多要素認証と証明書利用は推奨でなく「基本対策」、コロナ禍時代も変わらない認証のあるべき姿とは - 株式会社ソリトンシステムズ 宮崎 洋二 氏 | ScanNetSecurity
2024.05.25(土)

多要素認証と証明書利用は推奨でなく「基本対策」、コロナ禍時代も変わらない認証のあるべき姿とは - 株式会社ソリトンシステムズ 宮崎 洋二 氏

本誌では「メーカーのソリトン」よりも「認証のソリトン」として認知されています。

研修・セミナー・カンファレンス セミナー・イベント
PR
株式会社ソリトンシステムズ プロダクト&サービス統括本部 宮崎 洋二 氏
株式会社ソリトンシステムズ プロダクト&サービス統括本部 宮崎 洋二 氏 全 1 枚 拡大写真
 10月7日水曜日から3日間にわたって開催される Security Days Fall 2020 は、東京駅至近のJPタワーホール&カンファレンスの4階で開催され、一部の講演はオンラインによるライブ配信が行われる。

 10月7日水曜日の講演として、株式会社ソリトンシステムズの プロダクト&サービス統括本部 宮崎 洋二 氏が登壇し「リモアクも無線も、基本のセキュリティは全く同じ。新しい時代に求められる認証の“あるべき姿”を40分でスッキリ解説」と題されたセッションが行われる。その見どころやメッセージについて宮崎氏に話を聞いた。


――本誌ScanNetSecurityでは「メーカーのソリトン」よりも「認証のソリトン」として認知されています。また、宮崎さんがMacアドレス認証本来の姿とその限界を指摘した2018年の記事「MAC アドレス認証 これだけ危険」は、公開から2年を経過してもなお、人気記事ランキング30位位内に変わらずランクインし続けています。一方で2020年になって、ITシステムを取り巻く状況は、またまったく新しく変わりましたね。

 はい。昨年の今頃、多くの企業で「働き方改革」への対応を検討していました。例えば、クラウドサービスの積極活用、無線LANの全社導入、オリンピック開催に向けて準備が進められていたリモートワーク環境の整備などが代表例でしたが、2020年の4月に発令された緊急事態宣言により、多くの社員が(半ば強制的に)在宅勤務を実施することになりました。また、その後のいくつかの出来事によってセキュリティ、特に安全な認証への関心が高まったように感じます。

――VPN機器の資格情報が不正に搾取された件は非常に大きいニュースになりました。また、銀行口座から不正出金された事件では「リバースブルートフォース」攻撃が用いられたのではと解説されています。いずれも認証の話題ですね。

 これらの事件の本質はどうであれ、どちらも「認証」のセキュリティを連想させ、認証分野の関心を高めたことは確かなようです。特に、今年の春ごろに急遽テレワーク環境を用意することになった情報セキュリティ担当者は不安を抱いたはずです。弊社が8月に開催した、総務省のテレワークセキュリティガイドラインを解説するオンラインセミナーには、600名を超える参加をいただきました。

――今回の宮崎さんのご講演タイトルには「40分でスッキリ解説」とありますが、たった40分で認証についてわかるものですか?

 はい。実は、セキュリティ、特に認証の “あるべき姿” や、そうすべき理由は極めてシンプルで、長らく変わっていないのです。もし、この分野を難解と感じられている方がおられるとすると、認証について全てを一から理解しようとしているのかもしれません。それはセキュリティ専門家であっても容易ではありませんし、突き詰めて考え出すとキリがないものです。

 システム担当のみなさんは、社員が働きやすい在宅勤務のあり方や、生産性を上げるリモートワークの実現など、もっともっと重要な仕事を任されています。そちらに専念するためにも、今回ご紹介する認証の「ひとつの」正解の形を参考にして頂きたいと思います。

――20年以上にわたって認証製品を提供し続けてきた「認証のソリトン」ならではの発言ですね。御社が提言する、オールインワン認証アプライアンス「NetAttest」を使った多要素認証や証明書を使った認証は、ニューノーマルの時代に受け容れられていくと思いますか?

 はい。すでに多くのお客様よりご相談を頂いています。

 少し前まで多要素認証や証明書の活用は、大きい会社やサービスが行うもので、あくまで「推奨事項」と考えられてきました。しかし、いまやIDとパスワードだけで認証しているサービスは日々減り続けています。IDとパスワードを頑張って覚えても、覚えさせても、苦しいだけで、「自分の安全を守るためだ。この苦労は仕方がない」と思っている人はどこにもいません。

 時代によってセキュリティの合格ラインは変わります。例えば、総務省のテレワークセキュリティガイドラインには、システム管理者に向けた不正アクセスに対する「基本対策事項」として、「テレワーク勤務者からの社内システムにアクセスするための利用者認証について、多要素認証方式を用いたり、電子証明書を併用したりするなどの技術的基準を明確に定め、適正に管理・運用する」と記載があります。

 セキュリティの “今” の合格ラインを意識しておけば、もし「我が社のテレワークは危なくないのかね」と経営陣に聞かれたときも、自信を持って「大丈夫です。何故なら~」と答えることも決して難しいことではないのです。

――今回もブレないお話をどうもありがとうございました。


●リモアクも無線も、基本のセキュリティは全く同じ。新しい時代に求められる認証の“あるべき姿”を40分でスッキリ解説
10月7日(水) 14:30-15:10 PM
https://f2ff.jp/introduction/3988?event_id=secd-2020-02-tokyo
株式会社ソリトンシステムズ プロダクト&サービス統括本部 宮崎 洋二 氏

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  2. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  3. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  4. 求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

    求人情報サイト「バイトル」へ不正ログイン、新たにアローズコーポレーションでも判明

  5. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  6. 2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

    2 時間後に気づいたサポート詐欺 ~ 大東文化大学 非常勤講師 PC に不正アクセス

  7. スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

    スマートグラスで入試問題を撮影しスマートフォンに転送、早稲田の受験生を書類送検

  8. 2023年にネットバンキングの不正送金が急増した理由

    2023年にネットバンキングの不正送金が急増した理由

  9. 「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

    「JFおさかなマルシェ ギョギョいち」に不正アクセス、カード情報が漏えいした可能性

  10. Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

    Dropbox Sign に不正アクセス、 NICT のセキュリティ講習「実践サイバー演習 RPCI」受講者の個人情報流出

ランキングをもっと見る