|
【コラム】二要素認証
企業、中央省庁/自治体等を狙ったサイバー攻撃が進化/日常化し紙面を賑わせています。最近ですとアメリカ大統領戦の最中ロシアがアメリカにサイバー攻撃を仕掛けたとか、日本でもサイバー攻撃が原因と思われる情報漏洩事件が全国各地で発生しない日はないと言えるほどです。また昨年1月からマイナンバー制度がスタートし、情報セキュリティに対する意識は日々高まってきてはいるものの、被害が後を絶ちません。
そのような中、総務省は日本年金機構へのサイバー攻撃やマイナンバーの本格運用に向けて、地方自治体向けに「自治体情報システム強靱性向上モデル」に基づいた対策を提案したことは記憶に新しいです。そこで不可欠な要素として指摘されているのが、二要素認証を使った強力なアクセス制御です。自治体のシステムを二要素認証で保護することで、国民の重要情報資産を守ろうという対策です。
では、二要素認証とは…
本人認証の基本は1. What you know?, 2. What you have?, 3. What you are? の3つが基本とされています。
この3つ要素の内、2つを組み合わせるのは二要素認証と一般的には言われています。
近年PCだけではなく、iPad等のタブレット端末、スマートフォンなど様々な端末が利用され端末の多様化が進んでいます。またその利用シーンも多岐に及んでおり、(二要素)認証の仕組みもそのような環境に柔軟に対応出来るソリューションが望ましいと言えます。
では、企業や自治体ではどのような仕組みが最適なのでしょうか。
先に記述した通り、企業、自治体では端末が多様化し、その利用シーンも多岐に及んでします。その利用シーンは全て一律のセキュリティ強度を必要としているのでしょうか。ある利用シーン:例えば自宅等の社外ネットワークからのアクセスでは、最強の強度を必要とするでしょう。しかし、社内等の内部ネットワーク内からの利用シーンでは、社外ほどセキュリティ強度は必要としないでしょう。つまり、社外からアクセスする利用シーンでは二要素認証が必須。社内からのアクセスの場合には、機器を必要としない二段階認証(トークンレス・ワンタイムパスワード等(+αな付帯機器が不要な))で対応 。しかもそれらを別々のシステムで運用/管理するのではなく、同一システムで運用/管理出来ることがIT部門にとって望ましいシステムと言えるでしょう。
そのような便利なソリューションあるのか? という声が聞こえてきますが、それを実現出来るのがSwivel Secure社 AuthControl Sentryです。様々な企業、中央省庁/自治体等で採用されております。
|
梅花の候、貴社ますますご発展のこととお慶び申し上げます。
それは西鎌倉にある