大手・中小の規模を問わず、世界中からサイバー攻撃・ランサムウェア攻撃の格好の対象として狙われている日本企業。
企業だけじゃない。個人のネット証券口座が乗っ取られ、犯人を捕まえられないまま数千万円を奪われたというケースも珍しくなくなった時代。
年々被害件数が急増傾向にある日本で、「パスワードレス認証の普及が急務」「証明書によるアクセス制限で遠隔からのサイバー攻撃から守れ」と伝えるのが、メンデス・ラウル 代表取締役社長 率いる インターナショナルシステムリサーチ(isr:東京都中野区)。
MFA 多要素認証 導入を積極支援
インターナショナルシステムリサーチ(isr:東京都中野区)は5月22日の説明会で、「企業のサイバー攻撃リスクから守るべく、高セキュリティな MFA(Multi-Factor Authentication:多要素認証)が導入できるよう、ロードマップ作成を積極支援していく」という。
isr メンデス・ラウル 代表取締役社長はまず、直近の被害事例について、個人と企業の2つのケースを伝えた。
個人のネット証券口座乗っ取り、2日前にも大手企業がランサムウェアに感染
大阪の80代男性のネット証券口座のパスワードが流出し乗っ取られ、300回以上にわたって不明な株売買を繰り返され、老後資金2700万円が消えた。
大阪の60代女性が NISA などで保有していた日本企業の株が何者かにすべて売却され、不明な中国企業の株を売買されて200万円の損失。
この2日前の 5月20日には、半導体関連企業のレゾナック(東京都港区)が、サイバー攻撃を受け、ランサムウェアに感染。ネットワーク遮断に追い込まれ、一部システムが使えなくなり業務停止などの影響が生じた。
脱パスワード パスキー認証移行プランで支援
こうした急増する被害に対策を打つべく、isr メンデス・ラウル 代表取締役社長は、「2025年から高セキュリティな MFA(多要素認証)を導入できるよう、顧客のロードマップ作成支援を強化する」と重ねる。
「セキュリティレベルの高い MFA をいきなり一斉導入するのは管理者の負担が大きく、ハードルが高い。
ユーザー認証の切り替えには、実際の利用環境に沿った進め方や認証方法の選択など検討が必要な項目が多く、IT管理部門担当者が自社内のみで取り組むには難しい部分もある」
Pocket CloudGate から FIDO2セキュリティキーへ
そこで、インターナショナルシステムリサーチは、各企業のスキルや環境にあわせ、MFA導入ステップに3つのパターンを想定。
中盤で「Pocket CloudGate」やパスキーを入れて、FIDO2セキュリティキーへと構築していく各コースを想定し、「CloudGate証明書」によってアクセスを制限するという流れだ。
デバイス証明書「CloudGate証明書」で柔軟で強固なアクセス制限へ
インターネット上で利用される証明書は「電子証明書」と呼ばれ、身分証明書のような役割を果たす。
電子証明書の一種であるクライアント証明書は、接続元であるクライアントを確認するために利用されるもので、端末を確認する「デバイス証明書」と利用者を確認する「ユーザー証明書」がある。
isr と 企業が伴走して強化
ここで出てくる CloudGate証明書は「デバイス証明書」だ。
CloudGate証明書は、最近ではほとんどの端末に搭載されている、秘密鍵や生体情報などの秘匿データを保護・保存するための専用チップ(SE、TPM)で証明書を発行するため、より安全性が確保される。
会社指定の端末のみアクセスを可能にする証明書認証を CloudGate UNO に追加でき、顧客の運用方法により利用できる証明書を選択できるから、セキュリティ対策を isr と 企業が伴走して強化できる。
シングルサインオン機能を実装「CloudGate UNO」
パスワードレス認証で複数のクラウドサービスにログイン、面倒なパスワード管理から解放してくれる CloudGate は、2008年にクラウドサービスへのセキュアなシングルサインオンサービスとして提供開始以来、15年以上にわたり国産サービスとして顧客ニーズに合わせた機能改善を重ね、つねに市場の先を見据えた新機能を開発。1600件を超える契約をマークした。
また、「CloudGate UNO」(クラウドゲートウノ)は、2019年に安全で便利なサービスの提供をめざした FIDO2 によるパスワードレス認証を、2021年7月にはゼロトラストアーキテクチャを採用したシングルサインオン機能を実装。
スマホ1台で認証とセキュリティ対策を実現「Pocket CloudGate」
さらに、2021年9月から CloudGate UNO 専用 認証アプリケーション「CloudGate Authenticator」に、激化するサイバー攻撃に対応すべく、万が一不正ログインされて認証情報を改ざんされたさいも、リアルタイムで通知するセキュリティ関連アクティビティ通知機能を搭載した「Pocket CloudGate」が登場した。
2022年9月には、自社開発のデバイス証明書「CloudGate証明書」を提供開始し、端末搭載のセキュアエレメント(TPMなど)にもとづいた証明書発行方法を実現し、悪意のある第三者から証明書を不正にコピー、エクスポートされるリスクを格段に軽減できるように進化し、「さらに改善を続けていく」という。
◆CloudGate
https://www.cloudgate.jp/
