ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 情シス事情を知る
  4. テレワークで浮上したセキュリティの脅威 クライアント証明書で防御を強化する
ここから本文です。

特集 情シス事情を知る

テレワークで浮上したセキュリティの脅威
クライアント証明書で防御を強化する

2022年6月

テレワークの急速な普及を受けて、セキュリティリスクの増大が懸念されている。リモート環境から企業システムへのアクセスが当たり前になり、不正アクセスなどが起こりやすい状況が生まれた。セキュリティリスクへの備えとして、最近は「ゼロトラスト」の考え方が強調されている。その方向を目指す上で、デバイスのセキュリティ対策は極めて重要だ。

クライアント証明書は有効な手段だが、その運用にはかなりの工数がかかる。この課題を解決するため、当社はクライアント証明書サービスを提供している。

テレワーク拡大に伴い、増大したセキュリティリスク

2020年初頭から続くパンデミック、これにより多くの企業でテレワークが定着したことで大きな課題が浮上している。それがセキュリティ対策だ。

従来は、企業ネットワークの内部を守るという「境界防御」が一般的だった。オフィスでイントラネットにつないで各種システムにアクセスするという前提なら、境界防御は一定の有効性を確保できる。テレワークによって、この前提が大きく変化した。在宅などの外部環境から、社内システムにアクセスする機会は急増。加えて、デジタルシフト、クラウドシフトの加速により、リモート環境からクラウドに直接つないで業務を行うケースが増えている。

IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」によると、組織への脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」は2020年にはランク外だったが、21年に3位、22年に4位と位置付けられている。ここ2年の環境変化が、この種のリスクを大きく増大させた。

テレワークに代表されるニューノーマルの働き方に関わるリスクを前にして、従来からの境界防御だけでは、十分なセキュリティ対策とはいえない。「境界の内側は信頼できる」という考え方から、「ゼロトラスト」を前提とするセキュリティ対策への進化を目指す必要があるだろう。その第一歩になりうるのが、情報の出入口ともいえるクライアントのセキュリティ対策である。

ID/パスワードのみの認証だと漏えいリスクがある

現状、PCやスマホの認証をID/パスワードのみで行っている企業は多いが、そこには一定の漏えいリスクがある。例えば、フィッシングメールなどを用いた標的型攻撃はますます巧妙化している。複数のサービスでID/パスワードを使い回しているユーザーもいるので、それを悪用すれば社内システムへの不正アクセスが可能になるかもしれない。

また、テレワークやクラウドサービス利用の普及に伴う通信トラフィックの集中を回避する目的で、クライアントから直接インターネット経由でMicrosoft 365などのサービスを利用する「ローカルブレイクアウト」の導入も進んでいる。このローカルブレイクアウトの普及とあわせて、個人所有のPCやスマホを業務に用いるBYODの活用も進んでおり、ID/パスワードによる認証のみでは許可されたデバイスからのアクセスかどうかを判断することは困難だ。

こうした脅威に立ち向かう上で有効なのが多要素認証である。ID/パスワードのような知識認証に加えて、所有物認証や生体認証などを組み合わせることで、クライアントセキュリティを強化することができる。

様々な認証手法が登場している中で、当社はクライアント証明書(電子証明書)と呼ばれる方式を提案している。「ID/パスワード+クライアント証明書」によって、ゼロトラストの考え方に基づくセキュリティ対策への重要なステップを踏み出すことができる。

クライアント証明書関連の手間を大幅に軽減

PCやスマホなどのデバイスから社内システムへの接続を、すべて許可すればセキュリティ対策は成り立たない。当然ながら、外部の攻撃者の不正アクセスは止めなければならない。アクセス権限のある社員であっても、セキュリティ対策の施されていない私用デバイスからの接続は拒否すべきだろう。こうした対策を実行するためには、社内システムの側にアクセスの可否を判別する機能が求められる。この機能を担うのがクライアント証明書である。

クライアント証明書がインストールされたデバイスはアクセスを許可され、インストールされていない私用のデバイスなどは拒否される。流出したID/パスワードを悪用して不正アクセスを試みようとしても、証明書がインストールされていないデバイスでは社内システムに接続はできない。

大企業の場合には、クライアント証明書の仕組み(プライベート認証局)を自社で構築・運用しているケースもある。ただ、かなり手間のかかる作業である。

例えば、ルート証明書の配布と設定に加えて、「利用者からの証明書の発行申請受付→本人確認→発行処理→利用者への通知」といった業務もある。さらに、証明書の有効性確認、失効リストの保管場所の管理も欠かせない。社員の入社や退職、異動などに伴い、その都度発生する業務も多く、運用管理には相当の工数がかかる。

こうした課題を解決するため、当社はクライアント証明書のシステム構築だけでなく、煩雑な運用管理業務をサービスとして提供している。クライアント証明書サービスの活用により、企業はIT人材をDX推進などのコア業務に集中させることができるだろう。

当社のクライアント証明書サービスはクラウド上で提供されている。下図は、サービスサポート体制を示したものだ。業務運用センターがサービスデスクと運用管理・オペレーションを担い、企業の管理者をサポートしている。

クライアント証明書の仕組みを導入する際には、いくつかのモデルがある。下図で主な利用シーンを示した。

例えば、Webシステムをオンプレミス環境で構築している企業の場合、通常、プライベート認証局を導入するためには、ネットワーク内に新たなサーバーを設置するなど既存環境に手を加える必要がある。それを回避してコストや工数を抑えるためには、クラウド上にリバースプロキシを構築するモデル(1)が適している。

また、ネットワークの境界にUTM(統合脅威管理)機器を導入済みの企業であれば、認証の仕組みをUTMに導入するのが適しているかもしれない(モデル(2))。UTMにサーバー証明書やルート証明書を記憶させるという手法で、比較的容易に実行することができる。このほか、当社のネットワークサービス「Clovernet」のユーザー企業向けのモデル(3)、無線LAN環境での認証にクライアント証明書を利用したい企業向けのモデル(4)などがある。

3つの強みでセキュリティ対策、システムの進化を支援

当社のクライアント証明書サービスの強みは大きく2つある。

第1に、システム構築における知見とノウハウだ。企業のシステム環境はそれぞれ異なっている。その特性に応じて、適切な形でクライアント証明書の仕組みを導入する必要がある。前述したモデル(1)~(4)のどれが最適か、あるいはそれ以外のモデルが適しているかもしれない。企業システムの全体像、周辺システムなどの状況を踏まえ、当社は豊富な経験に裏打ちされた提案を行っている。

第2に、その後のセキュリティ対策強化、あるいはシステムの進化を見据えた提案力である。ゼロトラスト志向のセキュリティ対策を実現するには、クライアント証明書のほかにも、ネットワークや認証、ログ管理などに関わる取り組みも必要になるかもしれない。当社はセキュリティ対策強化に向けた提案のほか、基幹システムを含む様々な業務システムに関しても全体最適に資する提案を行っている。

付け加えるとすれば、低コストも強みの1つだ。300ユーザーまでは月額3万円、301~500ユーザーで同4万5000円、501~1000ユーザーで同6万円。それ以上は個別対応となる。なお、Clovernetと「ビジネスサービス for AWS」のユーザー企業は、さらに低価格で利用することができる。

「クライアント証明書サービス」では、サービスを30日間無償で試用できるトライアル申し込みも提供している。自社の環境に適用可能か事前に検証でき、検証環境はそのまま本番環境へ引き継ぐことができるので、スムーズにサービスの利用を開始できる。

テレワークの拡大は、セキュリティ対策強化の1つのきっかけになった。その一方で、多くの企業が働き方改革や生産性向上への取り組みを本格化している。こうした様々な施策を整合させつつ、将来の「あるべき姿」に向かう道のりの伴走者として、当社はセキュリティ対策のみならず、幅広いソリューションの拡充に注力している。

ページ共通メニューここまで。

ページの先頭へ戻る