
新型コロナウイルス感染症の拡大で、テレワークが急激に世の中に広まりました。
オフィスでの業務を中心に行ってきた企業も、テレワークで社外から業務推進ができるように環境を整えた企業も多いのではないでしょうか。
テレワークの運用でセキュアな環境を維持するために重要なのが「認証」です。
本記事ではテレワークが浸透した今だからこそ、改めてセキュリティ対策に目を向けるべく「認証」について解説します。
テレワークに欠かせない「認証」の基礎
-
認証とは、IDやパスワードを管理してネットワークやシステムへのログインを判別・管理することです。
認証によって、あらかじめ登録しているユーザー以外が指定のネットワークやシステムにログインすることを防ぎます。
全ての従業員は、認証をすることで社内システムを使った業務が可能となります。
今までのようにオフィス環境だけではなく、社外ネットワークから社内情報にアクセスするテレワークでは、より一層「認証」は欠かせないものになっています。
セキュアな「認証」の重要性が高まっている
テレワークでは、社外ネットワークから社内システムにアクセスすることになるため、悪意のある第三者から攻撃を受ける危険性が今まで以上に高まります。
オフィスに出勤することが前提となっていたコロナ禍以前のテレワークと異なり、ニューノーマル下では、テレワーク環境だけで以前からの業務を完結できることが求められます。
今までは社外からアクセスができなかったレベルの重要情報にもテレワーク環境からアクセスできるように設定を変えるケースや、今までは使っていなかったクラウドサービスに社内の重要情報をアップロードするケースもでてきます。
しかし、急速にテレワークが広まったため、ニューノーマル下のテレワーク環境において、十分なセキュリティ対策がとられていない企業も多く存在します。
実際、情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威 2021 において、テレワークを狙った攻撃は3位にランクインしており、「セキュアな認証」の重要性がますます高まっています。
参考:情報セキュリティ10大脅威 2021 情報処理推進機構
今までの「パスワードだけ」の対策では不十分
認証と言えば、IDとパスワードによるログインをイメージする方が多いと思います。
しかしながら、昨今では様々なサイバー攻撃が行われるようになり、従来の「パスワード」だけでは不正アクセスを防ぐことができなくなってきています。
代表的なサイバー攻撃では、攻撃者は特殊なプログラムを使用して総当たり的にログインを試行します。
また最近では、プログラムだけではなくAIを使ったり、攻撃が組織化して行われたりと、手口が高度化しています。
そのため、従来のIDとパスワードによるセキュリティ対策だけでは、不十分になってきているのです。
多要素認証の活用が拡大
認証に対するリスクが高まる中で、最近は、IDとパスワードだけではなく、様々な要素も含めて複合的な認証を行う多要素認証が多く利用されています。
多要素認証とは、知識・所持・生体の3つの中で2つ以上の要素を組み合わせて行う認証を言います。
最近では、システムに登録したスマートフォンへ認証コードを送る、指紋認証や顔認証といった生体認証を組み合わせるといった多要素認証も一般化してきています。
このように多要素認証は、認証のセキュリティレベルを上げる手段として近年、その活用が拡大しています。
認証がテレワークのセキュリティで担う役割
-
現代のテレワークにおいて、認証が担う役割は大きくなっています。
今までは、社内ネットワークと社外ネットワークを明確に分けて、社内ネットワークへの入り口を管理する「境界型セキュリティ」が一般的でした。
しかし現在ではクラウドサービスの活用も定着しているため、入り口の管理だけではなく、新たなセキュリティシステムが必要とされています。
そのためオンプレミスとクラウドの両面で認証管理をする必要が高まり、従来のID管理システムとアクティブディレクトリの活用だけではなく、クラウド上でID管理を行うIDaaS(Identity as a Service)の活用も拡大しています。
働き方の自由度が高まっているテレワーク環境において、認証が担う役割はその重要度が高まっていると言えます。
テレワークの認証を強化する3つの要素
-
テレワークの認証を強化する要素として以下の3つが挙げられます。
- 利用者だけが知っている
- 利用者だけが持っている
- 利用者の身体的な特徴
利用者だけが知っている
テレワークの認証を強化する要素の1つ目は、利用者だけが知っていることです。
これは前述した多要素認証の「知識」であり、文字列のパスワードなど利用者だけが知っているものを認証に使用することです。
従来の認証において最も利用されている基本的な認証要素ですが、利用者が知っている情報をシステムに認証させるシンプルな仕組みのため、汎用性が高いのが特徴です。
一方で、定期的にパスワードを変更したり、複雑なパスワードを設定したりすることでパスワードを忘れてしまい、その都度システム部門に問い合わせする必要があるという企業もあります。
また、従業員がパスワードをメモすることで被害に遭うケースもあるため注意が必要とも言えます。
利用者だけが持っている
テレワークの認証を強化する要素の2つ目は、利用者だけが持っていることです。
「所持」は家の施錠などでよく利用されている認証方法であり、利用者しか持っていないものを利用し認証を行う方法です。
代表的なものにICカードや鍵、身分証明書などがあり、最近ではスマートフォンを使い認証を行う場合もあります。
ただし、認証に使用するのは、物理的な物であるため破損や盗難などの危険があり、不正アクセスや情報漏えいに繋がるため取り扱いには十分注意が必要とも言えます。
利用者の身体的な特徴
テレワークの認証を強化する要素の3つ目は、利用者の身体的な特徴です。
多要素認証の1つである「生体」の情報を利用した認証は、指紋や静脈、声など本人にしかない身体の情報をあらかじめ登録しておき、認証時に照合を行い本人かどうか判断する仕組みで、「バイオメトリクス認証」とも呼ばれています。
昨今ではスマートフォンの認証にも生体認証は利用されています。
前述した「知識」「所持」と違い本人の身体を使うため忘れたり、紛失したりする心配がないことが大きなメリットと言えます。
まとめ
-
働く環境が大きく変化すると共にますますセキュリティリスクが高まっている現代において、従来通りのパスワードによるID管理だけでは、セキュリティ対策が万全とは言えなくなってきています。
テレワークの拡大にあわせてよりセキュアな認証を実現する多要素認証やクラウドサービスとも連携できるIDaaSなど、認証に求められることも変化しています。
テレワークが根付こうとしている現状において、認証の必要性はますます重要になっていくものと考えられます。
なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。