次世代
認証基盤の
つくり方

クラウドシフト成功のカギは
省力化とコスト削減

E-mailのクラウド移行をきっかけに、日本国内の様々な企業・組織において、IT基盤のクラウド移行を目指す動きが始まっています。 政府機関においても昨年、「クラウド・バイ・デフォルト」として、政府情報システムの整備に関してクラウドサービスを第一義的に検討すべきという原則が発表されました。

スタートアップ企業であれば、はじめからオンプレシステムは一切利用せず、GmailやGoogleドライブを活用しGoogle Authenticatorで利用者認証を強化する、といった機動力の高いIT環境を即時に実現することも容易です。

一方、既存のオンプレミスシステムを多数運用している中・大規模の組織がクラウドシフトを進める場合は、どのような点に注意し、次世代認証基盤をつくっていけばよいでしょうか。

点在する情報資産の

アクセス権限管理をRPAで

点在する情報資産の

“パスワードレス”へ

点在する情報資産の

アクセス権限管理をRPAで

フェデレーションに対応させられない
業務システム

「業務システムをクラウドサービスへ移行する」場合にも、諸事情でフェデレーションに対応させられないサービスやIaaS上の自社開発システムがあったりと、システムを利用するための認証情報は複数個所に点在してしまうのが実情です。

フェデレーション対応の業務システム

また、フェデレーション対応しており認証情報が一元管理できるサービスについても、各サービスへの利用者IDの登録と権限設定が必要となります。

既存AD、ファイルサーバーなど

クラウド移行期においては、例えば、Boxを利用する場合も当面はファイルサーバー運用も残るといったケースがあります。 情報資産が分散する分、各システムへのID登録やアクセス権設定といった情報システム部門の業務が、大幅に増加してしまう恐れがあるため注意が必要です。

一方、システムの不正利用防止のためには、どのシステムに誰がどのような権限で登録されているのか、常に可視化しておくことも“より”重要となってきます。

点在する情報資産の
ID・アクセス権限管理は
RPA化が最適

組織内に点在する一つ一つの情報資産に対するアクセス権限管理は、部署や役職などのルールに従って設定されるのが一般的な運用です。規則順守と正確性が要求されるアクセス権限管理には、RPA(Robotic process automation)の考え方が最適です。

アクセス権限管理を自動化することで、社内外に点在する情報資産に対し利用者アカウントの登録・変更・削除運用に関するヘルプデスク工数の削減はもちろん、各情報資産へのアクセス権限を一元管理し、システム単位・人単位での可視化が可能となります。

次世代認証基盤のつくり方
クラウドシフト成功のカギは、省力化コスト削減

ホワイトペーパーはこちら

点在する情報資産の

“パスワードレス”へ

『ネット漏洩 世界27億件、個人情報、日本関連2000万件』 日本経済新聞 2019年2月21日付朝刊

世界中で起きているハッキング事件によって、
サイバー空間には日本の公共組織や企業のパスワード情報が大量に漏洩していることが明らかになっており、
パスワードに頼った既存の認証基盤は限界を迎えつつあります。

端末からインターネット上の情報資産に直接アクセスできるクラウド環境では、
アクセスを許すユーザーや端末は本当に正しい人・物なのか?そのユーザーが利用できる情報は正しく管理され制限されているのか?
個人と端末を特定し、利用者に対し情報資産への安全なアクセス手段を提供する必要があります。

日本の組織が取り組み始めた
“パスワードレス”

新しい働き方を推し進める日本の一般企業において、パスワードに頼らない=パスワードレス認証環境の実現を目指す動きが始まっています。
例えば竹中工務店様では、働き方改革を推進する上でセキュリティ強化、利便性の向上を目指す中、2018年1月からSmartOnの顔認証システムを全社導入することにより、確実な本人認証の実現とともに、パスワードの世界からの解放を目指しセキュリティを確保しながら利便性と生産性の向上を図られています。

AD認証して、クラウドでまた認証?

フェデレーションに対応するサービス群は、IDaaSやAzure ADなどで認証情報を一元管理することができます。IDaaSやAzure ADで多要素認証を適用する際には、社内からの利用か社外からの利用かを自動判断し、既にAD認証をしている社内からの接続ならパススルーさせ、社外やAD認証をしていない接続なら多要素認証を要求するといった実装を行います。これにより、利用者の利便性を維持しながら“パスワードレス”の実現が可能となります。

フェデレーション非対応システムも
まとめて“パスワードレス”

フェデレーション非対応、もしくは諸事情でフェデレーションを利用させていないサービスや既存の自社開発システムには、多要素認証システムが持つ「代行入力型シングルサインオン」により、業務システムに変更を加えることなくパスワードレスを実現します。
代行入力型シングルサインオンの短所は、利用者がパスワードを知らないため、スマートデバイスから(個別認証を実施している)業務システムを利用することができなくなってしまう点です。
累計4,400サイト・340万ユーザー利用のSmartOnなら、マルチデバイス対応のセキュアブラウザと連携し、スマートデバイスからも安全に個別認証の業務システムも利用することができます。

次世代認証基盤のつくり方
クラウドシフト成功のカギは、省力化コスト削減

ホワイトペーパーはこちら

Copyright(C) Soliton Systems K.K., All rights reserved.