【対面イベント】Security Days Fall 2024セッション①「賢いゼロトラストで組織を強くする - ビジネスを止めないMFAとは？- 」

企業の業務環境は、デジタル技術の進歩や新しい働き方の登場によって変化し続けており、サイバー攻撃の対象範囲も広がりを見せています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2024年10月22日～25日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Fall 2024」に参加し、全3講演のセミナーを実施しました。

今回の記事では、イベント1日目に実施したセミナー「賢いゼロトラストで組織を強くする - ビジネスを止めないMFAとは？ - 」について、その概要とポイントをご紹介します。

企業でゼロトラストを実施する「本当の目的」

近年では、DX推進やクラウドシフトなどを受け、全てのアクセスを信用できないものと定義して検証を行う「ゼロトラスト」という考え方を用いたセキュリティ対策の導入を進める企業も少なくありません。実際、2024年5月にソリトンが実施した調査によると、56.5%の企業が導入完了、または対応中と回答しています。このように企業においてゼロトラストの導入が進む一方で、本来の目的を見失い、オーバースペックやコスト構造の悪さに悩む状況も見受けられます。

そもそも、ゼロトラストを実施する本当の目的は「DXで企業の競争力を高めてビジネスを拡大する」こと。つまり、ビジネスの持続的な成長を支えるための手段であり、オーバースペックやコスト構造の悪いソリューションは望ましくありません。

企業によって対策すべき範囲も異なるため、ゼロトラストを実現する際には、セキュリティ強度、コスト、運用性を総合的に考えた上でソリューションを選択することが重要です。

攻撃を防御するだけではなく「被害を最小化する」セキュリティ

社内外のネットワークを区別せず幅広く対策を講じるゼロトラストですが、中でも特に重要な部分が「認証」です。認証は、ユーザーがデータを利用するための最初のステップとなるためです。また、近年のインシデントの傾向として、認証情報の悪用からデータの漏えい・侵害に至るケースが最も多くなっているため、認証の強化が必須となる状況だといえます。

認証の強化を行う際は「予防」と「有事対応」の2点を意識して対策することが求められます。

まず、攻撃そのものを防ぐ「予防」についてです。
クラウドサービスの利用増加に伴い、パスワード攻撃も急激に増えている現状では、従来のID・パスワードのみの認証では十分に予防できるとは言えません。そこで注目されているのがMFA（多要素認証）です。MFAでは2つ以上の認証要素を組み合わせるため、ID・パスワードのみの認証よりも強固なセキュリティを実現することが可能です。

しかし、MFAなら必ずしも安全というわけではなく、簡易的なMFAを突破できる攻撃手法、AiTM攻撃（Adversary-in-the-Middle）への耐性も考慮する必要があります。AiTM攻撃は、攻撃者が正規のログインサイトに似せた偽サイトを通してセッションCookieを傍受する手法で、スマートフォンの認証アプリなど、簡易的な認証方式のMFAでは突破されてしまいます。そのため、FIDO2やデジタル証明書など、AiTMが成立しない、フィッシング耐性のある認証方式を採用することが求められているのです。

また、DX推進に伴い、社内だけではなく、取引先や外部パートナーなど社外も含む関係者間でシステム共有を行うことが一般的になりました。こういったネットワーク拡大により、攻撃対象の増加や外部ユーザーの権限管理など、従来のセキュリティでは対処できない課題も出てきています。

そのため、セキュリティ強度以外の要件も定義した上で、DXの歩みを止めないソリューション選択が重要です。

DX推進組織でのMFAの要件例

• MDM（モバイルデバイス管理）で管理していない端末への簡単・安全なデジタル証明書配布
• 自組織AD（Active Directory）への登録を必要としない、他組織ユーザーの管理
• ビジネス部門でも無理なく運用できる操作性

攻撃そのものを予防することも、もちろん大切ですが、同時にインシデントが発生した際の被害を最小限にする「有事対応」も考えなければなりません。どれだけ念入りに対策しても、正規のユーザーが端末を紛失した場合、事前に対応フローを用意できていなければ、データが漏えいする可能性が高くなるためです。

社員の入社や退職といったライフサイクルを考慮した運用をされている企業は多いかと思います。しかし、端末紛失などの「有事」が起きた際に、MFAを採用している際にどのように対応するのか、その対応フローは難しくないか、までを併せて考慮している場合は少ないのではないでしょうか。

有事対応も考慮しておかなければ、いざというときに業務に多大なる影響を与えてしまい、本来のゼロトラストの目的である「ビジネスを支援」することがままならなくなります。

例えばFIDO2を利用している場合は、代替機を用意しておき、それをどのようにユーザーに配布するのか、紛失端末のデジタル証明書の失効や代替機への再発行はどのように行うのかなど、具体的なフローも含めて確認しておくことが強く推奨されます。

Soliton OneGateで強固なセキュリティを負荷なく実現

そんなニーズを満たすソリューションが、ソリトンの提供する「Soliton OneGate」です。Soliton OneGateは、フィッシング耐性のあるデジタル証明書を中心としたMFAの実装を支援するクラウドサービスです。デジタル証明書を用いたMFAは、その他の認証要素に比べてセキュリティ強度だけでなく、運用性とコストの観点で優れていることから多くの企業で採用されています。また、デジタル証明書以外にも、FIDO2や顔認証、ICカードなど、様々な認証方式に対応しています。

デジタル証明書は、各ユーザーが利用する端末ごとに発行することができるため、端末紛失などの有事が発生した際は、該当する端末のデジタル証明書のみを失効させることができます。どのユーザーのどの端末（デバイス種別、OS）のデジタル証明書なのかなどもGUIで簡単に確認でき、操作も簡単なため、情報システム部門ではないビジネス部門の方でも無理なく運用できます。

また、一度の認証で複数のアプリケーションへのログインを可能にするSSO（シングルサインオン）という仕組みがあるため、ビジネス現場の負担も大幅に軽減することができます。

セッションでは、実際にSoliton OneGateを利用する企業の感想もご紹介しました。

電気設備事業を展開する四国通建様からは「1ユーザーにつき最大10枚の証明書を発行できるため、複数端末を使う社員のことを考えると運用性はもちろん、コスト面でもメリットがあった。他に候補としていた他社ソリューションは1ユーザーにつき1枚の発行が基本であり、それ以上は追加コストがかかることから、Soliton OneGateを選んだ」という感想をいただきました。

線路の保全部門で利用するクラウドシステムの認証にSoliton OneGateを導入したJR東海様からは「GUIの分かりやすさが好まれており、ITを専門としない我々でも無理なく運用できる安心感があった」との感想をいただいています。

最後に、講演を担当したソリトンシステムズ エバンジェリストの荒木 粧子は次のようにまとめます。

“ゼロトラストセキュリティは最近注目されているアプローチではありますが、「DXを通して企業の競争力を向上させる」というゴールを踏まえると、ビジネス成長のための手段にすぎないものです。高価でオーバースペックのソリューションや、現場で運用しづらいソリューションを導入してしまうと、本来の目的である「ビジネスへの貢献」から逆行してしまいます。限られたリソースを本当に必要な部分に最適な形で投資できるよう、セキュリティ強度、運用性、コストを総合的に加味してソリューションを検討していただきたいと考えています。

また、セキュリティは、どうしても「予防」に目がいきがちなのですが、従業員の端末紛失といった日常的に発生する「有事対応」も考慮して対策を検討しておくことを強くお勧めしたいと思います。「予防」観点では問題なく運用できるソリューションでも、「有事対応」に非常に手間がかかり、運用に支障が出るケースもあるためです。

今回ご紹介した「Soliton OneGate」をはじめ、ソリトンでは、強固なセキュリティと運用性を両立するソリューションをご提供しています。

MFAやSSOはもちろん、それ以外のセキュリティに関してもお悩みをお持ちの方は、ぜひお気軽にお問い合わせいただけますと幸いです。” 

今後も各イベントに出展予定です！

ソリトンは、セミナー・ウェビナー等への参加を通して、Soliton OneGateをはじめとするセキュリティの課題解決に役立つ情報を発信してまいります。

皆様のご来場、ご参加を心よりお待ちしております。

ソリトンの 出展情報はこちらからご確認いただけます。