シングルサインオン利用時にクライアント証明書認証を併用すべき3つの理由
ここ最近、いわゆるIDaaS (クラウド型シングルサインオンサービス)が多数リリースされています。当社のトラスト・ログインもその1つですが、こうしたシングルサインオン製品を利用する際に、クライアント証明書を併用すべき理由について、3つご紹介します。
シングルサインオン = パスワード認証だけでは不十分?
シングルサインオンサービスの使われ方の多くは、シングルサインオンサービスにIDとパスワードでログインし、そこから各種サービスにワンクリックでログインしていく、という仕組みです。
非常に利便性の高い仕組みではありますが、注意すべき点があります。それは、パソコンやスマートフォンが乗っ取られたり、シングルサインオンサービスにログインするためのIDとパスワードが盗まれた際には、悪意のある攻撃者が、登録されている全てのサービスに簡単にログインできてしまうことを意味します。
これを防ぐための仕組みとして有名なものに「リスクベース認証」があります。普段使われていない場所やデバイスからログインがあった場合は、追加の認証を要求するというものです。ここで使われる一般的なものは「追加の質問」に回答できればログインできる、というものです。
しかし、これは認証要素という観点からみると、パスワードも追加の質問もどちらも同じ「知識要素」です。認証の世界では、同じ要素を複数個利用するのは強度が低いので推奨されておらず、逆に要素が複数あれば安全性が高まると考えられています。よって、リスクベース認証も無意味ではありませんが、限界があると言えます。また、友人や知人、同僚が乗っ取りを企んだ場合は、追加の質問で出てくる内容を、ある程度知っている場合もあるため、危険性が高いです。
・参考記事
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
次の仕組みとしては「IPアドレス制限」があります。IPアドレス制限には一般的に、あらかじめ指定したIPアドレスからしかアクセスを受け付けない方式(ホワイトリスト)、または特定のIPアドレスからのアクセスを拒否する方式(ブラックリスト)があります。しかし、IPアドレス制限も万能ではありません。
外出が多い担当者の場合、会社のIPアドレスだけでなく、「スマートフォンの回線のIPアドレス、携帯電話会社が提供するWi-FiのIPアドレス、カフェのWi-FiのIPアドレス、自宅のIPアドレス」などから、ネットに接続するのも一般的です。これまで使ったことのないWi-Fi接続を利用する可能性の日々あるため、ひとたび制限してしまうと、使いたい場面で使えない状況が生じ、利便性を損ねます。また、IPアドレスは知識がある攻撃者の場合、偽装することも可能であるという特徴があります。
もちろん、「リスクベース認証」「IPアドレス制限」が無意味というわけではありません。何が特段大きなリスクと考えるかは、組織によって異なりますが、各方式の強み弱みは理解しておく必要があります。
クライアント証明書を併用すべき3つのポイント
では、クライアント証明書を併用すべき3つのポイントをご紹介します。
1.会社が指定した端末でのみアクセスができる
第一に、クライアント証明書を利用すると、「証明書がインストールされた指定の端末でのみアクセス可能」という環境を作ることができます。例えば、ネット経由の攻撃により、IDやパスワードが盗難されたとしても、証明書がインストールされていない端末からのアクセス要求は全て拒否するため、安全性が高いのです。
証明書は、パソコンだけでなく、スマートフォンやタブレットにもインストールできるため、パソコン以外の利用が多い場合でも、問題なく証明書を利用できます。
2.有効期限を設定できる
全ての証明書には有効期限が設定されています。有効期限を過ぎると、証明書は無効となり、アクセスは行えなくなります。よって、新たに証明書をインストールしなおす必要が生じます。この有効期限の設定により、仮に端末が盗まれた場合でも、その端末からのアクセスをずっと許可されることはありません。
証明書の有効期限を長くすると、有効期限切れ・再インストールする手間が省けますが、古い証明書が長らく使われることでセキュリティ体系全体のリスクともなります。よって、現在では、最長で825日 (2年間 + 更新作業を行う予備日数) となっています。
3.多要素認証 (MFA) になる
パスワードだけの認証、パスワードと秘密の質問を併用した認証方法は、いわゆる「知識要素」だけの「単要素認証」と呼ばれ、セキュリティ的には相対的に弱いことが指摘されています。これに対して、「知識要素」「所持要素(クライアント証明書など)」「生体要素(指紋など)」のうち2つを併用すると「多要素認証」となり、不正な攻撃が成功する確率を大きく引き下げることができます。
クライアント証明書利用が向かない場合
全ての病気に効く薬がないのと同じで、クライアント証明書も全てのユーザーにとって万能であるわけではありません。
例えば、多種多様なデバイスごとの挙動をテストするエンジニアの場合、常に利用する機器が異なるため、クライアント証明書利用は適していません。テストする端末ごとに、毎度クライアント証明書を発行しインストールするのでは、手間が大きいためです。この場合は、IPアドレス制限など、別な方法でセキュリティを強化することが望ましいといえます。
次に、在籍期間が短いスタッフがたくさん勤務している環境も、望ましくありません。例えば、3ヶ月しか勤務しないスタッフが多くいて、こうしたスタッフが頻繁に入れ替わる環境の場合、短期間だけ勤務のスタッフに証明書を発行するのは、工数が大きいためです。この場合は、別な方法を併用することが望ましいといえます。
また、クライアント証明書のインストールを、ユーザーではなく情報システム部のスタッフが行っている場合、情報システム部が対応できない場所にいる従業員(主要な進出先以外に駐在する従業員など)の端末に証明書をインストール、更新するのはデバイスの輸送などで多大な工数・時間がかかります。この場合はクライアント証明書以外の方法でセキュリティ強化を行う方が、コストの低減につながる可能性が高いです。
貴社にあったクライアント証明書利用を
シングルサインオンを活用する上で、クライアント証明書を用いると、IDパスワードだけの短要素認証ではなく、2要素認証となるため、大幅にセキュリティを強化できます。クライアント証明書利用に適した環境であれば、アクセスできるデバイスの制限、有効期限といったクライアント証明書の強みを生かすことができます。
なお、当社のシングルサインオン製品「トラスト・ログイン」でも、クライアント証明書を提供しています。認証の強化をご検討の方は、ぜひ資料請求ください。