クラウドサービスの利用拡大により業務が効率化する一方で、不正アクセスのリスクや、会社が許可していない端末で業務サービスを利用されるといった、新たな課題も生まれています。
この課題を解決するのが「証明書認証」です。本記事では、その概要や導入により解決する組織課題、導入方法をわかりやすく解説します。
証明書認証とは、クライアント証明書を使って、会社が許可した特定のパソコンやスマートフォンなどの端末だけがサービスにアクセスできるようにする認証方法です。「デバイス認証」や「クライアント証明書認証」と呼ばれることもあります。
私たちが仕事で利用する勤怠管理システムやチャットツールなどのクラウドサービスは、多くの場合、本人確認(ユーザー認証)が求められます。サービスでは、主にIDとパスワードで「誰が」アクセスしているかを確認しています。しかし、IDとパスワード、ワンタイムパスワードなどの認証方法では、「誰が」アクセスしているのかは確認できますが、企業におけるセキュリティ対策として十分とは言えません。
他人にIDとパスワードを知られてしまった場合、その人物が持つパソコンやスマートフォンからサービスにアクセスされるリスクがあります。また、アクセスする人物が本人(正規のユーザー)であっても、会社が支給しているパソコンだけでなく、個人が所有している私物のパソコンからでも業務サービスにアクセスできてしまいます。私物のパソコンなどの会社が管理していない端末は、不十分なセキュリティ対策によるウイルス感染だけでなく、業務データの持ち出しなどの情報漏洩に繋がる可能性があります。このように、どんな端末からでも業務サービスにアクセスできる状況は、企業にとってセキュリティリスクを伴います。
証明書認証を導入することにより、サービスにアクセスできる「端末」を制限できるようになります。証明書認証では、会社が「この端末ならアクセスさせてよい」と認めた端末に、あらかじめ「証明書」をインストールします。そして、サービスにアクセスする際、「証明書を持っている端末かどうか」を確認します。証明書を持つ端末だけがサービスにアクセスでき、証明書を持たない端末からのアクセスを拒否します。
これにより、万が一IDとパスワードが盗まれてしまっても、証明書を持っていない端末からのアクセスを防ぐことができます。また、会社が許可していない従業員の私物端末から業務サービスにアクセスすることも防止します。そのため、外部の人物による不正アクセスといった「社外のセキュリティ脅威」と、従業員本人の私物端末の不正利用といった「社内のセキュリティ脅威」の両方への対応策となるのが証明書認証です。
会社で業務用サービスに証明書認証を導入するためには、証明書認証の機能を持つ認証システム(IDaaSなど)を導入することを推奨します。なお、利用しているクラウドサービスや社内システムとの連携可否は、導入するIDaaSによって異なるため確認が必要です。
◆ 証明書認証を身近な例で理解する:コンサートの入場チケットに例えると?
証明書認証を理解する上で、コンサート会場にチケットを提示して入場する場面をイメージするとわかりやすいでしょう。
コンサート会場には通常、入場ゲートが設置されており、来場者は事前に入手した「チケット」を提示することでゲートを通過し会場に入ることができます。チケットを持たない人は、入場ゲートを通過できずコンサート会場に入れません。
この「チケット」が、「証明書」に相当します。証明書認証では、許可された「証明書(チケット)」を持つ「端末(来場者)」だけが、「システム(コンサート会場)」へのアクセスを許可されます。
証明書認証を行うには、事前に「クライアント証明書」をパソコンなどにインストールする必要があります。クライアント証明書は、端末の身分証明書のようなものです。「クライアント」は、パソコンやスマートフォンなどの端末(デバイス)を意味しています。サービスへのアクセスを許可する端末にクライアント証明書をインストールすることで、アクセス時に証明書の有無を確認します。証明書の有無で、その端末がアクセスを許可されたものかを判別します。
クライアント証明書は、認証局(CA:Certification Authority)と呼ばれる信頼された第三者機関によって発行されます。これは、私たちの日常で例えると、パスポートや運転免許証を発行する公的な機関に例えるとわかりやすいでしょう。認証局が発行することで、その証明書が正当なものであることが保証されます。
クライアント証明書と混同されやすいものに「サーバー証明書」があります。サーバー証明書は、ユーザーがウェブサイトやサービスを安全に利用するために、そのサイトが本物であることをブラウザに証明する役割を担います。クライアント証明書はクライアント(端末)に導入してサービス利用者の証明をするのに対し、サーバー証明書はサーバーに導入してサービス提供者の信頼性を保証するという役割の違いがあります。
証明書認証は、端末に対して厳密な確認ができる一方で、「誰が」アクセスしているかという本人確認は不十分です。証明書認証だけでサービスにアクセスできる場合に、もしその端末が紛失または盗難されてしまうと、ログインIDがわかればアクセスできてしまいます。よりセキュリティを高めるためには、証明書認証であっても他の認証方式と組み合わせた導入が推奨されます。
「証明書をインストールした端末」のように、本人のみが持っているものを用いる認証要素を「所持情報」といいます。ID/パスワードのように、本人のみが知っている情報を用いる認証要素を「知識情報」といいます。このように、異なる2つ以上の認証要素を用いて認証することが「多要素認証」です。
多要素認証を行うことで、一つの認証要素が突破されても別の認証要素で不正なアクセスを防ぐことができ、セキュリティの強化に繋がります。証明書認証の場合、ID/パスワード認証や生体認証など、「所持情報」以外の認証方式と組み合わせて導入しましょう。
◆ 多要素認証の解説はこちら
多要素認証(MFA)とは?二段階認証との違いやSSOによる相乗効果、導入方法をわかりやすく解説
リモートワークの普及やクラウド利用の拡大といったビジネス環境の変化により、従来のID/パスワードのみの認証ではセキュリティ上の課題が生まれています。ここでは、近年増加している3つの組織課題と、ID/パスワード認証に証明書認証を加えた「多要素認証」により課題を解決できる理由を解説します。
サイバー攻撃が高度化する現代において、IDとパスワードのみに依存した認証ではセキュリティ対策としては十分とは言えません。証明書認証を導入することで、たとえIDとパスワードが漏洩したとしても、クライアント証明書がインストールされた端末以外からのアクセスを防ぐことができます。
例えば、フィッシング詐欺によって従業員のIDとパスワードを詐取されたとします。ID/パスワードのみで認証を行っている場合、攻撃者はその情報を使って自身の端末からサービスへアクセスできてしまいます。しかし、証明書認証を導入していれば、攻撃者の端末にはクライアント証明書がインストールされていないため、アクセスを試みたとしても拒否されます。これにより、不正アクセスによる情報漏洩から企業の情報資産を守ることに繋がります。
企業のセキュリティ課題の一つに、従業員の私物端末の業務利用があります。会社によっては、私物端末の業務利用を許可しているケースもありますが、サービスにアクセスできる端末を制限していないと、会社が許可していない個人の端末からもアクセスできてしまいます。実際に、約4割の社員が無許可で私物端末を利用しているというデータ※1もあります。
証明書認証は、会社が利用を許可したパソコンやスマートフォンのみクライアント証明書を配布します。これにより、証明書がインストールされていない私物端末や、会社が把握していない端末からの業務サービスへのアクセスを防ぐことが可能です。どの端末からのアクセスを許可し、どの端末からのアクセスを拒否するかを管理者がコントロールできるようになり、私物端末の利用に起因した情報漏洩や内部不正のリスクを低減できます。
クラウドサービスの普及やリモートワークの定着により、「社内で社会支給のパソコンから業務システムにアクセスする」以外にも、様々な働き方が広がっています。証明書認証でサービスにアクセスできる端末を制限しセキュリティレベルを高めることで、従業員に対して場所にとらわれない柔軟な働き方を提供できるようになります。
従業員は、クライアント証明書をインストールしている端末(会社から許可された端末)からであれば、オフィス内外を問わず、クラウドサービスへ安全にアクセスできるようになります。そのため、外出先や自宅からでもオフィスと変わらない環境で業務を行うことができます。これにより、従業員の生産性向上とセキュリティ強化を両立し、柔軟な働き方の実現に貢献します。
証明書認証を導入する方法はいくつかありますが、複数のクラウドサービスを利用している企業の場合、「IDaaS(Identity as a Service)などの認証サービス」を用いて導入することを推奨します。
ここでは、IDaaSを利用して証明書認証を導入するメリットを紹介します。
|
◆ IDaaSとは ID管理と認証機能を備えたクラウドサービスです。証明書認証機能を搭載しているIDaaSであれば、証明書認証を導入できます。 |
IDaaSが提供する、シングルサインオン(SSO)や多要素認証(MFA)の機能を証明書認証と組み合わせることで、さらにセキュリティを強化し、利便性も向上できます。
例えば、サービスにアクセスする際、まずは証明書認証で「許可された端末」からのアクセスであることを確認し、次にID/パスワードを入力し「本人であるか」を確認する、といった多要素認証を義務付ける設定ができます。さらにSSO連携により一度の認証で複数のサービスにログインできるようになります。
これにより、証明書認証を含めた複数の認証方式による多要素認証でセキュリティを強化しつつ、SSOでユーザーの利便性を向上させることができます。
◆ シングルサインオン(SSO)の解説はこちら
【初心者向け】シングルサインオン(SSO)とは?業務効率とセキュリティを両立
◆ 多要素認証(MFA)の解説はこちら
多要素認証(MFA)とは?二段階認証との違いやSSOによる相乗効果、導入方法をわかりやすく解説
証明書とID/パスワードで多要素認証・SSOする場合(一例)
図:証明書認証とID/パスワード認証でIDaaSにログインする流れ
証明書認証とID/パスワード認証を行い、ユーザーがサービスにアクセスする際の流れを紹介します。
1. 証明書の確認
ユーザーが、証明書をインストールした端末からIDaaS(もしくはIDaaSとSSO連携したサービス)にアクセスしようとすると、証明書を所持しているか確認されます。
2.ID/パスワードの確認
証明書をインストールした端末からのアクセスであると確認が取れたのち、ID/パスワードの入力画面に遷移し、ID/パスワードの入力を求められます。
3.ログイン完了
ID/パスワードによる認証ができたら、IDaaSへのログインが完了します。SSOにより、1度の認証で連携しているサービスすべてを利用できます。
セシオスが提供するIDaaS「SeciossLink」を活用することで、証明書認証のスムーズな導入を実現できます。ここでは、証明書認証の利用をさらに便利にする、SeciossLinkの機能を紹介します。
| ◆SeciossLink(セシオスリンク)とは サービスのIDをまとめて管理したり、多要素認証やアクセス制御、シングルサインオンができるクラウドサービス(IDaaS)です。証明書認証をオプション機能として備えており、すべてのライセンスで利用できます。 |
SeciossLinkでは、クライアント証明書の配布方法として「管理者による設定」と「ユーザー自身による設定」を選択できます。
・管理者による配布、インストール
端末をユーザーに渡す前に管理者が直接インストールを行います。設定が確実にできる一方、台数が多い場合にはキッティング作業の負担が増大します。
・ユーザーによる取得、インストール
管理者がコンソール上で証明書を発行し、ユーザーが各自のポータルから取得してインストールします。管理側の作業工数を大幅に削減できます。
ユーザーによる設定を行う場合、管理者はCSVファイルを用いた一括登録も可能です。証明書の取得状況の確認や、失効の処理までの一連の作業をSeciossLink上で一元管理できるため、管理者は端末ごとの個別対応という煩雑な作業から解放されます。
◆ SeciossLinkの証明書機能の詳細はこちら
ユーザー自身で証明書の設定を行う場合、会社が許可している端末ではなく、未許可の端末にインストールされてしまうリスクもあります。
SeciossLinkのオプション機能である「OTA配布機能」を利用すれば、インストール時にMACアドレスなどの端末識別番号を確認し、許可された端末だけが証明書を設定できます。ユーザーが未許可端末にインストールすることを防ぎ、管理者とユーザーの双方が最小限の作業で安全なログイン環境を実現します。
◆ 【事例】OTA配布機能を活用し、証明書認証でセキュリティ強化を実現したお客様
「厳密な端末認証で安全なクラウド利用を加速!高セキュリティでDXを推進する方法とは?」
一般財団法人日本情報経済社会推進協会(JIPDEC)様
SeciossLinkは、Microsoft IntuneなどのUEM(Unified Endpoint Management)製品と連携することができます。SeciossLinkと連携することで、UEM製品で管理している端末に対して、クライアント証明書を一括配布することができます。
UEM製品との連携により、証明書をインストールした端末の状態を確認し、古いバージョンの端末からのアクセスを拒否することができます。これにより、さらに高度なセキュリティ対策が可能になります。
◆ SeciossLinkと連携可能なUEM製品はこちら
証明書認証により、万が一ID・パスワードが漏洩しても、クライアント証明書がインストールされていない端末からのアクセスを防ぐことができます。証明書認証の導入には、SeciossLinkのようなIDaaSを活用することをおすすめします。
SeciossLinkを利用した証明書認証の導入により、セキュアで運用負荷の少ないIT環境の実現が可能になります。ぜひこの機会に導入を検討してみてはいかがでしょうか。
※1:サイバーセキュリティ情報局(キヤノンマーケティングジャパン株式会社)
「情報セキュリティ意識に関する実態調査レポート2021~コロナ禍で高まる「シャドーIT」の情報セキュリティリスク~」