Comments
Description
Transcript
明日の認証会議 - オージス総研
「明日の認証会議」1st Session 情報システム部門は、スマート デバイスにどう向かうべきか ~利用者の利便性を向上させつつ、セキュリ ティを強化する方法~ 株式会社オージス総研 サービス事業本部 テミストラクトソリューション部 三田 善啓 2014/09/02(火) Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 会社概要 代表者: 代表取締役社長 設 1983年6月29日 立: 平山 輝 資本金: 4億円 事業内容: システム開発、プラットフォームサービス、コンピュータ機器・ソフト ウェアの販売、コンサルティング、研修トレーニング (大阪ガス株式会社100%出資) 主な事業所 本 社: 大阪府大阪市西区千代崎3-南2-37 ICCビル 東京本社: 東京都港区港南2-15-1 品川インターシティA棟 名古屋オフィス:愛知県名古屋市中区錦1-17-13 名興ビル 売上実績: 550億円(連結) 283億円(単体) 従業員数: 3,064名(連結) 1,268名(単体) 関連会社: さくら情報システム(株) 、 (株)宇部情報システム、 (株)システム アンサー、OGIS International,Inc、上海欧計斯軟件有限公司(中国) オージス総研グループ 売上構成比 (2012年度) (連結) 取得許可認定 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. ThemiStruct のご紹介 ThemiStructはシステムの “連携” を実現します。 ThemiStructは企業の様々なシステムの“連携”を実現する6つのIT基盤ソ リューションから成っています。企業を取り巻く様々なIT環境の変化と要 求にお応えできるよう、日々進化し続けています。 社内とクラウドをシームレスに つなぐシングルサインオン シングル サインオン ワーク ID フロー 配布・管理 電子証明書の「発行」と「管理」を シンプルに実現 電子証明書 サーバー 配布・管理 監視 ワンタイム パスワード Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. アジェンダ 1. 企業システムの環境変化とセキュリティ脅威 2. クラウド/スマートデバイス時代に求められ る「認証」とは? 3. スマートデバイスを便利に、かつ、セキュリ ティを強化するキーワード Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 企業システムの環境変化とセキュリティ脅威 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. (従来)境界セキュリティによるシステム利用 ファイアウォールによる内部/外部のセキュリティ境界 情報資産はすべて企業内部ネットワークのなかで管理 利用者 インターネット V P N F/W 企業内部ネットワーク 認証基盤 利用者 情報資産 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. (現在)クラウド利用時のシステム利用 企業外部ネットワークのなかで、情報資産が管理されてい る。いまや、内部/外部の垣根がなくなっている。 利用者 情報資産 情報資産 インターネット V P N F/W 企業外部ネットワーク 企業内部ネットワーク 認証基盤 利用者 情報資産 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. (現在)スマートデバイスの普及 スマートデバイス(スマートフォン、タブレット)の普及率を考え ると、業務での活用を考えねばならない。 ユーザの声 時と場所を選ばす、すぐ使えるので、業 務で使えたら営業効率が上がるのに。 社用メールの確認ができたらいいなぁ。 PCでVPN接続するのは面倒なので、タ ブレットでつなぎたいなぁ。 スマートデバイス利用ユーザの増加 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. Cloud First, Mobile First Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. Cloud First, ITシステムを選択する際に、パブリッククラウドを第一の選択肢とする 適応領域が増えた Cloud Mobile First, Mobile First First ベンダーの対応がされた Webアプリだけでなく、基幹系・情報系など様々な業務 SAPなど、オンプレで使っていたアプリがクラウド上で利用可能に データセンターの場所が日本に データの所在が明瞭になってきている 供給側のプレイヤーが増え、利用者の選択肢は増大 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. Mobile First スマホ向けのサービスをPC向けより先に(同時に)公開する では、具体的に Mobile First 業務効率化のツールとしての役割 どうなったのか? いつでもすぐにつかえる PCの「なんでもできる」が最適化され、時と場所を問わず使える 時と場所を選ばず、アクションを起こせるようになり、業務の効率 化やビジネススピードの向上が図れる モバイル活用の競争が激化 いかに活用し、ビジネスに活かすかを競う 今やモバイル無しでは回らない社会に Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. ん。待てよ!? セキュリティはどうすれ ばいいんだ? Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. パスワード漏えいによるセキュリティ脅威 ショルダーハッキング(覗き見) アカウントが漏洩したサイトから 入手したIDとパスワードリスト パスワード漏洩 3% 4% 0% 2% 利用者から聞き出し・ 6% のぞき見 利用者の設定、管理の 43% 19% 甘さ 元従業員や知人 スパイウェア 23% 総務省統計 平成24年度 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. パスワード漏えいによるセキュリティ脅威 F/Wで守られている企業内部ネットワークには接続できな いが、社外の情報資産にはアクセス可能 漏えいリスクが高い 情報資産 情報資産 インターネット F/W 企業外部ネットワーク 企業内部ネットワーク 認証基盤 利用者 情報資産 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 端末からのセキュリティ脅威 企業管理外 デバイス 情報資産 個人PC上に情報 資産をコピー スパイウェア 経由で入手 情報資産 情報資産 スパイウェア 端末紛失 ? 情報資産 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. クラウド・モバイルを利用して 「クラウド・モバイル」活用して 業務効率を上げたいという目的をお忘れなく 情報漏洩リスク クラウド 活用したい! ? セキュリティ モバイル 活用したい! Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. クラウド/スマートデバイス時代に 求められる「認証」とは? Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. にんしょう【認証】 行為・文書の存在とか,行為・文書の記載が正当 な手続でなされたことを公に証明する行為。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 境界セキュリティにおける「認証」 システム利用のための認証、ガバナンス強化のため、ID統 合やシングルサインオンによる統制。 インターネット 利用者 V P N F/W 企業内部ネットワーク 認証 認証基盤 利用者 情報資産 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. クラウド利用時の「認証」 クラウド時代では、認証技術こそがセキュリティ境界と なっている。 認証 情報資産 利用者 情報資産 インターネット V P N F/W 企業外部ネットワーク 企業内部ネットワーク 認証 認証基盤 利用者 情報資産 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. ITシステム・使う人・場所・デバイス、 様々な「変化」が起こっています。 ソーシャル サービス 外 攻撃者 認証 家 オンプレ 会社 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. パスワード認証 限 界 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. パスワードに頼る認証の限界 ◆「niconico」への不正ログイン 2014年6月上旬、何らかの方法で入手したIDとパスワードのリストを使用し た、リスト型アカウントハッキングと呼ばれる攻撃が発生し、不正に利用され たアカウントが17件、被害総額が17万3713円となった。 ◆「LINE」への不正ログイン 2014年6月上旬、こちらも同様にリスト型アカウントハッキングが発生。不正 ログインされたアカウントでは、利用者になりすまして「友だち」に対して金 品を要求するようなメッセージを送信する事案が出ている。 ◆「mixi」への430万回超のログイン試行 2014年6月上旬、こちらも同様にリスト型アカウントハッキングが発生。不正 ログインを受けたID数は26万アカウントを超える。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. セキュリティ強度のアップ ~ 多要素認証 ~ 多要素認証で不正なログイン試行をブロック ID・パスワード認証 + OTP/電子証明書 ID・パスワード認証 Mail 会社のIT資産を スマホから 活用したい 会社のIT資産を 会社のPCから 活用したい 会社のIT資産 クラウドサービス 社内ユーザ B さん 外出ユーザ A さん パスワード リスト で攻撃してやる 社外からアクセスするユーザは IDとパスワードの他に、 もう1要素認証情報を入力させる 悪意を持ったユーザ C さん OTPを表示できない。 (電子証明書認証を持っていない) 多要素認証を社外ユーザに課すことで、 不正アクセスを防止することができる。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. セキュリティ強度のアップ ◆ワンタイムパスワード認証 OTP 入力 表示 ~多要素認証・ワンタイムパスワード~ 【人に対する認証強化】 OTPを表示するデバイスとOTPを入力 するデバイスを分離しておけば、万が 一、デバイスを乗っ取られても情報資 産へのアクセスは防止できる。 ID パスワード OTP 情報資産 ID パスワード OTP パスワード漏洩による セキュリティ脅威に対応 OTPが毎回変わるから、 アクセスできない!! Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. セキュリティ強度のアップ ◆電子証明書認証 管理ポリシー ~多要素認証・電子証明書~ 【デバイスに対する認証強化】 会社支給端末なので、スマートデバイス の管理ポリシーが適用されている。 証明書あり 情報資産 証明書なし スパイウェア 等のリスク 個人所有のスマートフォ ンだから、アプリを自由 にインストールしよう 電子証明書認証に加えて、 セキュリティブラウザを組み合 わせることによって、BYODや デバイス紛失の脅威に対応でき ます。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 認証技術に関するまとめ 「Cloud First, Mobile First」により、 ユーザーのワークスタイルや企業が持つ システムに大きな「変化」が見られます。 様々な「変化」が起こっていますが、 それらを繋ぐ「境界」にあるのは「認証」です。 「変化」に対応できる「境界」としての 役割を担う「認証」の重要性。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. スマートデバイスを便利に、かつ、 セキュリティを強化するキーワード Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 「環境の変化」によって、考慮事項が増える・・・ 営業 です エンジ ニア 悪い人 です 社外からの利用 利用者 です 攻撃への対策 VDI SaaS IaaS オン プレ スマホ クライアントの変化 難しくない システムの変化 使いやすい ¥ マネー 現行踏襲 お金 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. スマートデバイスの使い勝手とセキュリティ 使い勝手 ? セキュリティ スマートデバイスの使い勝手を損なわないで セキュリティを強化したい。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. VDI(Virtual Desktop Infrastructure) 外出先でも、スマートデバイス を利用して、社内と同じように 仕事が可能です。 <外出先> インターネット <社内> 証明書サーバ VDIサーバ SSL-VPN VDI クライアント 外出 クライアントは仮想ソフ トウェアだけが起動すれ ばいい。 スマートデバイスからSSL-VPN 経由で、仮想ソフトウェアで接 続する。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 認証連携 認証基盤を利用して、社内アプリとクラウドを繋ぎます。 VDIと比較して、既存資産を利用することができます。 <クラウド> 会社支給端末は証明書認証、それ以外の 端末はOTP認証と、デバイスによって認 証方式を使い分けもできます。 <外出先> <社内> インター ネット スマートデバイスからSSL-VPN 経由で、仮想ソフトウェアで接 続する。 多要素 認証 認証連携 認証基盤 証明書サーバ SSO対象 アプリ Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. セキュリティブラウザ セキュリティブラウザでデータの堅牢性を保証 なかなか防ぐことのできない デバイスの紛失から 情報漏洩につながる (メール、ID/PW、セッション情報、電子証明書) ? 上記のようなインシデントに対し、JMAS様のセ キュリティブラウザ「KAITO」が非常に有効で す。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. セキュリティブラウザ 端末に情報を残さないことで、情報漏洩を撲滅 セキュリティブラウザ「KAITO」を 使っていない場合 セキュリティブラウザ「KAITO」を 使っている場合 空 参照したデータが 端末に残ってしまう 参照したデータを 端末に残さない 「KAITO」未導入だと、デバイスの紛失・盗難の 際、重要情報が第三者に閲覧される可能性がありま す。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 個人の「ワークスタイル」や 企業の「実現したいこと」が変化 求められるセキュリティ要件が 高度化・複雑化している。 Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 本セッションのまとめ 今後、ますます「クラウドの活用」「スマートデバイスの 活用」が求められる。 環境の変化とともに、新たに発生するセキュリティ脅威に 対応しなければならない。 だれでもアクセスできるクラウドサービスの情報資産を守 るため、多要素認証が必須である。 セキュリティと使い勝手の両立を目指す キーワード ・VDI(Virtual Desktop Infrastructure) ・認証連携 ・セキュリティブラウザ 次セッションより、具体的事例を紹介します Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved.