イベント報告 2024/05/17

Security Days Spring 2024セッション③「今、ITに求められる安全性と利便性の両立～デジタル証明書がその「最初の１歩」となる理由～」

サイバー攻撃は、巧妙・悪質な手法へと変化し続けており、情報資産を盗まれるリスクが増大。企業や組織には、最新の脅威動向を踏まえたセキュリティ対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2024年3月12日～3月15日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Spring 2024」に参加し、全4講演のセミナーを実施しました。

今回の記事では、イベント3日目に実施したセミナー「今、ITに求められる安全性と利便性の両立～デジタル証明書がその「最初の1歩」となる理由～」について、その概要とポイントをご紹介します。

DX推進によって、さらに重要度が増す情報システム部門とその実態

現在、国内の企業・組織では、業界・業種を問わず人手不足が顕著になってきており、ITツールを使った業務環境の改善、生産性の向上が急務となっています。たとえば、DXを進めなければ、年間で12億円もの経済損失が日本全体で生じてしまうといわれる「2025年の崖（経済産業省「DXレポート～ITシステム「2025年の崖」克服とDXの本格的な展開～」）」問題。実際に2025年が目前に迫っている今、システムの刷新やクラウドシフトといったDXによる生産性や業務効率向上の必要性が高まっています。また、ドライバーの勤務時間に上限が設けられたことで輸送能力の低下が懸念されている「物流の2024年問題」もあり、DXによる働き方改革、物流の効率化も注目を集めています。DXは、どの企業・組織にとっても必要不可欠な存在となっているのです。

このように、いたるところで必要とされているDXですが、並行して生じるのがセキュリティの問題。内部不正やランサムウェア、サプライチェーン攻撃など、企業・組織のネットワークを狙う攻撃は日常的に起こっています。

よって、安全性と利便性を両立するITシステムの有無が、企業の存続に関わる時代になっていると言えるでしょう。

では、現場の実態はどのようになっているのでしょうか？現場の実態を把握するため、ソリトンは情報システム担当者（以下、情シス）約1,000人を対象にインターネット調査を実施。その結果から、情シスに求められている役割と、抱えている課題が明らかになりました。

【情シスに求められている役割】

稼働中のシステム・サービスをトラブル無く維持する
システム利用者の要望に応えたITシステムを導入する
経営者の方針に合わせたITシステムを導入する
自社の要件を満たす製品を選定

【情シスが抱えている課題】

新たなシステムの企画・導入をできる人員・人材が不足している
社員のITリテラシーが低い
既存システムを維持する人員・人材が不足している
情報セキュリティ対策が万全とはいえない

つまり、情シスには、経営層からの高度な要望に応えるため、最小限の人的リソースで、スピーディーにシステム導入・更新を行うことが求められているのです。

ITシステムの安全性と利便性を両立するために必要な要素

では、安全性と利便性を両立したセキュリティは、どう構築していけばよいのでしょうか？

そのヒントとなるのが、国が作成したガイドラインです。ガイドラインには各分野の専門家の知恵が詰め込まれており、どの業界・業種にも共通するものから、特定の業界に特化したものまで用意されています。これからITシステム導入・運用の方向性を決める場合、ガイドラインを参考資料として活用すると良いでしょう。

そして、どのガイドラインでも多くのページが割かれている重要項目が、ネットワークやシステムにアクセスするユーザーが本人かどうかを特定する「認証」です。不正アクセスで最初のターゲットになるのは認証情報です。認証情報が窃取されると、内部の情報資産へのアクセスにつながり、深刻な被害が発生します。また、認証はユーザーのシステム利用時に繰り返し行うものであるため、利便性の観点でも重要な要素です。認証の方法は複数あるため、自社の環境に適したものを選ぶことが求められます。

認証の方法は、ID・パスワードや顔認証をはじめとする生体情報、さらにICカードを使った認証など様々です。この中で、ID・パスワード認証は広く普及しているものの、利用システム、サービスごとに複数アカウントを管理しなくてはいけなかったり、ポリシーによっては一定期間経過後に変更が必要なケースもあったりと、ユーザーの負担が大きいことから利便性の低下が懸念されています。

そこで今回は、安全性と利便性を両立したITシステムの第一歩に適している「デジタル証明書」を取り上げます。

デジタル証明書は、歴史と実績のあるX.509という国際標準規格となっており、改ざん・複製は非常に困難です。実際に、オンラインバンキング、マイナンバー、医療情報システムなど、最高レベルのセキュリティが要求されるシステムで採用されています。

また、VPNやクラウドサービスなど幅広い範囲の認証に対応しており、パスワードレスで自動的に完了する認証となるため、利便性にも優れています。

このように、デジタル証明書は安全性と利便性に優れていますが、実際の採用率はそこまで高くないのが現状です。無線LANやリモートアクセスでの認証方式において、パスワードが6〜8割採用されているのに対して、デジタル証明書の採用率は2〜4割程度となっています。その背景としては、導入・運用の容易さ、コストの観点から、デジタル証明書認証は劣っている、と考えている方の割合が多いようです。

ですが、この印象は本当に正しいのでしょうか？

ソリトンのデジタル証明書を活用した認証で安全性と利便性を両立

導入・運用の容易さ、コストといった面が課題に感じられているデジタル証明書ですが、ソリトンのソリューションであれば、これらの課題を解決することができます。

自社の要件に合わせ、導入するシステムはオンプレミス・クラウド型が良いなど、企業によって重視する要件が異なるかと思います。ソリトンはオンプレミス型の「NetAttest EPS」、クラウド型の「Soliton OneGate」という2つのデジタル証明書認証ソリューションを用意しているため、個別の要件に合わせて、それぞれの製品、または2製品を組み合わせたソリューションをご提案することが可能です。

NetAttest EPSは、デジタル証明書によるネットワーク認証に必要な機能がオールインワンで備わっています。そうした利便性や汎用性の高さから、導入実績で18年連続国内シェアナンバーワンとなっており、非常に多くのお客様に評価をいただいているソリューションです。また、無線・有線問わず各種メーカーの機器との連携実績も豊富です。

Soliton OneGateは、SaaS型の業務システムからオフィスWi-Fi のVPNまで、あらゆるシステムでデジタル証明書による認証が実現できます。さらに、SAML非対応のアプリケーションシステムへのシングルサインオン、端末へのデータ保存を防ぐセキュアブラウザ機能等も搭載しており、現在の企業のビジネスニーズに適した、セキュリティ対策が可能です。

２つのソリューションに共通した特徴として、デジタル証明書の配布が容易なところが挙げられます。そのため、低いハードルで導入が可能です。一般的なデジタル証明書の配布では、システム管理者、端末利用者が手動でインポートしているケースが多く見られます。Soliton OneGateでは、管理者が招待コードを発行し、ユーザーは受け取ったメールのURLをクリックするだけで、証明書の配布が完了します。

配布する環境は自社で構築することも、もちろん可能です。しかしその場合は、設計も行わなければならず、業務負荷が増大してしまいます。

運用フェーズでも管理の負担を軽減する設計になっています。仮に、端末を紛失したユーザーがいたとしても、管理画面内でユーザー名を検索すれば端末種別を識別できるため、紛失した端末のみを抽出して証明書を失効できます。

これらの機能は、情報システム部門の人的リソースが非常に限られている企業様、情報システム部門に配属されたばかりの方から「直感的にわかりやすいインターフェースで運用が手軽」といった評価をいただいています。

このように、安全性と利便性を両立しているソリトンのソリューションですが、比較的低いコストで運用することができます。たとえば、Soliton OneGateであれば1アカウントあたり100円〜600円ほどで契約が可能です。

自身の講演について、 ITセキュリティ事業部プロダクト&サービス統括本部プロダクトマーケティング部の松田真結は、最後にこう振り返ります。

今回は「安全性と利便性を両立させたITシステム」を1つのテーマとして、デジタル証明書を用いた認証を中心にお話ししました。ですが、お客様の環境により最適な認証方式は様々です。ソリトンは長い間、認証ソリューションを提供してきたメーカーですので、少しでもお客様にとって使いやすいソリューションがご提案できるように、今後も責任を持って改善を続けていきます。

もし、認証でお悩みがある方は、安全性と利便性を両立して、運用性とコストでも優位性があるソリトンのソリューションを検討していただけますと幸いです。”