ゼロトラストとMFA（多要素認証）・SSO（シングル・サインオン）の関係

ゼロトラスト（ゼロトラスト・セキュリティ）とは？

ゼロトラストの概念自体は、2010年に「従来の境界線防御に代わる次世代セキュリティモデル」として、Forrester Research社によって提唱されました。その概念とは、「外も内も信用せず、アクセスしてきたユーザー、ネットワーク、デバイス、場所などを一つ一つ検証する」というものです。このゼロトラストが一気に注目されるようになったきっかけは2つあります。

1つ目は、企業や自治体、病院などあらゆる組織でクラウドサービス（SaaS）の利活用が広がり、従来オンプレミスで自社内（拠点内）やデータセンターにあったデータの保管場所がクラウドなど社外のサーバーへ移行した事です。これにより「社内」と「社外」の境界が曖昧になりました。

2つ目は、それまで働き方改革の目的で推進されていた「テレワーク」が、コロナ禍に急速に普及。それにより従業員の働く場所が社内だけではなく、社外からの社内ネットワークアクセスが急増したことです。これらの環境変化に伴い、従来型のVPNとファイアウォールを利用した境界線防御セキュリティだけでは、情報漏えいやマルウェア感染などの脅威から情報資産を守ることが難しくなりました。

2020年3月には多くの企業でコロナ禍によるテレワークが開始されたことを受け、日本政府は「政府情報システムにおけるゼロトラスト適用に向けた考え方」というメッセージを発表。これにより、企業や自治体、病院などあらゆる組織が本格的にゼロトラストへ取り組むようになりました。

ゼロトラストとMFA（多要素認証）の関係

こうしたゼロトラスト・セキュリティの必要性の高まりを受け、具体的な実行手段として注目を集めたのがMFA（Multi-Factor Authentication：多要素認証）です。MFA（多要素認証）とは、システムやサービスへのログイン時に、認証方法の3要素である「記憶情報」「所持情報」「生体情報」のうち、複数の要素を組み合わせることで本人認証をより確実に行う仕組みのことです。

従来、多くの企業や組織ではIDとパスワードの組み合わせによる「パスワード認証」が採用され、広く導入されてきましたが、近年はパスワード認証が第三者に突破され、情報が漏えいするケースが増えています。

しかしMFA（多要素認証）なら仮にIDおよびパスワードを不正に入手、不正利用されたとしても、もう一つの認証方法を突破しない限りログインできないため、不正ログインやなりすましを防止できるという利点が注目され、ゼロトラストを実現する手法としての多要素認証の必要性が、広く認識されるようになりました。

1. MFA（多要素認証）の3つの認証要素

多要素認証は以下の3つの認証要素から2つ以上の方法を組み合わせて行います。

a. 知識情報：本人だけが知っている情報

パスワード/ID/暗証番号（PINコード）/秘密の質問など

b. 所持情報：本人が所有している端末を介した情報

スマートフォンやタブレットなどの端末情報（IMEIなど）/キャッシュカード/

クレジットカード/ワンタイムパスワード/ハードウェアトークン　など

c. 生体情報：利用者本人の身体的特徴に基づく情報

指紋/顔/声紋/虹彩/静脈　など

1. MFA（多要素認証）と二要素認証、二段階認証の違い

二要素認証、二段階認証の違いは、このセキュリティを高めるための方法が「要素」なのか「回数」なのかという点になります。二要素認証とは、多要素認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つの要素を使った方法です。
例）銀行ATMを利用する際、パスワード（知識情報）＋銀行カード（所持情報）で認証

二段階認証とは、認証の段階を2回行う方法です。二要素認証との違いは上記の複数の認証の要素が一つだけの場合もある事です。しかし、最近は二段階認証においても異なる二要素を組み合わせて認証するケースがスタンダードとなりつつあります。
例）Webサイトへのログイン時、ID＋パスワード（どちらも知識情報）で認証後、事前にアカウント情報として登録済メールアドレス（所持情報）に送られたURLをクリックすることで認証が完了

*近年、特にビジネス向けサービスにおいては、二段階認証にGoogle Authenticatorに代表されるようなスマートフォンとトークンアプリによるワンタイムパスワードを用いた認証方法が、主流になりつつあります。

ゼロトラストとSSO（シングル・サインオン）の関係

SSO（Single Sign-On/シングル・サインオン）とは、IDとパスワードを一度入力するだけで、複数のシステムやサービスにログインして利用できる仕組みです。

SSOは本来、ユーザーの利便性を高めるための仕組みであり、一見すると「あらゆるものを信用しない」ゼロトラストの考えとは相反しているように思えます。それではなぜ、SSOがゼロトラスト・セキュリティと併せて語られ、導入を検討する動きが活発化しているのでしょうか。

ゼロトラストの実現には、強固な認証システムの構築が欠かせません。「どこから＝社内は安全」とみなす従来の境界型セキュリティと違い、「どこから」「誰が」「どのように」をすべて検証するゼロトラスト・セキュリティでは、多要素、コンテキストベース、リスクベースといった強固な認証機能が不可欠となります。しかしながら、多くのITシステムはその機能を有していません。

SSOがない場合、ユーザーはITシステムごとのログイン情報（ID/パスワード）の管理をしなくてはなりません。また、ログイン情報の忘失やパスワード変更時対応といったシステム運用側の負担も、システム数と従業員数の増加と比例する事になります。

そのため、認証を集約するSSOが必要になります。SSOで認証を集約した上で、その集約した箇所に強固な認証機能を実装することで、ゼロトラスト・セキュリティが実現するのです。

*従来のSSOは、主にオンプレミス環境にあるシステム認証が対象でしたが、近年はクラウドサービスもSSOの対象に含まれており、代表的なものとしてMicrosoftのAD FS(Active Directory Federation Services)があります。

1. SSO（シングル・サインオン）を導入するメリット

a. ユーザーの利便性・生産性の向上

SSOの最大のメリットは、先に述べたようにユーザーの利便性向上です。クラウドサービス（SaaS）利用が増え、さまざまなシステムやサービスにログインする際に1度の認証で済むSSOは、従業員の生産性向上にも大きく貢献します。加えてSSOはユーザーだけでなく、管理者にとっても多くのメリットをもたらします。

b. セキュリティ施策が講じやすくなる

ユーザーが各システムやサービスを利用する際に必ず認証基盤を経由することでセキュリティ施策が講じやすくなります。たとえばIDが漏えいした場合、SSOがないと漏洩したシステムの特定や影響範囲を把握するのに時間がかかり、対処が遅れてしまう恐れがありますが、SSOがあれば認証基盤のIDを無効化することですべてのシステムの利用を一斉に不可にすることができます。さらに認証基盤のログを見れば、いつ誰が何のシステムへログインしたのか追跡することも可能です。

c. セキュリティツールの導入がしやすくなる

SSOがあることで、セキュリティツールの導入がしやすくなる点もメリットです。たとえばネットワークセキュリティのCASB（キャスビー・Cloud Access Security Broker）、SWG（セキュア Web ゲートウェイ） や、モバイルデバイス管理 MDM（Mobile Device Management）など、セキュリティツールを導入する際に認証基盤と連携させることで、一元的な本人認証が実現し、ガバナンスを高めることが可能になります。

このようにSSOは、ゼロトラストを実現する際のセキュリティ強化の「起点」となるのです。

まとめ

いかがでしょうか。今回はゼロトラスト（ゼロトラスト・セキュリティ）を語る上で、よく挙がるキーワードのMFA（多要素認証）とSSO（シングル・サインオン）について、注目される理由と並んで用いられる理由、そしてそれぞれの関係性を解説しました。

IIJではゼロトラスト・セキュリティを簡単な導入方法で実現するためのソリューションとして、IIJ Safous ZTAを提供しています。

詳しくは下記Safousのウェブサイトをご覧ください。ゼロトラスト・セキュリティやMFA（多要素認証）、SSO（シングル・サインオン）の導入でお悩みの際は、お問い合わせボタンからお気軽にお問い合わせください。

IIJ Safous ZTA - ゼロトラスト・セキュリティに基づいたセキュアアクセスサービス

【無料配布中】さらに詳細な情報をカタログでご提供

本記事では、サイバー攻撃の脅威と海外拠点のセキュリティの実情、最新のサイバーセキュリティトレンドに焦点を当てました。

サイバー攻撃は巧妙かつ高度化し続けており、新たな脅威や攻撃手法が常に出現しています。そのため、常に最新の動向を把握しセキュリティ意識を高く保つこと、また安心なデジタル環境を利用するために効果的なサイバーセキュリティ対策を講じる必要があります。

本記事の内容をより詳しく記載したカタログを公開中です。下記よりダウンロードしていただき、お客様のサイバーセキュリティ対策の課題解決にご活用ください。