By Thi Nguyen-Huu
今日の多くのサイバー脅威に対して企業ネットワークを完全に保護するためには、ネットワークへのアクセスを希望するすべての人の認証が必須です。ハッカーやサイバー犯罪者ではなく、正当なユーザであることを確認することは、情報セキュリティの基本です。
しかし、従来のユーザ認証は、パスワードを覚えたり、鍵を送信したり入力したりと、ユーザにとって負担の大きいプロセスであり、ユーザフレンドリーではありませんでした。
しかし、最新の次世代認証ソリューションは、ユーザにとってシンプルです。実際には、ユーザの認証に関するアクションは一切必要ありません。
この新しいアプローチがいかに画期的であるかを理解するために、よく聞かれる質問から、認証に関する誤解を解消しましょう。
質問1.
リモート認証に「多要素認証」(MFA)は必要ですか?
最先端のリモート認証では、公開鍵暗号方式を採用しています。CERTとFIDOの認証は、秘密情報(パスワードなど、認証する側とされる側で共有するデータ)を持たず、フィッシングにも強く、SMSやOTPのような他の方法にはないセキュリティレベルを提供します。
公開鍵ベースの認証では、安全に保護された鍵だけが必要です。多要素は必要ありません。実際には、ユーザの知識や固有性は認証に影響を与えません。ユーザの入力、暗号デバイス、スマートフォンなど、他の「要素」がなくてもエンドポイントデバイスはユーザに代わり認証を完璧に実施します。つまり、破られないということです。世界中のすべてのコンピュータをつなぎ、何年もかければ破ることができるかもしれません。
回答
リモート認証は、多要素認証に依存しません。エンドポイントだけで十分です。
質問2.
クライアントサーバ認証プロセスにおいて、クライアントとは何を指しますか?ユーザですか?それともエンドポイントですか?
ユーザはサービスを受けますが、サーバとの認証を行う主体はユーザであってはなりません。上記で説明したように、ユーザ自身で公開鍵暗号による認証を実施したり、公開鍵暗号に必要な鍵を安全に保管することはできません。ユーザの知識(ユーザが知っている情報)や固有性(ユーザが行う行動)は、リモート認証には適しておらず、共有情報をユーザとサーバで共有することも有効ではありません。
一方、現在のエンドポイントには暗号チップ技術が搭載されており、暗号チップに保管された公開鍵暗号に必要な鍵を「盗む」ことができないと確実に言えます。この機能は、企業のエンドポイントだけが企業のサービスにアクセスできるというもので、ハッカーは物理的に企業の敷地を訪れてノートPCを盗む必要があるため、今日のアカウント乗っ取りのほとんどを防ぐことができます。
このように、クライアントサーバ認証の「クライアント」は、ユーザだけでなく、エンドポイントも含まれると考えることができます。
また、(クライアントサーバ)認証が行われた後、セッションをどのくらい持続させるかを検討することも有効です。セッションが例えば1分以上続いた場合、メールサーバはそのエンドポイントでユーザのメールをダウンロードすることができますが、サーバはそのエンドポイントが依然として認証済みであること(言い換えれば、同じエンドポイントであること)を確認する必要があります。
“エンドポイント “という言葉を使っていることに注意してください。誰に認証されたかに関わらず、サーバはエンドポイントとの接続を維持します。実際、今日のほとんどまたはすべてのサーバは、エンドポイントにトークンやクッキーを置き、それを使ってエンドポイントを確認しています-いわば「再認証」です。
このことがいかに重要であるかを認識しましょう。認証は1日1回行われるかもしれませんが、「セッションの維持」「再認証」「認証状態の維持」はその何倍もの頻度で行われます。これは何を意味するのでしょうか。
サーバは、最初のログインの後、サービスを提供し続けるために、エンドポイントを使用し「再認証」してきました。ログインにもエンドポイントを使えばいいのではと思うかもしれませんが、エンドポイントはすでにユーザを認証しています。ここでいうエンドポイントとは、”デバイスとユーザ “を合わせたものを指します。
認証でエンドポイントを使用しなかった場合は、認証とエンドポイントの関連付けに問題があります。スマートフォンを使った新しい「パスワードレス」ソリューションでは、スマートフォンから鍵を読み取ってエンドポイントに入力する必要がないため、ユーザにとっては簡単です。しかし、これでは関連性がなくなってしまい、問題が生じます。関連付けが欠けると、プッシュ攻撃などの攻撃が発生します。
そのため、ユーザよりもエンドポイントを使用することが望ましいです。ユーザやエンドポイントではなく、アウトオブバンド(OOB)のスマートフォンを使用するソリューションの場合、さらに多くの脆弱性が生まれます。OOBスマートフォンは二次的な要素としては有効ですが、一次的な要素としては使用すべきではありません。
また、何時間も経過している場合は、必ず確認が必要になります。ユーザがサービスを受けますが、サーバがユーザと直接話をすることはありません。データのやりとりは常にサーバとエンドポイントの間で行われます。その結果、サーバがエンドポイントを第一の主役として認証し、その認証を維持することが最も理にかなっていると言えます。
では、2つ目の質問の答えですが、クライアントサーバ認証のクライアントは誰なのか、ユーザなのか、エンドポイントなのか。
回答
エンドポイントです。
質問3.
エンドポイントがすべてを可能にすることを確立した今、ユーザは余計な存在なのでしょうか?
答えは前もって用意しておきます。いいえ、余計なものではありません。
その理由は以下の通りです。
エンドポイントへの認証はユーザ、サービスプロバイダーへの認証はエンドポイント、と認証を2つに区別することで、スマートエンドポイントにリモート認証を任せることができ、サービスプロバイダーへの認証にユーザの操作を必要としません。アクションを全く必要としないのです!
しかし、ユーザにはまだ重要な役割があります。エンドポイントは、(複数の個人で共有できるため)ユーザを認証する義務があります。エンドポイントが “デバイス+ユーザ “という複合的なアイデンティティを持つためには、ユーザによるロック解除が必要となります。ユーザがログアウトした後、別のユーザがエンドポイントにログインすると、エンドポイントは最初のユーザではなく、2人目のユーザと見なすようになります。
ユーザが関与しているので、PIN、バイオメトリクス、USBやスマートフォンのようなトークンなど、多要素認証を採用することができます。しかし、それはロック解除や継続的なチェックのためであり、サービスプロバイダーのためだけのものではありません。ユーザはエンドポイントへのログインを継続し、必要に応じてより多くのMFAを設定することができます。
エンドポイントが継続的に賢くなっていきます。エンドポイントは、単にユーザの存在を確認するだけでなく、ユーザがサービスにアクセスする際に、ユーザの意図を知ることができます。
2つの認証を区別することで、エンドポイント自身がサーバに対して完璧な認証を行うことができるというメリットがあり、安全なリモート認証を実現するために何もする必要がなくなります。長いパスワードを使う必要はありません。
SMSやOTPは、エンドポイントが安全に代行してくれるからです。