富士通

FUJITSU MetaArc Marketplace

close

「テレワーク」の導入には
「認証」セキュリティにもご注意!

近年、政府主導で掲げられている「働き方改革」を進めるにあたって、各企業が導入する勤務形態として「テレワーク」が挙げられます。テレワークとは、情報通信技術(ICT)を活用し、時間や場所の制約を受けずに柔軟に働くこと。
このテレワークを実現するために、業務システムのクラウド化や、VPN(仮想プライベートネットワーク)やVDI(仮想デスクトップ)の導入を実施する企業が増えてきました。

それらのシステムにログインすること、つまり誰が使用するのかを判別する手順を「認証」と呼びます。
社内ネットワーク内でのみ使用する業務システムであれば、個人を識別するために認証をするだけで、セキュリティまで気にする必要はないかもしれません。
しかし、テレワーク用のシステムとなると、インターネットから接続して使用することが前提です。それは、関係者ではない誰かから接続される可能性があるということです。つまり、誰かにログインされないように、セキュリティを考慮して認証部分を構築することは必須と言っても良いでしょう。

「パスワード」だけでは、もう危ない?

この認証には、たいていの場合「パスワード」が使用されてきました。
しかし、最近のセキュリティ事情において、パスワード利用の脆弱性が指摘され始めました。過去に発生したサービス事業者からの相次ぐ情報漏洩により、漏洩したパスワードリストを用いた「リスト型攻撃」が観測され始めたことが、そのきっかけとなっています。
リスト型攻撃以外にも、パスワードはさまざまな攻撃にさらされています。

パスワードに対する代表的な攻撃

代表的な脅威概要
類推攻撃 ユーザーの環境や情報から類推したパスワードを試していく攻撃です。例えば、ユーザー自身や家族の誕生日や、飼っているペットの名前、自身や会社の電話番号、住所、車のナンバープレートなどの情報からパスワードを類推して入力していきます。近年はSNSに掲載された情報が用いられる場合もあります。
リスト型攻撃 サービス事業者から漏洩してしまったID・パスワード情報は、ネットワーク上に出回っています。このパスワードリストを使用し、サービスへのログインを試みる手法です。ユーザーは、複数のサービスで同じID・パスワードを使い回す傾向にあるため、他の攻撃よりも成功率が高いという現実があります。従業員がプライベートで利用しているパスワードを会社のシステムでも利用していると、この攻撃の被害に遭うことが懸念されます。
辞書攻撃 パスワードには、辞書に掲載されている単語が使われている傾向があります。また、キーボード配列を利用した文字列(「qwerty」や「qazwsx」)や、使われやすい単語の文字の一部を似た文字に置き換えた文字列(「pa55w0rd」など)など、パスワードに使われやすい文字列があります。このようなパスワードに使われやすい単語や文字列のリストを使用して攻撃する方法です。
総当たり攻撃 すべての文字を組み合わせて、すべてのパターンのパスワードをひとつずつ総当たりで入力し、強引に正解のパスワードを割り出す攻撃です。非常に多くの組み合わせがあるため、効率の悪い方法ですが、認証失敗回数制限によりIDを凍結(アカウントロック)しないと、いくらでも試せるため、いつかは不正ログインされてしまう可能性があります。
リバースブルートフォース攻撃 総当たり攻撃が、IDを固定しパスワードを総当たりで入力していくのに対し、パスワードを固定し、IDを総当たりで入力していく攻撃です。アカウントロックから逃れられるため、いつかはログイン可能なIDが割り出されてしまう可能性があります。固定するパスワードには「password」など使われやすいパスワードが用いられます。

「リスト型攻撃」の項目で指摘されているように、従業員がプライベートで利用しているパスワードを会社のシステムでも利用してしまうケースについては容易に想像できます。さまざまなサービスやシステムを使うことが当たり前となった今では、すべてに異なるパスワードを設定することは大きな負担になるのです。パスワード設定を従業員に任せたうえで、「プライベートと同じパスワードを使用してはいけない」、「パスワードは定期的に変更しなければいけない」などといった規則で管理するのは限界があります。
そこで、パスワード以外の認証システムの利用をお勧めします。

「トークンレス・ワンタイムパスワード」で安全なテレワーク環境を!

「PassLogic」は、パスロジが開発した認証システムです。パスワードよりも安全な環境を、生体認証やトークン型のワンタイムパスワードよりも低コストで構築できます。
その認証の仕組みは、「毎回入力する内容が異なるトークンを使用しないパスワード」という性質のもので、「トークンレス・ワンタイムパスワード」と呼んでいます。

パスロジック方式とは、数字が記されたマス目状の表(乱数表)から、マスの”位置”と“順番”(パターン)に沿って、文字を抜き出してパスワードを判読する方式です。「マスの位置を覚えるだけ」なので誰でも簡単に使いはじめることができます。
ログインのたびに乱数表に記された数字がすべて刷新されるので、パターン通りに数字を抜き出せば、パスワードが毎回新しいものに変わる仕組みです。

業務システムとPassLogicを連携するには?

PassLogicは、業務システムに「外付け」して利用するソフトウェアです。業務システムのサーバーとは別にPassLogic用サーバーを設定し、業務システムと連携させて利用します。
ユーザーは、まずPassLogicサーバーにアクセスし、PassLogicへの認証に成功した場合に、連携した業務システムにログインします。
通常の運用では、業務システムのサーバーを社内ネットワークの内側に置き、PassLogicサーバーを社内ネットワークのインターネットとの境界線に置いて運用します。この運用方法だと、業務システムをインターネット側に晒すこともなくなり、安全な運用となります。もちろん、クラウド上に設置する運用も可能ですし、複数の業務システムと連携し、PassLogicへの1回の認証だけで、連携している複数のシステムにログインする「シングルサインオン」環境を構築することも可能です。

PassLogicが対応した連携方式について下記にまとめました。ご参考ください。

PassLogicが対応する連携方式

連携方式主な連携先概要
RADIUS VPN、VDIなどのネットワーク機器 ネットワーク機器によく利用される方式です。PassLogicサーバーがRADIUSサーバーとして機能します。ネットワーク機器に対してRADIUSアトリビュートの応答が可能です。アトリビュート値(Calling-Station-Idなど)を使った認証も可能です。
SAML2.0 クラウドアプリケーション アプリケーション間でユーザー情報のやり取りをするために開発された連携規格です。多くのクラウドサービスが対応しています。VDIやVPNでも対応する製品が登場してきました。
リバースプロキシ 社内ネットワーク上のWebアプリケーション HTTPコンテンツの中継機能を提供します。PassLogicサーバーが、HTTPヘッダでID情報の引き渡し、フォーム認証を代理入力、ベーシック認証の代行を行います。
API(REST) アプリケーション、Webサービス REST形式のAPI(XML、JSON)により、アプリケーションやWebサービスに組み込むことが可能です。
Module 独自の連携用インターフェイスが用意されている製品 一部の製品との連携には専用のモジュールを用意しています。
(例:Office 365、IceWall MFA)

PassLogic導入をご検討いただく際には、まずは、ご利用のシステムが上記の連携方式に対応しているかどうか、ご確認ください。
また、PassLogicへの連携対応をご希望のシステム開発元の方からのご連絡もお待ちしております。

成功事例集をダウンロード

安全なテレワーク環境の秘訣とは?

PassLogic成功事例集と紹介資料をまとめてダウンロード!

  • 株式会社サイバーエージェント 様
  • キリン株式会社 様
  • 株式会社TOKAIコミュニケーションズ 様

成功事例集をダウンロード

関連コンテンツ

ページトップ

公式SNSアカウント

ソーシャルメディアでシェアする

  • facebook
  • twitter

お気軽にご相談ください

WEB:
お問い合わせフォーム
TEL:
0120-933-200

富士通コンタクトライン(総合窓口)
受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)

Copyright 1994 - 2020 FUJITSU