schedule 2018/05/15 refresh 2023/11/08
インターネットが普及した現在では、ネットワーク越しに、コンピューター上に存在するあらゆる資源を利用することが、容易になっています。そこから受ける恩恵は大きく、効率的に仕事を進めていく上で、コンピューターネットワークは今や不可欠になっていることは、皆様ご承知の通りかと思います。
当然ながら、便利さには何らかのリスクがつきものです。ネットワーク越しにコンピューターにアクセスできるということは、悪意の第三者が、自分たちの持つ貴重な「情報」などの財産を抜き取る、あるいは破壊する、という可能性が生じるということは、忘れるわけにはいきません。
こういった、意図せぬ使われ方を避けるために用いられるのが「アクセス制御」です。おなじみの、ユーザーIDとパスワードを用いた「認証」は、「誰が」コンピューターにアクセスしているのかを証明する有効なアクセス制御の手法です。
ただし、昨今、パスワード認証だけでは、ユーザーが真正であるかを証明するには、些か心もとないことも事実です。対策として、生体認証やPINコード、ワンタイムパスワードといった別の要素を含めた二要素認証、あるいは同じ認証要素を複数回用いる二段階認証によって、安全性を大きく高めることができます。
このレベルまでで、十分強力なアクセス制御は可能になります。しかし、悪意の第三者に、パスワードを含めた認証要素を盗まれた場合などには、当該IDについて、認証そのものが意味のないものになってしまいます。
ここで、発想を転換してみます。アクセスを許可するコンピューターを決めてしまうことで、不正なアクセスを排除しようという考え方です。
これを「端末アクセス制御」と言います。利用可能な端末を指定するための代表的な手法は、3つあります。
1つ目は、機器についているネットワークアダプターを利用する方法です。ネットワーク機器には、全世界で一意になるMACアドレスがそれぞれ割り振られています。このMACアドレスをもとに、アクセスが許可された端末かどうかを判断する方法です。
2つ目は、IPアドレスを利用する方法です。これは、接続要求があったときに、要求元のIPアドレスを確認し、アクセスが許可された端末であるか、否かを判断する方法です。
3つ目は、クライアント証明書を用いる方法です。クライアント証明書は、その名の通りデジタル証明書の一種です。
クライアント側からは、公開鍵を用いて暗号化した情報を送信し、受ける側はネットワーク機器等が持つ秘密鍵で、復号を試みます。復号ができれば、アクセスが許可された端末が送信元ということが証明されるのです。
これらの方法はそれぞれに長所、短所がありますので、ニーズによって使い分ける必要があります。MACアドレスを用いる方法は、手軽ではありますが、通信が暗号化されません。ゆえに、傍受あるいはMACアドレスの改ざんによる不正アクセスのリスクが残ります。
それに比較して、IPアドレスを用いる方法では、堅牢さは増します。しかし、IPアドレスは同じ端末でも、接続するネットワークにより変わってしまいます。ゆえにこの方法は、端末のIPアドレスが固定できる組織内・構内向けと考えるべきでしょう。
両者の持つ短所は、クライアント証明書を用いる方法で解決することができます。外出先からでも、利用する端末が認証を受けたものである限りは、システムを利用することが可能になります。通信が暗号化されていますので、傍受される、改ざんされるといったリスクも最小化することができます。
端末アクセス制御は、セキュリティをより強固なものにします。しかし、これを導入することですべてが解決するわけではありません。認証については、前述したような二要素認証を用いるなどで、一定水準以上の安全性を保っておくことが大切です。
また、運用ルールも明確に決めておくべきでしょう。外出時に持ち出す端末の場合などは、紛失あるいは盗難のリスクが発生します。
自分の側で端末を制御できなくなった場合、早急に証明書を解除するなどの手続きを行う必要があります。必要な手続きをスムーズに行うことで、予期せぬ事態が発生しても、ダメージを最小限にすることができます。
なお、統合型のID管理サービス製品の中には、クライアント証明書を用いた端末アクセス制御を、認証機能の一部として提供しているものがあります。
シングルサインオンなど、利便性と安全性を両立させる技術との併用で、ユーザーフレンドリーな姿で、セキュリティの強化が可能となります。持ち出し端末の安全性強化をお考えの場合、検討する価値は十分あると言えるでしょう。
(画像は「Pixabay」より)
▼外部リンク
SeciossLink ネイティブアプリケーションのアクセス制限/端末制限機能をリリース
https://www.secioss.co.jp/
