テレワーク需要の急激な高まりにより、各種システムのweb化・クラウドサービス化が促進され、場所を特定できない環境(リモートIPアドレス)からでもセキュアにクラウドサービスにアクセスしたいというご要望を多くいただくようになりました。その最適解の一つとして、当社では Chromebook をご提案しており、検討中の企業さまは増加の一途を辿っています。
そんななか、Chromebook についてお問い合わせいただくお客様のうち、特に導入数が 100台 を超える場合にかなりの割合でいただくのが、「 Chromebook でデバイス証明書は使えますか?」というご質問です。
実際に Chromebook にどのように証明書を登録するのか、手順を知りたいという方は、“検証ブログ: Chromebook にデバイス証明書を登録してみた”をぜひご一読ください。
デバイス証明書とは、各種端末に登録することで、その証明書を保持する端末からのみアクセスを許可することを可能にするもの = 端末制限のために高度に暗号化された鍵で、OSを選ばず端末に対して利用ができます。ID/Password だけの認証では心細く、かといって二段階認証は煩わしいという理由と、会社が貸与している端末であることの証明として、それを従来のモバイル端末よりも高度にセキュアな設計である Chromebook で実現するということが、「セキュアにテレワーク」を実現するための一つの解となっています。
本稿では、そんなニーズにお応えする、Chrome OS™ 対応の端末認証サービス『 サイバートラスト デバイス ID 』をご紹介いたします。
ログイン認証の種類
デバイス証明書『 サイバートラスト デバイス ID 』についてお話する前に、一般的にどのような認証方式があるのか、それらの概要とメリットやリスクについてお伝えしたいと思います。
パスワード認証
|
認証方法 |
IDとパスワードの入力 |
|---|---|
|
概要 |
1990年代から今日まで長年使われてきた、ベーシックな認証技術 |
|
メリット |
一般的な手法なので、ユーザーも管理側も慣れている |
|
リスク |
この認証方式単体では、悪意・攻撃に対する脆弱性が高い |
今日でも使われている非常にベーシックな認証技術ですが、総当り攻撃やフィッシング、ソーシャルエンジニアリングなどによる流出に弱いという欠点があります。
二段階認証
|
認証方法 |
要素の数を問わず、認証の"段階"を2回経る |
|---|---|
|
概要 |
例:ID/パスワードを入力・送信後に「秘密の質問」の答えを入力・送信 |
|
メリット |
パスワード認証のみよりは、セキュリティ強度が増す |
|
リスク |
ID/パスワードと秘密の質問はいずれも知識要素であり、認証方式としては一要素のみ。サイバー攻撃などにより、パスワードと一緒に流出する可能性がある |
二段階認証と二要素認証は混同されやすいですが、前者の場合は要素の数を問いません。
多要素認証
|
認証方法 |
3つの要素のうち、2つ以上の要素を含む認証 |
|---|---|
|
概要 |
主に、「知識要素(ID/パスワードや秘密の質問など)」「所有要素(スマフォ、ICカード、トークンなど)」「生体要素(顔、静脈、指紋など)」の3要素を組み合わせた認証 |
|
メリット |
セキュリティ強度が格段に上がる |
|
リスク |
「生体要素(顔、静脈、指紋など)」などは一生変えられないため、流出した場合のリスクが甚大。また、ログインにかかる手間や初回の設定負荷などユーザー側の利便性は損なわれる |
トークンや生体認証を行うための機器の管理負荷やコスト、生体情報などの機微(センシティブ)情報の管理など、導入にはいくつかの高いハードルがあります。
デバイス証明書認証
|
認証方法 |
事前に端末登録された複製不可能かつユニークな証明書をもった端末にアクセスを許可する認証 |
|---|---|
|
概要 |
4大リスク、《盗聴》《改ざん》《なりすまし》《事後否認》を防ぐための、PKI( Public Key Infrastructure:公開鍵基盤)を利用した電子証明書( ≒ インターネット上での身分証明書)認証のひとつで、証明書登録済の端末にのみ、特定のシステムやネットワーク、サービスへのアクセスを許可する ● 電子メール(S/MIME)用証明書 ● 電子署名(電子文書用・ソフトウェア用証明書) |
|
メリット |
パスワードレスなど、ユーザビリティの高い認証が可能になり、企業側も端末を厳密に管理したり、紛失時の即時対応(証明書を失効させるなど)が可能になる |
|
リスク |
端末紛失時、すぐに証明書を失効するなどの対策が必要。社内ネットワークへのアクセスなどに対してパスワードレス運用にしていたとしても、端末自体へのセキュリティは必要。 |
すべての認証方式において、リスクやデメリットが存在します。また、コストに直結しますので、無償と有償のソリューションを組み合わせたり、自社または部門ごとの事業内容や社員各自の職務に合わせて柔軟な対応を行うことで過剰投資にならないよう、導入には十分な検討・検証が必要といえるでしょう。
株式会社ロッテ様 導入事例
株式会社ロッテでは、2020年1月より Chromebook を2600台導入し、業務に利用しています。コロナ禍における緊急事態宣言でのリモートワークでも活用でき、通常通り業務を継続できました。
DXが前進した同社の導入事例を詳しく紹介します。
サイバートラスト デバイスID の概要
前置きが長くなりましたが、 Chrome OS に対応する『 サイバートラスト デバイスID 』について、概要をご説明いたします。
「サイバートラスト デバイス ID」 は、厳格な端末認証として、管理者が指定した端末にのみデバイス証明書を登録し、かつ一度登録されたデバイス証明書の複製や取り出しができない仕組みを実現したデバイス証明書管理サービスです。
出典:サイバートラスト株式会社_端末認証サービス「サイバートラスト デバイス ID」が Google Chromebook に対応し、よりセキュアな利用環境を実現
Chrome OS への対応とはどのようなシステムになっているかというと、Chrome 拡張機能( Chrome ウェブストア からのインストール)によって 、Trusted Platform Module(以下、TPM)にある証明書格納領域にデバイス証明書をインストールするというものになります。
TPM にインストールしたデバイス証明書は複製不可のため、コピーされて別の機器で使用される心配がありません。また、管理者が端末の初期化やデバイス証明書の削除操作をしない限りは削除されることもないので、ユーザーの操作ミスで削除されてしまうというようなこともありません。
※ Chrome Enterprise Upgrade ( Chrome 管理ライセンス )が必要です。
VPN 接続 やシングルサインオン(アクセス制限機能)と連携することにより、Google Workspace(旧 G Suite)や Microsoft365 などのクラウドサービスを Chromebook から利用する際に、厳格な認証とシームレスなログイン環境を実現します。また、GIGA スクール構想で急激に進む、教育機関における Chromebook 導入ですが、安心・安全な教務環境を実現するセキュリティ対策としても有効なソリューションです。
まとめ
どういう認証方式にもメリットと共にリスクやデメリットがあり、複数の要素や認証方式、アクセス制限ソリューションと組み合わせることで、セキュリティレベルをあげることができます。ただし、ユーザーの使いやすさや利便性を重視したソリューションを選べばコストは嵩みがちで、コストを重視したソリューションを選択すると、ユーザーの使いやすさや利便性を損ないがち・・・という側面もあります。
予算や自社のセキュリティポリシーに合わせて、適切な投資と運用を心がけて頂き、テレワークの進むこのタイミングで一度見直すことも必要だと思います。他社事例など参考情報が必要でしたら、お気軽にお問合せください。
また、デバイス証明書・Chromebookについてもっと知りたい!と思われた方はぜひ、コチラのセミナーにご参加ください。
