【対面イベント】Security Days Fall 2024セッション③「DX時代における、理想のITシステム実現の鍵とは？安全性・利便性を両立した最適な認証」

企業の業務環境は、デジタル技術の進歩や新しい働き方の登場によって変化し続けており、サイバー攻撃の対象範囲も広がりを見せています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2024年10月22日～25日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Fall 2024」に参加し、全3講演のセミナーを実施しました。

今回の記事では、イベント4日目に実施したセミナー「DX時代における、理想のITシステム実現の鍵とは？安全性・利便性を両立した最適な認証」について、その概要とポイントをご紹介します。

人手不足の環境下で、DXとともにセキュリティ強化を進めていくには？

日本では、DXを推進する企業が年々増加しており、IPA（独立行政法人 情報処理推進機構）の「DX動向2024」では、2023年度時点で59.4%の企業がDXに取り組んでいます。その背景には2030年問題があります。NRI（野村総合研究所）の各種調査によると、2030年には労働需要に対し、人材が12.1％も不足する状況になると予測されています。さらに、2025年までにDXが進まなかった場合、市場での優位性の喪失や、システムの維持管理費の増大によって、最大で年間12兆円もの経済損失が出ると試算されています。将来的に起こりうるリスクに対応するため、各企業では望む、望まざるにかかわらずDX推進が必須となっています。

その結果、幅広い業界でDXの取り組みが進められ、業務環境に大きな変化を与えました。例えば、ビデオ会議システムやグループウェアが普及したことで、働く場所が多様化しています。これに伴い、システムの業務基盤はオンプレミスからクラウドに移行しつつあります。また、他社とデータをやり取りする場所もデジタルに移行したことで、組織外とのデータ共有が容易になりました。

DX推進により、侵入型ランサムウェア、サプライチェーン攻撃、内部脅威など、様々なセキュリティリスクが生じています。これらのリスクは会社の事業継続に関わる重大な問題になる可能性もあるため、無視できません。

情報システム部門は、セキュリティリスクについて認識しつつも、これに対応するための十分なリソースを確保できていないのが実態です。
ソリトンが実施した調査では、情報システム部門が抱える悩みのうち「新たなシステムの企画導入ができる人材の不足」、「既存システムを維持する人材の不足」という、人手不足に関する回答が特に多い結果となりました。

こうした背景を踏まえると、DX時代のITシステムには、「安全性・利便性・運用性」を両立したものであることが求められます。DX時代のITシステムは、事業を守るために安全性を確保することが第一です。また、DXを行う目的が生産性向上にあることを踏まえると、導入するシステムは利便性にこだわる必要があります。そして、情報システム部門の現場が人手不足となっている以上は、運用性の高さも重要となります。

「安全性・利便性・運用性」を担保したセキュリティソリューションであれば、業務で起こりうるセキュリティリスクに対処しながら、DXをスムーズに進めるための基盤が整うでしょう。

DX時代のITシステムのカギは「認証」

では、「安全性・利便性・運用性」が担保されたシステムを、どのように選べばよいのでしょうか？
普段私たちが仕事をする際の流れを例に考えてみましょう。

仕事を始める際、PCや社用スマホを立ち上げた後は、社内システムやクラウドにアクセス、システムへのログイン時には認証を行います。認証は、どのようなシステムでも最初に必要となる、いわばファーストコンタクト。ここを適切に守ることで、安全に業務システムを扱うことができます。また、認証はPCログイン時、リモートアクセス時、クラウドサービス利用時など、様々なポイントで実施されるため、このあたりが一元管理できる状態にすることが利便性を高める上で重要となります。

また、Verizonが2024年5月に公開した「データ漏洩／侵害調査報告書」によると、データ漏洩・侵害の経路の約40％が認証情報となっています。組織のデータ漏洩につながる侵入経路は認証情報を利用したものが最も多く、安全性の観点でも、認証環境の整備は重要といえそうです。

ここでは、（１）端末、（２）ネットワーク、（３）クラウドサービスとポイントを分け、それぞれどのような認証強化が求められているのかを解説していきます。

（１）端末の認証強化

ソリトンの調査によると、68.3%もの企業がPC端末に機密情報を保存していることが明らかになりました。クラウドの活用が進む一方で、依然としてユーザーが利用するPCには重要な情報資産が保存されています。このことから、情報資産を守るためには、PCログオン時の認証強化が不可欠といえます。

具体的な対策として、2つ以上の認証要素を組み合わせる多要素認証(MFA)の導入が効果的です。これにより、アカウントとパスワードが漏洩してしまったとしても、認証させることなくログインを防ぎ、情報資産への不正アクセスを防ぐことができます。ただし、認証方式にはそれぞれメリット・デメリットがあるため、自組織に適した方式を選択することが重要です。

■︎ICカード認証

• メリット：既存の社員証や交通系カードを活用できる
• デメリット：カード忘れ、紛失への対応が必要、専用カードリーダーが必要

■顔認証

• メリット：専用の認証デバイスが不要
• デメリット：経年変化による再登録が必要なケースがある

■指紋・静脈認証

• メリット：パスワード盗み見による「なりすまし」を排除できる
• デメリット：高額な専用装置が必要

（２）ネットワークの認証強化

ネットワーク認証には、無線LAN・有線LANなど様々な種類がありますが、その中でもリモートアクセスの認証強化が重要です。IPAの情報セキュリティ10大脅威では「ランサムウェアによる被害」が4年連続で1位となっており、被害件数も増加傾向にあります。そして、その侵入経路の81%がリモートアクセス経由となっています。

このような脅威に対しては、ベンダーから提供される情報を確認し、修正パッチを速やかに適用するといった脆弱性対策が基本となります。
ただし、脆弱性対策だけでは十分とは言えません。脆弱性のあった時期に既に攻撃を受け、ID・パスワードが窃取されてしまった場合、修正パッチを適用した後にパスワードを変更していないと、窃取済の認証情報を利用され、認証を突破されてしまう可能性があります。
このような漏洩済の認証情報が悪用されるケースも想定して対策をすることが重要です。

そこで有効な手法がデジタル証明書による多要素認証です。
多要素認証を導入することにより、アカウントとパスワードが漏洩していたとしても、認証させずにログインを防ぐことができます。また、多くのリモートアクセス機器がデジタル証明書のチェック機能を備えているため、実装が容易です。さらに、専用デバイスの携帯が不要、リモートでの再発行や失効が可能、マルチOSに対応といったメリットもあります。
安全性と利便性を両立する認証手段として、デジタル証明書は優位性の高いソリューションです。

（３）クラウドサービスの認証強化

クラウドサービスの利用が広まり、そのセキュリティリスクも増加しています。近年、サイバー攻撃によるユーザーアカウントの流出事件が多発しており、ソリトンの調査では99.9%の企業・団体でアカウント漏洩が確認されました。また、Microsoftへのパスワード攻撃は過去12ヶ月間で1秒あたり平均4,000件以上を記録。前年の1,287件から約3倍に増加しており、クラウドサービスの認証強化は必須の状況となっています。

セキュリティ強化の必要性が高まる一方、多くの企業が安全性と利便性の両立に悩んでいます。DXやデジタル化の推進により業務効率化を進める組織ほど、利用するシステムは増加の一途をたどっています。その結果、パスワードの使い回しやブラウザへの保存といった運用が増加。誰でもアクセスできるクラウドシステムは攻撃対象となりやすく、脆弱なパスワード運用は高いリスクにつながりかねません。

パスワード管理に関する課題への解決策として、多要素認証の実装とSSO（シングルサインオン）環境の実現が挙げられます。攻撃耐性の高い多要素認証を実装することで、ID・パスワードのみの認証では防ぎきれない「なりすまし」や「不正ログイン」を防止できます。さらに、標準規格であるSAML連携によってクラウドサービス群の認証を集約することで、一括して認証セキュリティを高めることが可能です。

DX時代の悩みに対応する2つのソリューション

ソリトンは、DX時代の悩みに応えるソリューションとして「SmartOn ID」と「Soliton OneGate」を提供しています。

SmartOn IDは、PC端末へのログオン時に行う多要素認証を実現するソリューションで、累計4,600社、約370万ライセンス、20年連続国内シェアNo.1の実績を誇ります。ID・パスワードに加えるもう1つの認証方法として、「顔認証」「ICカード認証」「指紋や静脈による認証」など、さまざまな選択肢から、お客様の環境に最適な認証方式を採用することが可能です。

Soliton OneGateは、デジタル証明書による多要素認証とSSOを実現するソリューションです。SSOにより、クラウドサービスの認証基盤を集約し、利便性の向上につなげることができます。また、デジタル証明書による多要素認証は、通信段階時に認証でき、攻撃者をログイン画面まで到達させない効果があります。証明書の構築・運用といった、ハードルになりやすい部分を全てクラウドサービスで手軽に行うことができます。

さらにソリトンはソリューションを提供するだけでなく、お客さまの課題解決が実現するまで伴走する姿勢を重視しています。社内ITシステムのオペレーションを全て1人で担当していたあるお客様は、ソリトンと二人三脚でセキュリティソリューションの展開・運用を実現しました。

最後に、本講演を担当したソリトンシステムズ プロダクト＆サービス統括本部 プロダクトマーケティング部の松田 真結は次のようにまとめます。

“DXが必要不可欠なものになり、それに付随してセキュリティ対策が求められている状況の中、対応範囲の広さや人材不足などの課題を抱えているお客様が少なからずいらっしゃいます。そういった企業担当者の方に対して、対策すべきポイントや重視すべき要素についてお伝えするために本講演を実施しました。

講演の中で、「多要素認証が重要」とお伝えしましたが、お客様によって最適な認証方式は異なるため、要件定義や手法選択にはどうしても手間がかかってしまいます。これに対してソリトンは、長年幅広い業界のお客様に対して製品を提供してきた実績から、最適な方式をご提案させていただくことが可能です。最適なソリューションのご紹介はもちろん、導入・運用の面でもサポートいたしますので、ぜひお気軽にお問い合わせください。”

今後も各イベントに出展予定です！

ソリトンは、セミナー・ウェビナー等への参加を通して、SmartOn ID、Soliton OneGateをはじめとする認証ソリューションのご提案、課題解決に役立つ情報を発信してまいります。

皆様のご来場、ご参加を心よりお待ちしております。

ソリトンの出展情報はこちらからご確認いただけます。