テレワークに伴い、急増している「不正ログイン被害」　IT初心者でもラクに管理できる、ID認証サービス活用事例

テレワークの急拡大で変化したIT環境

佐藤菜緒氏：こんにちは。独立系ITセキュリティメーカーのソリトンシステムズです。私は営業統括本部に所属し、ITセキュリティ製品・サービスのコンサルティングセールスをしております、佐藤菜緒と申します。

多くの企業でオフィスと在宅を行き来するハイブリッドワークが定着する中、従業員が利用するパスワードに関する運用を見直す動きが出始めています。本セッションでは、パスワードの脆弱性を解決し、企業ネットワークの中でも外でも同じアプリケーションやデータに安全にアクセスさせるためのポイントと、それを実現する多要素認証手法について解説します。

まず簡単に、ソリトンについて紹介いたします。ソリトンは1979年に設立し、IT業界では老舗に分類される企業です。東京・山形・長野に開発拠点を持っており、国内開発・サポート体制でセキュリティ関連の製品サービス、またオリンピックや東京マラソンなどでも利用されている高画質映像配信システムなどを開発・販売しております。

では、本日の本題に入ります。一昨年、テレワークが急拡大しました。そして2021年にかけて緊急と緩和が繰り返され、今ではみなさまの企業でも在宅とオフィスを行き来するハイブリッドワークが定着しているのではないでしょうか。在宅ワークが常態化する中、IT環境とそれを取り巻く脅威にも変化が発生しています。

テレワーク端末を狙う攻撃や、不正ログイン被害も急増

従来のIT環境は、いわば境界防御のセキュリティモデルで、オフィスという箱の中にいれば正しいユーザーであることが確認でき、外部との通信も社内のゲートウェイを経由してやり取りされていました。外部からの不正アクセスはLAN接続にフォーカスすればよく、対策は非常にシンプルでした。

しかし一昨年、緊急的に全社テレワークが始まるとともに、Web会議システムをはじめとするクラウドサービスの活用も一気に増加し、従来の境界防御のセキュリティモデルに限界が生じ、テレワーク端末を狙った攻撃や、情報資産への入口となる業務アプリケーションへの不正ログイン被害も急増する結果となりました。

GmailやSNSなどのコンシューマ向けアプリケーションでも、2段階認証の設定を推奨する案内がよく来ていますが、なぜ推奨されるのかというと、実際に利用者のアカウントが乗っ取られる不正アクセス被害が発生しているからです。

コンシューマ向けアプリの世界で起こっていることは、当然法人向け業務アプリの中でも発生しているのが現実で、業務アプリケーションとして有名なSalesforceが今年の2月よりMFA（Multi-Factor Authentication）、多要素認証の必須化を決定しています。

調査対象の企業・団体の99％以上で、アカウントやパスワードが漏洩

テレワークが長く続く中、企業のクラウド活用が増加していますが、それに合わせてクラウドサービスへの不正アクセス被害も実際に増加していますので、今後は他のクラウドアプリもMFA必須化の動きに追随してくるかもしれません。

「99.9パーセント」というのは、弊社の漏洩アカウント被害調査サービスを受けられたお客さま1,660ドメインのうち、従業員のパスワードを含むアカウント漏洩が確認された割合です。調査数が増えるにつれ、漏洩率が高まっています。

こういった漏洩アカウントは、ブルートフォースなどのパスワードリスト攻撃に使われています。パスワードを奪う手段は、外部サイトに登録されたアカウントをハッキングによって奪う方法もありますが、PCにキャッシュされた認証情報を窃取するという攻撃手法も目立ってきています。

昨年、弊社のサイバー空間調査チームは、日本を含む1万数千台のPCから窃取された大量の漏洩データ群を発見しております。PCから窃取された情報の中身を見ますと、デスクトップに置かれたファイルや画面のスクリーンショットに加え、そのPCが利用していたアプリケーションごとのパスワード情報が窃取されていました。

漏洩データ群には企業が利用しているPCも含まれており、数多くの国内の業務システムへのログイン名とパスワードが発見されています。組織の内部システムへのログイン情報や、クラウドサービスを利用するためのログイン情報が窃取されている実態が明らかになっています。

個人のPCではなく、組織全体がターゲットになることも

認証情報を窃取するマルウェアですが、今年に入り猛威を振るっているEmotetなども侵入型ランサムウェアとして、暗号化や脅迫だけでなく、VPNやクラウドサービスなどあらゆる認証情報を窃取しています。

昨今の侵入型ランサムウェアは、10年前のランサムウェアと異なる点が多数あります。中でも、個人のPCが狙われるのではなく企業や組織がターゲットになること、そして主な進入経路はメールではなくVPNなどのリモートアクセスである点には注意が必要です。

こちらはリークサイトへの暴露例です。組織の実名とともに、漏洩した総データ量や暴露までの進捗、サンプルなどが公開され、金銭を要求されることになります。

対象データは取引先との情報も含まれることも多く、被害が自社だけにとどまらないケースもあります。また、一度リークサイトに掲載された情報は、基本的には削除することはできません。

漏洩済みの認証情報を用いた攻撃にも警戒を

ランサムウェアの侵入経路は、不審なメールを開いて着弾すると思われる方が多いと思います。それもありますが、今年のランサムウェアはVPNなどリモートアクセス経由の進入が約73パーセントを占めています。

リモートアクセス経由での進入対策としては、脆弱性対策が基本です。各社からはすでに修正バージョンが提供されていますので、ベンダーの提供する情報をよく確認した上で、修正バージョンをいち早く適用することが推奨されています。

1つ注意しなくてはならないのは、脆弱性対策だけでは不十分なケースもあるということです。脆弱性のあった時期にすでに攻撃を受けて認証情報が盗まれている場合、修正パッチを適用したとしても、パスワードを変更していないとすでに盗まれたアカウントとパスワードを使って侵入される可能性があります。

漏洩済み認証情報を用いた攻撃も想定して、対策をしなくてはいけないという点がまだまだ認識されていないケースが多く、被害が後を絶たない原因の1つとなっています。

漏洩パスワードなどを利用したリスト攻撃を防ぐMFA方式に、SMSワンタイムがあります。自分が持っているスマホが利用できて一見安全ですが、昨今SMSワンタイムの脆弱性をついたフィッシング被害が急増しています。

通信キャリアからフィッシング詐欺の注意喚起もされていますし、米国のNIST（アメリカ国立標準技術研究所）のガイドラインでも非推奨となっていますので、多くの社員が利用する企業システムで採用される際には注意が必要です。

デジタル証明書であれば、端末紛失時の対応も取りやすい

では、企業・組織においてどのような多要素認証が最適なのでしょうか。「多要素認証」は1つの認証要素ではなく、異なる複数の認証要素を組み合わせるものです。知識、所有、生体といった認証要素がありますが、その中でも1つ異なるものがあります。それは「デジタル証明書」で、これだけが通信確立時に認証できるものです。

攻撃防御を考えた場合、証明書認証は非常に有効です。まず、通信段階で認証することができるという点が非常に重要です。

ほかの多要素認証であれば、攻撃者はログイン画面までたどり着けてしまいますが、証明書であればそもそも通信が成立しません。正規の証明書がない攻撃者はログイン画面にたどり着くこともできず、ログイン画面がないと成立しない脆弱性攻撃も成功しません。

また、紛失時の対応も取りやすいのがデジタル証明書の特徴です。証明書を失効させれば確実に認証失敗させることができ、必要になれば再発行すればよいので運用もしやすいです。ほかの多要素認証であれば、緊急時の代替認証の手段を整備したり、物理デバイスとしての代替機を用意するといった対応が必要となります。

また、デジタル証明書はほかの多要素認証とは異なり、VPNだけでなく無線LANやクラウドサービスなどのさまざまな認証に利用できるメリットがあるほか、PKIの仕組み自体は長年の歴史があり信頼性の高い技術となるため、さまざまなOSでも利用できるというメリットも大きいと考えています。

複数のクラウドサービスをまとめて認証

SAMLに対応するクラウドアプリはもちろん、SAMLに対応していないクラウドアプリや社内システムやネットワーク認証にも適用でき、社内外に点在する情報資産を保護するID認証サービスとして、ソリトンは「OneGate」を提供しています。

ここからは、OneGateの活用例や運用のポイントのお話をさせていただきます。OneGateは、デジタル証明書の優位性を最大限に活かす大きな4つの特徴を持っています。

まず1つ目の「SASEやSalesforceなどクラウドサービスへの多要素認証の適用」について解説します。MFAとシングルサインオンアクセスの仕組みですが、クラウドアプリ利用時の認証はこのようなかたちです。

クライアントがSalesforceやBoxなどのクラウドサービスにアクセスすると、SAMLの仕組みで「IDプロバイダー」とも呼ばれるID認証サービスにリダイレクトされますので、ここで証明書とFIDO2、もしくは証明書とパスワードでMFA認証に成功すると、アサーションというチケットが発行され、これをSalesforceやほかのクラウドサービスに提示していきます。

証明書認証に対応したIDプロバイダーであれば、このように接続してくるユーザーとデバイスを確実に特定することができます。最近ですと、ゼロトラストの取り掛かりとしてSASEの導入を検討される企業も多いですが、多くのSASE製品もSAML認証をサポートしており、OneGateと簡単に連携することができます。

クラウドサービスとの連携設定も簡単

パロアルトさんのSASE製品「Prisma Access」の場合の認証の画面遷移を見てみますと、グローバルプロテクトでPrismaに接続するとOneGateにリダイレクトされ、証明書による端末特定と利用者認証を実施し業務を開始できます。

正規の利用者であっても証明書が入っていない端末では認証が進まず、業務禁止の状態となります。Prismaへのアクセスをセキュリティ対策が施された端末からの利用に限定し、不正アクセスを防止します。

SASEやクラウドサービスとの連携設定は簡単です。OneGateの管理画面で「クラウド設定」にアクセスし、連携したいクラウドサービスを選び、指定された項目を入力することで設定が完了します。

利用予定のクラウドサービスが一覧にない場合や、例えば自社開発アプリをSAMLで作っている場合などは、「登録」を押すとお客さま側でSAML連携設定を個別登録することも可能です。今後クラウドサービス利用を広げていく場合にもご安心いただければと思います。

操作に迷わず、安全にデジタル証明書の発行が可能

OneGateの2つ目の特徴は、ADやAzure ADアカウントを利用したデジタル証明書の自動発行と、発行済み端末情報の自動記録に対応し、デジタル証明書の運用を強力に支援することです。1人で複数端末を利用している場合にも利用中の端末を素早く特定でき、証明書の失効運用も簡単です。

こちらはデジタル証明書の管理・運用画面です。ユーザー情報は個別登録もできますし、AD連携の場合はドメインユーザーがすでに自動登録されていますので、まずは利用者に証明書を取得するための一次コードである招待コードをメール送付します。

発行対象のユーザーを選択して「発行」ボタンを押すことで、利用者への招待コードがメールで送付されます。そして、利用者はインターネット上でデジタル証明書を安全に取得できます。

OneGateは社内のADと独自のコネクターで連携し、ID同期・認証連携されています。利用者は証明書取得アプリ「KeyManager」を利用し、招待コードとADアカウントのID・パスワードを使って証明書を取得します。このKeyManagerはPCにもスマホにも対応し、全OS同じ手順で証明書取得ができます。

決まった動きをする専用アプリですので、利用者は迷わず安全に操作ができ、ヘルプデスクは工数をかけずに証明書展開ができます。簡単に証明書発行が行えますが、（システムの）中では安全にエンロールしていますので、証明書の不正コピーを一切許容しない仕組みを実現しています。

第三者が“合鍵”を作るチャンスを防止

証明書自動発行の仕組みですが、発行申請時に端末内で鍵ペアを生成し、秘密鍵をエクスポート禁止状態で端末内に埋め込みます。これにより、第三者が合鍵を作るチャンスをそもそものところで防止します。

クラウドのOneGate側では、ユーザー認証と招待コードの確認に加え、利用端末のOS種別、ドメイン名、コンピュータ名を識別して記録します。「ドメイン外のPCへ証明書を発行しない」という制御にも対応しています。

利用者が証明書を安全に取得すると、あとはデバイスをなくした際の証明書の失効が主な運用となります。利用者はADユーザー名で証明書を取得しており、端末種別については証明書発行時にOneGate側に自動記録されています。

利用者がデバイスを紛失した際は、まずはADユーザー名で検索して絞り込めばその人が持っているデバイスが一覧で確認できますので、OS種別やデバイス名、コンピュータ名を確認し対象のデバイスを特定します。

iPhoneを紛失した場合はそのスマホの証明書だけを失効し、PCについてはそのまま継続利用ができるといった、利用者の生産性を止めない運用が可能です。また、最新バージョンではコンピュータ名も記録していますので、リースアップしたPCを効率的に失効するなど証明書の運用性もさらに向上しています。

ITの専門家でなくても、わかりやすく運用ができる

多要素認証の実際の運用について、JR東海さまの事例を紹介します。JR東海さまでは、設計・施工管理業務の生産性向上を目指し、2018年より協力会社とデジタルで工事情報の共有を行う「施工支援システム」の検討を開始されました。

同社初となるクラウドサービスの導入にあたり、セキュリティ要件として多要素認証の導入と接続可能な端末の制限を定め、この実現のためにOneGateが採用されています。デジタル証明書による多要素認証を施工支援システムのサインイン時に適用し、利用者認証だけでなく利用端末の特定も実施され、機密情報の漏洩防止を実現されました。

OneGateはIT部門ではなく建設工事部門で運用されていますが、「証明書の配布情報のステータスもすぐに把握できる」「一度証明書を入れればあとは当たり前のように使えるので、現場の利用者から不満の声もなく困ることはない」（といった声が上がっています）。

証明書プラスパスワードの多要素認証を実施されていますが、「パスワードはセルフサービス化されており運用負荷がかからない」「管理画面が直感的でわかりやすく、誰が、いつ、どの端末から入ったかも一目でわかり、現場利用者からの問い合わせ対応も円滑」と、運用性について高い評価をいただいています。

ログの検索性は多要素認証の運用において負荷軽減の重要な要素になりますので、次のページで詳しく説明します。

証明書認証のログから端末情報を確認できる

OneGateは、監査にも対応できる管理者ログと利用者ログを詳細に残します。管理ログではいつ、誰が、どの端末から、どのような管理者権限の操作を行ったかログを残します。利用者ログではいつ、誰が、どのSaaSサービスに、どの端末からアクセスしたのか、簡単・瞬時に検索し確認することができます。

例えば利用者ログインログでは、さまざまな項目で簡単に検索することができます。認証に失敗したログも残りますし、「Windows統合認証で認証成功した」といった認証方法も確認できます。OneGateは利用端末の情報を証明書発行時に自動記録していますので、証明書認証のログから端末情報を確認することも可能です。

SSOアクセスログでは、Boxやサイボウズドットコム、Salesforceなど、どのSaaSサービスにアクセスしたのかを瞬時に検索し確認することも可能です。

OneGateは、秋のバージョンでパスワードレス認証機能が強化されました。利用者認証の手法として、新たにスマホ認証をサポートし、これをポリシー／リスクベース認証に利用したり、デスクトップログインにも適用できるようになります。

パスワードリスト攻撃やフィッシングを防ぐデジタル証明書認証と、パスワードレスを実現する「Soliton Authenticator」を組み合わせた多要素認証で、利便性もさらに向上します。秋にリリースの新機能をデモでご確認ください。

ご覧いただいたスマホ認証ですが、通常とは異なる異常なログオン操作を検知した場合に、追加認証として要求することも可能です。連続でログオンを失敗しているとか、短時間でアクセス元のロケーションが変化しているなど、自動で検知しアクセスを制御します。

DXに伴い、企業が利用する業務アプリの数が増加

続きまして、もう1つの特徴。社内システムなどSAML非対応のアプリケーションに対しても、代行入力型のシングルサインオンを実現できます。

企業が利用するアプリケーションを整理してみますと、現在企業ではDXの取り組みで多くの業務アプリケーション化を推し進めています。今や1つの企業が利用する業務アプリは膨大で、その数は増え続けています。全社員が利用するEメールやグループウェア、Web会議アプリだけではなく、オンプレミスの社内システムも拡張を続けています。

また特定の部門が利用するアプリ、例えばマーケティングオートメーションツールや、工事部門が利用する写真台帳アプリなどの利用も広がっています。さらに、取引先が指定する業務アプリにログインして利用する機会も増えているのではないでしょうか。これらのアプリケーションをパスワード管理から解放する手段も、OneGateは提供しています。

代理認証アプリ「PasswordManager」がOneGateに多要素認証を行い、管理者や利用者が登録した各業務システムのログイン情報を代行送出してくれます。ユーザーは業務システムのパスワードを管理する必要がなくなり、パスワード漏洩のリスクを解消することができます。

この代理認証アプリはPCはもちろん、iOS/Androidのネイティブアプリにも対応しています。ネイティブアプリへの証明書認証プラス代行入力サインオンは、ソリトンだけが実現するユニークな方式です。

安全性の向上と、パスワード管理負担からの解放

このMFA対応のPasswordManagerの活用例として、西松建設さまでは約4,000ユーザーのパスワード漏洩の防止と、パスワード定期変更ルールの廃止を同時に実現されています。

社員が各システムで共通のパスワードを利用する、いわゆるワンパスワードの運用をされており、パスワード漏洩リスクの懸念がありました。社内システムや現場で利用されるアプリにはSAML非対応のものも多く、Azure ADに認証を一本化することが難しい環境でもありました。

そこで、社員には業務システムのパスワードを管理させない方法としてOneGateが採用されています。利用者はパスワード入力負担からも定期変更ルールからも解消され、安全性とともに利便性を大きく向上させることに成功されています。

SAMLによるシングルサインオンは安全で便利な規格ですが、実際に社員が利用する業務アプリは多岐にわたっており、SAMLに対応していないアプリや、部門独自で運用しているなどの諸事情でSAMLを利用していないアプリも数多くあります。

代行入力型のシングルサインオンを活用することで、あらゆる業務システムをカバーし、社員をパスワード管理負担から解放することができます。OneGateは、ほかにもネットワーク認証を統合管理できる機能も持っています。ゼロトラストに関する各種ホワイトペーパーや導入事例もご用意しておりますので、Webサイトまでアクセスいただければ幸いです。