とは。SaaSのセキュリティ対策最前線

ID・パスワードによる情報保護は限界

Sansan、Office 365、Salesforceなど様々なSaaSサービスにより、業務の効率は格段に高まりました。クラウドの特性を活かして、リモートワークに効果的に活用するケースも増えてきています。一方で、情報漏えいなどのセキュリティリスクへの不安は共通の課題です。

例えば、利用するサービスの脆弱性を突いた攻撃によりパスワードを盗まれて悪用されるセキュリティ事故や、フィッシング詐欺・ビジネスメール詐欺に起因してアカウント情報を騙し取られる情報漏えい事件は後を絶ちません。

(クリックすると拡大表示します)

ID・パスワードが盗まれてもログインされない対策とは

被害を抑えるにはどうしたらよいでしょうか?盗まれたパスワードによる不正ログインを防ぐためには、そのIDがシステムで誤って認証されるのを水際で防止するのが効果的です。認証のセキュリティを強化し、ID・パスワードが仮に漏洩してもログインされないよう、ID・パスワード+アルファの対策をとることが理想的です。

方法の1つに、社内のネットワークからのアクセスしか認めない「IPアドレス制限」があります。SaaSにアクセス可能なIPアドレスをあらかじめ制限することで、オフィスネットワーク以外の不正なアクセスをシャットアウトできます。IPアドレス制限は導入が容易ですが、細かな制御を行うのは難しく、例えば外出中の営業や、社外にアウトソースしたコールセンター、あるいは在宅勤務の方が利用しにくくなってしまうなどの制約があります。また、SaaS本来の利便性を享受できなくなってしまいます。

「IPアドレス制限」の応用として「IPアドレス制御」があります。社外からアクセスする必要があるユーザを限定させる方法です。ただし、これだけでは社外からアクセスするユーザのセキュリティが守られません。

別の対策として「多要素認証」があります。ID・パスワードというユーザの「知っている要素」に加え「ユーザしか持っていないデバイス」、または「ユーザの生体情報」を用いて本人確認を強化する方法です。これにより本人確認がより強化され、セキュリティは高まりますが、安全であるはずの社内ネットワークでも追加認証を要求されると利便性が下がってしまいます。

以上を踏まえて、「IPアドレス制御」と「多要素認証」を組み合わせ、社外ネットワークにいる時だけ「多要素認証」を要求するといったアプローチが効果的です。

(クリックすると拡大表示します)

複数のSaaSアクセスを一元管理できるIIJ IDサービス

利用しているSaaSが1つだけ、という方は現在では少なくなりつつあります。多くの企業は、インターネット上の魅力的なSaaSをいくつも組み合わせて利用することで競争力を高めています。一方、管理者の視点では、サービスごとにID・パスワードを設定し、セキュリティを管理するとしたら、利用できるサービスの数には限界があるでしょう。SaaSを業務に活用するためには、ID・パスワードや認証機能を一元的に管理し、より多くのサービスを便利に手間なく利用できる環境が欠かせません。

IIJ IDサービスでは、各種クラウドサービスに対して、不正ログインの検知やログイン防止ができる多要素認証機能のほか、クラウドサービスを効率良く利用するためのID管理機能とSSO(シングルサインオン)機能をクラウド型で手軽に利用できます。

ユーザが複数のサービスを利用する際、それぞれのサービスに別々にログイン操作を行うのは非常に面倒です。IIJ IDサービスを使うとユーザはログインを一度で済ませることができ、ストレスなく業務を遂行できます。管理者の視点でも、複数のサービスで個別にセキュリティを制御するという非現実的な運用を行う必要がありません。月額200円で、複数のSaaSへのシングルサインオン、AD連携、多要素認証の機能を利用できます。また、ADと連携して自動同期し、かつ、セキュリティ制御を自動強制できますので、ADFSの構築は不要です。

※Sansan株式会社主催のカンファレンス「Sansan Innovation Project 2019」(2019年3月14日~3月15日に開催)の出展レポートを、一部加筆修正しました。