PowerPoint プレゼンテーション

株式会社オージス総研

サービス事業本部

テミストラクトソリューション部

情報システム部門は、スマート

デバイスにどう向かうべきか

～利用者の利便性を向上させつつ、セキュリ

ティを強化する方法～

「明日の認証会議」1st Session

2014/09/02（火）

三田 善啓

ThemiStruct のご紹介

ThemiStructはシステムの “連携” を実現します。

ThemiStructは企業の様々なシステムの“連携”を実現する６つのIT基盤ソ

リューションから成っています。企業を取り巻く様々なIT環境の変化と要

求にお応えできるよう、日々進化し続けています。

社内とクラウドをシームレスに

つなぐシングルサインオン

電子証明書の「発行」と「管理」を

シンプルに実現

アジェンダ

1. 企業システムの環境変化とセキュリティ脅威

2. クラウド/スマートデバイス時代に求められ

る「認証」とは？

3. スマートデバイスを便利に、かつ、セキュリ

ティを強化するキーワード

インターネット

（従来）境界セキュリティによるシステム利用

認証基盤

情報資産

企業内部ネットワーク

利用者

F/W

V

P

N

ファイアウォールによる内部/外部のセキュリティ境界

情報資産はすべて企業内部ネットワークのなかで管理

利用者

インターネット

（現在）クラウド利用時のシステム利用

認証基盤

情報資産

企業内部ネットワーク

利用者

F/W

利用者

V

P

N

企業外部ネットワークのなかで、情報資産が管理されてい

る。いまや、内部/外部の垣根がなくなっている。

情報資産

情報資産

企業外部ネットワーク

（現在）スマートデバイスの普及

時と場所を選ばす、すぐ使えるので、業

務で使えたら営業効率が上がるのに。

スマートデバイス利用ユーザの増加

ユーザの声

社用メールの確認ができたらいいなぁ。

PCでVPN接続するのは面倒なので、タ

ブレットでつなぎたいなぁ。

スマートデバイス（スマートフォン、タブレット）の普及率を考え

ると、業務での活用を考えねばならない。

Mobile First

Cloud First,

Mobile First

ITシステムを選択する際に、パブリッククラウドを第一の選択肢とする

 適応領域が増えた

Webアプリだけでなく、基幹系・情報系など様々な業務

 ベンダーの対応がされた

SAPなど、オンプレで使っていたアプリがクラウド上で利用可能に

 データセンターの場所が日本に

データの所在が明瞭になってきている

供給側のプレイヤーが増え、利用者の選択肢は増大

Cloud First,

では、具体的に

どうなったのか？

Mobile First

スマホ向けのサービスをPC向けより先に（同時に）公開する

 いつでもすぐにつかえる

PCの「なんでもできる」が最適化され、時と場所を問わず使える

 業務効率化のツールとしての役割

時と場所を選ばず、アクションを起こせるようになり、業務の効率

化やビジネススピードの向上が図れる

 モバイル活用の競争が激化

いかに活用し、ビジネスに活かすかを競う

今やモバイル無しでは回らない社会に

Mobile First

ん。待てよ!?

セキュリティはどうすれ

ばいいんだ？

パスワード漏えいによるセキュリティ脅威

パスワード漏洩

アカウントが漏洩したサイトから

入手したIDとパスワードリスト

ショルダーハッキング（覗き見）

インターネット

パスワード漏えいによるセキュリティ脅威

認証基盤

情報資産

企業内部ネットワーク

利用者

F/W

F/Wで守られている企業内部ネットワークには接続できな

いが、社外の情報資産にはアクセス可能

情報資産

企業外部ネットワーク

漏えいリスクが高い

情報資産

端末からのセキュリティ脅威

情報資産

情報資産

情報資産

スパイウェア

個人PC上に情報

資産をコピー

スパイウェア

経由で入手

?

情報資産

企業管理外

デバイス

端末紛失

クラウド・モバイルを利用して

「クラウド・モバイル」活用して

業務効率を上げたいという目的をお忘れなく

?

クラウド

活用したい！

モバイル

活用したい！

セキュリティ

情報漏洩リスク

クラウド/スマートデバイス時代に

求められる「認証」とは？

にんしょう【認証】

行為･文書の存在とか，行為･文書の記載が正当

な手続でなされたことを公に証明する行為。

インターネット

境界セキュリティにおける「認証」

認証基盤

情報資産

企業内部ネットワーク

利用者

F/W

V

P

N

システム利用のための認証、ガバナンス強化のため、ID統

合やシングルサインオンによる統制。

利用者

認証

インターネット

クラウド利用時の「認証」

認証基盤

情報資産

企業内部ネットワーク

利用者

F/W

利用者

V

P

N

クラウド時代では、認証技術こそがセキュリティ境界と

なっている。

情報資産

情報資産

企業外部ネットワーク

認証

認証

ITシステム・使う人・場所・デバイス、

様々な「変化」が起こっています。

家

オンプレ

会社

サービス

ソーシャル

外

攻撃者

認証

限

界

パスワードに頼る認証の限界

◆「niconico」への不正ログイン

2014年6月上旬、何らかの方法で入手したIDとパスワードのリストを使用し

た、リスト型アカウントハッキングと呼ばれる攻撃が発生し、不正に利用され

たアカウントが17件、被害総額が17万3713円となった。

◆「LINE」への不正ログイン

2014年6月上旬、こちらも同様にリスト型アカウントハッキングが発生。不正

ログインされたアカウントでは、利用者になりすまして「友だち」に対して金

品を要求するようなメッセージを送信する事案が出ている。

◆「mixi」への430万回超のログイン試行

2014年6月上旬、こちらも同様にリスト型アカウントハッキングが発生。不正

ログインを受けたID数は26万アカウントを超える。

セキュリティ強度のアップ

～ 多要素認証 ～

多要素認証で不正なログイン試行をブロック

外出ユーザ

A さん

Mail

会社のIT資産

クラウドサービス

社内ユーザ

B さん

社外からアクセスするユーザは

IDとパスワードの他に、

もう1要素認証情報を入力

させる

悪意

を持ったユーザ

C さん

パスワード

リスト

で攻撃してやる

多要素認証を社外ユーザに課すことで、

不正アクセスを防止することができる。

ID・パスワード認証 ＋

OTP/電子証明書

ID・パスワード認証

OTPを表示できない。

（電子証明書認証を持っていない)

セキュリティ強度のアップ

～多要素認証・ワンタイムパスワード～

◆ワンタイムパスワード認証

【人に対する認証強化】

OTP

ID

パスワード

OTP

情報資産

OTPが毎回変わるから、

アクセスできない!!

ID

パスワード

OTP

表示

入力

OTPを表示するデバイスとOTPを入力

するデバイスを分離しておけば、万が

一、デバイスを乗っ取られても情報資

産へのアクセスは防止できる。

パスワード漏洩

による

セキュリティ脅威に対応

セキュリティ強度のアップ

～多要素認証・電子証明書～

◆電子証明書認証

【デバイスに対する認証強化】

証明書あり

証明書なし

情報資産

個人所有のスマートフォ

ンだから、アプリを自由

にインストールしよう

スパイウェア

等のリスク

電子証明書認証に加えて、

セキュリティブラウザ

を組み合

わせることによって、BYODや

デバイス紛失の脅威に対応でき

ます。

会社支給端末なので、スマートデバイス

の管理ポリシーが適用されている。

管理ポリシー

認証技術に関するまとめ

「Cloud First, Mobile First」

により、

ユーザーのワークスタイルや企業が持つ

システムに大きな

「変化」

が見られます。

「変化」に対応できる「境界」としての

役割を担う「認証」の重要性。

様々な

「変化」

が起こっていますが、

それらを繋ぐ

「境界」

にあるのは

「認証」

です。

スマートデバイスを便利に、かつ、

セキュリティを強化するキーワード

「環境の変化」によって、考慮事項が増える・・・

営業

です

悪い人

です

エンジ

ニア

利用者

です

¥

社外からの利用

攻撃への対策

難しくない

使いやすい

クライアントの変化

システムの変化

現行踏襲

お金

スマホ

VDI

_IaaS

SaaS

オン

プレ

_マネー

スマートデバイスの使い勝手とセキュリティ

?

セキュリティ

使い勝手

スマートデバイスの使い勝手を損なわないで

セキュリティを強化したい。

VDI（Virtual Desktop Infrastructure）

VDIサーバ

VDI

クライアント

クライアントは仮想ソフ

トウェアだけが起動すれ

ばいい。

インターネット

外出

証明書サーバ

SSL-VPN

スマートデバイスからSSL-VPN

経由で、仮想ソフトウェアで接

続する。

＜外出先＞

＜社内＞

外出先でも、スマートデバイス

を利用して、社内と同じように

仕事が可能です。

認証連携

認証基盤

インター

ネット

証明書サーバ

スマートデバイスからSSL-VPN

経由で、仮想ソフトウェアで接

続する。

＜外出先＞

＜社内＞

認証基盤を利用して、社内アプリとクラウドを繋ぎます。

VDIと比較して、既存資産を利用することができます。

＜クラウド＞

認証連携

SSO対象

アプリ

多要素

認証

会社支給端末は証明書認証、それ以外の

端末はOTP認証と、デバイスによって認

証方式を使い分けもできます。

セキュリティブラウザ

セキュリティブラウザでデータの堅牢性を保証

上記のようなインシデントに対し、JMAS様のセ

キュリティブラウザ「KAITO」が非常に有効で

なかなか防ぐことのできない

デバイスの紛失から

（メール、ID/PW、セッション情報、電子証明書）

情報漏洩につながる

?

セキュリティブラウザ

端末に情報を残さないことで、情報漏洩を撲滅

セキュリティブラウザ「KAITO」を

使っていない場合

セキュリティブラウザ「KAITO」を

使っている場合

参照したデータが

端末に残ってしまう

参照したデータを

端末に残さない

「KAITO」未導入だと、デバイスの紛失・盗難の

際、重要情報が第三者に閲覧される可能性がありま

空

個人の「ワークスタイル」や

企業の「実現したいこと」が変化

求められるセキュリティ要件が

高度化・複雑化している。

本セッションのまとめ

だれでもアクセスできるクラウドサービスの情報資産を守

るため、多要素認証が必須である。

環境の変化とともに、新たに発生するセキュリティ脅威に

対応しなければならない。

今後、ますます「クラウドの活用」「スマートデバイスの

活用」が求められる。

セキュリティと使い勝手の両立を目指す

キーワード

・VDI（Virtual Desktop Infrastructure）

・認証連携

・セキュリティブラウザ