クライアント証明書-シングルサインオンで-認証時のセキュリティ強化を実現

2019/10/21

1.jpg

クラウドサービスの利用が普及するにつれ、サービスを利用する際の認証(ログイン)に対する攻撃も増加しています。これに伴い、パスワードだけでユーザーアカウントを守るのではなく、他の認証要素も併用して認証を行う方法が急増しています。その中で、最も有力な方法の一つがクライアント証明書の利用です。以下でご説明します。

 

 

クラウド利用は増加し、ハッカーによる攻撃も急増中

2.jpg

IT調査会社大手のガートナーは、クラウドサービス IaaS (Infrastructure as a Service) の2017年売上高が、前年比29.5%の伸びを記録したと報じています。そして、2019年においても、前年比17.3%の伸びを予測しています。企業におけるクラウド利用は、今ではすっかり「当たり前」になっており、物理サーバーを自社で購入、構築することは大変珍しくなりました。

そして、企業のインフラとなったクラウドに対する攻撃は急増を続けています。イギリスのFT紙は、2017年に企業のサプライチェーンを狙った攻撃は前年比200%に達していると報じられました。そして、SaaS (Software as a Service) 型のクラウドサービスを中心とした大規模な個人情報漏えいも珍しくなくなりました。2018年のマリオット (3.8億件)、2016年のアシュレイ・マディソン (成人向けデートサイト 4.1億件)、そして2014年のYahoo (30億ユーザーアカウント) といった具合です。

ハッカーの攻撃手段は様々なものがありますが、その中に「総当たり攻撃(ブルートフォース攻撃)」があります。想定されるパスワードを片っ端から使って不正にログインしようとするものです。

・参考記事
 ブルートフォース攻撃を阻止する方法とは

クラウドの力を悪用して行われる総当たり攻撃は、かつては「割に合わない攻撃手法」でしたが、日に日に精度を増し、現在では大きな脅威となっています。過去に漏えいしたパスワードを「ダークウェブ(闇ウェブ)」と呼ばれる場所で匿名で購入し、その膨大なIDとパスワードの組み合わせを用いて行われる「リスト型攻撃」や、世の中でよく用いられている脆弱なパスワードを使った「総当たり攻撃(ブルートフォース攻撃)」などが一例です。

パスワード入力が一定回数間違えるとアカウントがロックされるサイトであれば、危険は少ないですが、こうした制限が設けられていないサイトの場合、総当たり攻撃はひたすら続けられます。

 

 

パスワードに加えて、複数要素の認証でセキュリティ強化

3.jpg

多くのクラウドサービスでは、「ID」と「パスワード」を利用した認証を行っています。しかし、IDとパスワードのみを利用した認証には大きな弱点があります。それは、「いくらユーザーが努力しても、クラウドサービス提供者側がパスワードを漏えいしてしまうと、総当たり攻撃などによる不正アクセスの危険がある」という点です。

例えば、「使い回していないパスワード」で、かつ「パスワードも字数が多い強固なパスワード」を用いるなど、ユーザーが十分に対策をしたとしても、パスワードを管理する側が適切に管理していない場合は、漏えい後に不正アクセスされる可能性があります。残念ながら、いまだにパスワードを暗号化せずに平文で保存している企業もあるのです。例えば、2019年1月に480万件のユーザー情報の漏えいを起こした、ファイルの受け渡しサービス「宅ファイル便」は、パスワードを暗号化して保存していませんでした。大手電力会社の子会社が運用するサービスであっても、こうした例はいまだ少なくないのです。

このように、パスワードだけでは認証の強度が低いのが実情です。このため、パスワード以外の複数の要素を利用して認証を強化する「多要素認証」が普及の兆しを見せています。例えば、ユーザーが記憶している情報 [パスワード情報]に加えて、ユーザーが所持している情報 [クライアント証明書など] を併用することです。この場合は、仮にパスワードが破られたとしても、端末からクライアント証明書が盗まれなければ、ユーザーアカウントを不正にアクセスすることはできません。

 

 

クライアント証明書とシングルサインオンでセキュリティと利便性を向上

4.jpg

多要素認証を実現するための方法として、その確実性の高さから企業で多く用いられているのが「クライアント証明書」です。パスワード認証に加えて、端末にあらかじめクライアント証明書(ファイル)をインストールすることで、「クライアント証明書が入っていない端末は、仮にパスワードが正しくても認証を許可しない」という強いセキュリティを課すことができます。

万が一、利用しているクラウドサービスが不正にアクセスされて、パスワードが持ち去られた場合も安心です。パスワードを持ち去ったハッカーの端末には、クライアント証明書がインストールされてないため、パスワードだけ持っていたとしてもアカウントへはアクセスできないためです。このセキュリティの高さから、クライアント証明書は企業を中心に、2000年代から利用が広がっています。

なお、認証を強化する方法は、この「パスワード+クライアント証明書」といった認証要素の強化だけではありません。

より強固なパスワードを用いるには、2つの問題があります。「パスワードは桁数(文字数)を増やすと強固になるが、同時に覚えにくくなる」という点と、「パスワードは一切使い回しせずに、各サービスで全く別のパスワードを使うべき。しかし、多数のパスワードを覚えておくのは無理」という点です。

この問題を解決するために用いられているのが、「強固なパスワードを全て『IDaaS』(クラウド型シングルサインオンサービス)に預け、ユーザーはIDaaSにアクセスするための強固なパスワードを1つだけ覚えておく」というやり方です。強固なパスワードと、クライアント証明書の組み合わせで、不正アクセスを防ぐことができます。

 

 

月額100円からのセキュリティ強化を実現する方法

5.jpg

当社のトラスト・ログイン(旧 SKUID)は、クライアント認証に対応し、1ユーザー当たり月額100円から利用できるというコストパフォーマンスの高さが魅力の、純日本製のIDaaS、シングルサインオンサービスです。

既に国内導入企業は上場企業をはじめに3800社を超え、製品機能、日本語対応、サポート力といった総合力で高い評価を頂いています。ぜひ、貴社のクラウドサービス利用時の認証消化にクライアント証明書と合わせてご検討ください。