ビジネス

ゼロトラストの時代に

何も信頼できない

コロナ禍でテレワークが進む最中、2020 年 8 月 25 日の日経新聞朝刊で「テレワーク、VPN 暗証番号流出 国内 38 社に不正接続」(その後 46 社に拡大確認)という見出しに驚いた方も多いのではないでしょうか。これは米パルスセキュア(Pulse Secure)社の VPN サービスの脆弱性問題に端を発しており、安全性に問題があるまま、件の VPN 製品を使い続けていた企業が被害にあったようです。

問題となった VPN 製品の脆弱性を放置していると、最悪の場合、機器の管理者用のログイン情報やログインユーザの ID 情報なども流出する可能性があるといいます。多くの企業の担当者レベルでは、リモートアクセスは VPN 経由だから大丈夫、あるいは、システムや機器へのアクセスは IDとパスワードで保護されているから大丈夫、といった楽観論が多かったかもしれませんが、今回の事案で多くの企業が情報セキュリティ対策自体の見直しを迫られているのではないでしょうか。

パスワードをかけていれば安全か

セキュリティ上の脆弱性は、メーカー側でも最新テクノロジーの導入により常に安全対策が施されており、多くの OS やアプリケーションでもバージョンアップデートやセキュリティパッチの適用によりプログラムが書き換えられ、常にセキュリティ対策が更新されています。これは 情報システムの世界に限ったものではなく、今や世界の車メーカーでも、車載の衝突回避支援システムのソフトウェアをアップデートすることにより常に最新のシステムを稼働させるようにすることは当たり前になっています。

一方、このような状況にあっても、サポート終了製品を使い続けたり、アップデートを適用しないまま製品を使い続けたり、ID / パスワードのみでデータを管理していたりする企業が未だに残っているのも事実です。特に、ユーザ認証がログイン ID とパスワードの入力のみの場合は、第三者に ID / パスワードが漏えいした場合、アカウントの乗っ取りだけでなく、システム管理権限の喪失にまで及ぶ多大なるリスクが存在しています。

2017 年にトレンドマイクロ株式会社が行った調査によると、8 割以上のユーザが複数の Web サービスでパスワードを使いまわしていると回答しています。おそらく、今日この時点でもこの傾向は変わっていないでしょう。人間の記憶力に限界がある以上、ログインの必要な登録サイトが増えると、同じようなパスワードを使いまわしてしまうことは、ある意味、仕方がないことかと思います。

しかし、ハッカーはそれを見逃しません。ハッカーはこのようなユーザをニセのサイトに誘導し、そこで入力させた数々のパスワード(認証失敗情報)を盗んで、正規サイトで不正なアクセスを行います。パスワードを使い回す便利さの裏側には大きなリスクが潜んでいることを、私達ユーザは改めて強く認識する必要があります。

デビルツイン

「デビルツイン」という言葉を聞いたことがありますか? 検索サイトで「デビルツイン」と日本語で検索するとゲームのキャラクターやダーツがヒットしますが、「Evil Twin」と英語で検索すると Wi-Fi に対する攻撃に関する検索結果がでてきます。これは、正規の Wi-Fi ネットワークに見せかけて、偽装した同じ SSID のアクセスポイントを立て、接続してきたユーザから Wi-Fi パスワードを取得してネットワークに侵入する手法です。多くの企業では SSID を秘匿して SSID 偽装を防いでいますが、とある医療機関で、SSID は秘匿されているものの、院内アクセスポイントの SSID 情報が見える場所にシールで貼ってある、という光景をみて驚いたことがあります。

なお、多くの企業では、社内ネットワークに SSL/TLS 通信を導入し、Wi-Fi 経由でも安全にアクセスできるような対応がとられていますが、医療機関や教育機関では、ネットワーク上のデータが盗聴されるリスクがあることを知りつつも、構内のサーバに SSL/TLS通信ではなく非暗号化パケット通信が使われていることも多いといわれています。

SSL/TLS 通信について過去の記事を参照する

ゼロトラストネットワーク

多くの企業では、冒頭の事例のように VPN を導入することによってセキュアな通信を実現しようとしていますが、コロナ禍によるテレワーク拡大によってその多くが VPN のキャパシティオーバーやパフォーマンスの低下に悩まされています。

その一方で、近年、IAP(Identity-Aware Proxy: アイデンティティ認証型プロキシ)を使って脱 VPN を実現している企業が増えています。基本となるコンセプトは、「安全なネットワークはもはや存在しない(ゼロトラストネットワーク)」、必要な人のみが限られた端末から許可されたアプリケーションにのみアクセスする、という考え方です。

この考え方を、Claris® FileMaker Cloud® を例にとって説明します。

FileMaker Cloud は、AWS インフラストラクチャ上の Linux をベースとしたインスタンスで稼働します。FileMaker Cloud が稼働するインスタンスでは当初、すべての IP アドレスをブラックリストとして扱い、誰もアクセスできない状態になっています。

FileMaker Cloud の契約が締結されると、Claris 社からユーザの登録 Email アドレス宛にユーザ登録用のリンクが送信され、このリンクにアクセスした端末情報(アクセス IP)がホワイトリストに登録されます。このホワイトリストをもとに認証プロキシを経由した ID / パスワードでの認証が許可されて、FileMaker Cloud にホストされたアプリケーション(カスタム App )に初めてアクセスできるようになります。

これにより、いったん登録された端末以外から、同じ ID / パスワードを用いて FileMaker Cloud にログインしようとしても、ログインは成功しない仕組みになっています。未登録の IP アドレスからアクセスがあった場合は、認証プロキシがそれ検出し、 Claris 社からユーザのもとに本人確認のメールが送信されます。そして、本人確認を終えた場合のみ、 ID / パスワード認証ができるようになります。

つまり、オフィスあるいは在宅勤務でいつも使っている端末とは違う端末から FileMaker Cloud にアクセスしても、ログインはできません。もちろん、ファイル単位でアクセス制限をかけて、例えば営業部門のユーザが経理部門のファイルにアクセスできないようにすることもできます。

さらに、FileMaker Cloud では、ユーザは 2 ステップ検証を有効化することによって、 SMS で受け取った認証コードによる追加認証も利用することができます。また、米 Okta (オクタ) などの外部アイデンティティプロバイダサービスと連携した外部認証も可能です。

なお、モバイル端末上の Claris FileMaker Go® から FileMaker Cloud で共有されているカスタム App にアクセスする場合は、iOS / iPadOS による Touch ID や Face ID等の認証と連動させることにより、iPhone や iPad からシングルサインオンすることも可能です。また、FileMaker Go の NFC(近距離無線通信)連携機能と連動させたセキュリティ対策事例もあります。

アプリケーション単位のセキュリティ認証

社内であっても社外でもあっても、アプリケーション(ソフトウェア)単位のセキュリティ認証はもはや一般化しています。Claris FileMaker プラットフォームは、オンプレミスでもクラウドでも、シームレスに、そして、セキュアにデータの受け渡しができるように設計されています。

さらに、2020 年 3 月にリリースされた Claris Connect™ を利用することで、社内データを安全にクラウドへ展開し、クラウド上のデータを複数のアプリケーションを繋いで処理するワークフローが実現可能になりました。これらの設計思想にもプロキシ経由での認証基盤が採用されており、ユーザはプロキシ経由なしに Claris Connect の設定画面にはアクセスできないセキュアな環境を提供しています。

FileMaker Cloud 管理者用資料をダウンロード:https://content.claris.com/0320-438-JPN-JA-Cloud-Admin-Guide.pdf

Claris クラウドサービス セキュリティについて:https://www.claris.com/ja/resources/white-paper/2020/claris-cloud-services-security/

FileMaker Cloud への招待

このように、FileMaker Cloud を利用することによって、最新のセキュリティコンセプトに基づいたアプリケーション構築を迅速かつ簡単に実現することができます。もし、ゼロトラストネットワークをベースとした情報システム構築を検討されているのであれば、FileMaker Cloud を基盤として、Claris FileMaker Pro™ によるローコード開発でアプリケーション構築することをお勧めします。

FileMaker Cloud には、購入前の評価のために、 15 日間限定の無料評価プログラム(招待制)が用意されています。無料評価の招待を希望される場合は、こちらのサイトからお申し込みください。