2019年8月28日水曜日

二段階認証をGluegent Gateで実現する方法をご紹介します

先日の記事で、二段階認証(二要素認証、多要素認証)についてご紹介しました。
【5分で分かる】二段階認証とは
では実際に、Gluegent Gateではどのようにして二段階認証を実現するかをご紹介いたします。

◯ワンタイムパスワードによるGluegent Gateでの二段階認証

Gluegent Gateでは二段階認証の方式の一つとして「ワンタイムパスワード認証」をご用意しております。Gluegent Gateに標準で実装されている機能ですので、すべてのお客様に追加料金なしでご利用いただけます。
「ワンタイムパスワード認証」はiOSアプリの「Google Authenticator」、Androidアプリの「Google 認証システム」をインストールしていただき、そこに表示されたワンタイムパスワードを入力する方法(トークン)と、ユーザ情報に登録されたメールアドレス宛にメールを送信し、そこに記載されたワンタイムパスワードを入力する方法(メール認証)の2種類があります。
それぞれの利用には認証・アクセス権限ルールの設定が必要になります。

◯Gluegent Gate管理画面での設定
認証・アクセス権限でそれぞれルールを設定しているかと思います。そのルールに「ワンタイムパスワード認証(トークン)」または「ワンタイムパスワード認証(メール認証)」を選択します。
他の認証・アクセス権限ルールと併用してもいいでしょう。
ルールの設定はお客様の運用によりそれぞれ異なります。状況に合わせて設定してください。設定方法が不明な場合は、弊社サポートへご相談ください。
◯認証ルールの例
この例ではワンタイムパスワード(トークン)を選択しています。

◯アクセス権限の例
この例ではワンタイムパスワード(メール認証)を選択しています。

トークンを利用する場合、ユーザーにワンタイムパスワードの設定をさせる必要があります。この方法には、ログイン時に実施させるものと、ポータルに入って実施させる二種類があります。
前者の場合は「パスワードポリシー設定」で「ワンタイムパスワード設定初期化」のチェックをオンにします。

後者の場合は「画面設定」の「ポータルに表示する機能」の「ワンタイムパスワードの設定」のチェックをオンにします。また「ワンタイムパスワードの設定に表示するトークン」の「Google」のチェックをオンにします。

「メール認証」を使う場合は、ユーザーに設定をさせる必要はありませんが、ワンタイムパスワードのメールが通知用メールアドレスに送付されますので、ユーザ詳細画面の「通知用メールアドレス」に任意のメールアドレスを設定します。
通知用メールアドレスにはログイン対象サービスとは異なるメールアドレスを必ず設定してください。ログイン対象サービスと同じ場合、ログイン時にログイン対象のサービスにワンタイムパスワードが送られるのでログインできなくなってしまいます。

◯ユーザ側の設定(トークン)
iOS/Android端末に予めGoogle Authenticator/Google 認証システムをインストールしておきます。
サービスへのログインを行い、Gluegent Gateのログイン画面に遷移します。

2次元コードが表示されますので、Google Authenticator/Google 認証システムで読み取ります。

以降、ログイン時にはGoogle Authenticator/Google 認証システムに表示されたワンタイムパスワードを入力してログインします。

◯ユーザ側の設定(メール認証)
メール認証の場合は、ログイン時にワンタイムパスワードの入力を求められたタイミングで通知用メールアドレス(未設定時はメールアドレス)宛にワンタイムパスワードが記載されたメールが送信されます。

表示されたワンタイムパスワードを入力してログインします。

いかがでしたでしょうか。今の設定にプラスするだけでワンタイムパスワードがご利用いただけます。認証・アクセス権限ルールの設定次第で、「特定IPアドレスからアクセスした場合は、ワンタイムパスワードは不要、それ以外はワンタイムパスワードが必要」や「ユーザポータルへログインするときはワンタイムパスワードは不要」といったログイン方法の設定も可能です。
この方法を使ったセキュリティの強化をご検討ください。
(SUTO)

 

2019年8月21日水曜日

2019年こそフィッシングを気を付けましょう

「フィッシング」という言葉を聞くと、皆様何を想像するのでしょうか。20年前のポップアップ広告による、かなりシンプルなものになりますでしょうか。2019年ではもはや被害に会わない、という意識が強い人が多いのではないかと思います。しかし、事実はその真逆です。今年のサイバーセキュリティ会社retruster様が行った調査によると、約9割の情報漏れ事件の原因がフィッシングだと発表されています。ITのプロフェッショナルすらフィッシングに引っかかってしまうことも、珍しくありません。本記事では最新のフィッシングとその対策について少し説明していきたいと思います。 まず、フィッシングの種類について説明します。

意識されないフィッシング

フィッシングと言ってまず想像するのは、不特定多数向けにメール配信し、ユーザー名、パスワード、クレジットカード情報、電話番号、住所等の個人情報を入力させる「バルクフィッシング」(英:bulk phishing)と呼ばれるものでしょうか。ネットの広告等で大人数向けに行われ、一般に広く認知されているかと思います。こちらはある日突然身に覚えのない内容で届いたりするため、比較的、怪しさを感じやすいですが、特定の個人や法人向けに行う「スピアフィッシング」、さらには>会社の幹部を標的とした「ホエーリング」、正規のメールに似せた内容を送る「クローンフィッシング」などは、フィッシングだと意識されないような内容となり、より危険なものになります。

さて、フィッシングの特徴として、いかに被害者をだまして、リンクや添付ファイルを開かせるかがポイントになります。開かせた先は攻撃者が用意した一般サービスに似せた画面になり、たとえばGoogleに似せたサイトの場合、以下のような画面が表示されます。ここまで巧妙だと、ついユーザー名・パスワードを入力してしまわないでしょうか。

「技術」より「人間」を狙った攻撃

しかし、この画面を開かせるためにもメールを本物だと思わせなくてはなりません。送信者アドレスの偽装で良く使われるパターンをみてみましょう。たとえば、以下のものです。

tarou.yamada@sarnple1234.com 

よく見れば分かると思いますが、ドメインがsample1234.comのように見せかけていますが、「m」ではなく、「r」と「n」になっています。こうして攻撃者がユーザー名やドメインを真似、信用できるリンクや添付だと思わせることも多いです。気を付けていれば気付けるでしょうが、多数のメールを処理していたり、疲れていたりすると、細かく確認できずに、リンクや添付ファイルを開いてしまいかねません。結果として、ITに不慣れな人だけではなく、ITプロフェッショナルでもフィッシングが成功してしまうことも珍しくないのです。もちろん、こうしたものもフィッシング手法の一つということであり、他にも沢山存在します。
 「中間者攻撃」と呼ばれる巧妙なフィッシングも存在します。これは偽サイトで入力された内容を本物サイトに送付し、本物から戻される情報をそのまま改ざんして本物サイトになりすますというものです。こちらは本物サイトから見れば正しいアクセスと見えてしまいますので、たとえばパスワードの変更を行ったとしても攻撃者に追従されてしまう可能性もあり、危険度はかなり高くなります。

対策するには?

ワンタイムパスワードによる二段階認証はある程度有効な対策ではありますが、中間者攻撃においては現在アクセスしているサイトが偽のものか本物かを判断できず、結果としてすり抜けてしまう可能性もあります。
このため、証明書認証を認証方式として追加したり、認証プロセスにIP制限を設定したりする方がよりセキュアであると言えます。弊社が提供するGluegent Gate等のIDaaS製品もシングルサインオン連携で様々な認証方式や制限の実装が可能になるため、フィッシングの対策をしつつ、快適かつ安心にクラウドサービスをご利用頂けます。

2019年8月7日水曜日

<実録> テレワークやってます(3) 隣にいないと伝わらない?

前回は、「テレワークで『対面の打ち合わせ』に挑む」と題して、オンラインとオフラインのコミュニケーションについて、特に、テレワークで「対面の打ち合わせ」に近いコミュニケーションを取ることについて、考察しました。リモートの環境にあっても、いくつかのポイントをおさえることで、オフラインに劣らないコミュニケーションをとることができます。
今回は、テレワークというワークスタイルには苦手なコミュニケーションについて、考えてみます。


積極的な発信・共有に至らないコミュニケーション

オフィスワークで、周囲に同僚が座っているような環境で仕事をしていると、様々な形で情報が入ってきます。例えば、お客様と電話で話している同僚の声が聞こえてきたり、ちょっとした雑談の中で、業界動向や新しい技術について触れられたりもするでしょう。さらには、同僚の表情や顔色、声の調子から、疲れが溜まっていそうだとか、プロジェクトがうまくいってそうだというような、言葉に現れない情報を感じられたりもします。
テレワークの場合は このような情報の取得が基本的に出来ません。テレワークで得られるのは、「その人に対して、積極的に伝えられる意図がある情報」です。メールの宛先やCCに入れられた情報や、メンバーとして参加依頼されたリモート会議の内容などです。これらは必要があって伝えられますが、前述したような「聞こえてくる」程度の情報は、伝えようと意図されていないため、リモート環境までは届きません。
このように情報源が限定されているため、オフィスワークでは、当たり前のように共有されている情報が伝わっていないということは良くあります。デメリットのようにも聞こえてしまうかもしれませんが、こちらに関してはデメリットだけでなく、メリットと感じる部分もあります。

情報共有が不完全なことがある?

オフィスワークでは、様々な方法で情報が得られます。これらのコミュニケーションによって、総合的に情報が共有され、効率的な仕事につながります。テレワークでは「発信・共有が意図された情報」に限定されるため、全てを意識して伝えなければいけません。手間もかかりますし、抜けてしまうこともあります。この観点でみると、テレワークのデメリットとも言えるでしょう。
ただ、テレワークの場合、必要な情報を伝えるために、対象領域の問題や懸念事項が整理され、理解が深まるという面は見逃せません。意図せず伝わっているというような「確実性が低い」伝達に頼らず、情報を適切に整理して、必要な情報を必要な人に伝えることによって、結果的に仕事がより効率化されることもあります。
このようにテレワークでは、伝わってくる情報の分析とより積極的なコミュニケーションが求められる側面はあるものの、その「必要性を認識して」取り組めば、オフィスワークとは違った効率化の追求が可能となります。

チームの一体感

コミュニケーションが限定されてしまうと、仕事に必要な情報共有だけでなく、組織やチームの一体感や共感といった感覚的なものについても、違ってきます。チームで仕事をするなら、やはり机を並べていた方が、一体感を感じやすいでしょう。リモートに居る場合には、やはりその辺の感情的な共感や一体感が薄れるようにも思います。仕事に無関係な雑談をしたり、一緒に食事をしたりなど、チームの一体感は、同じ空間で同じ時間を過ごす事で深まるものです。
ただ、これについても、工夫次第で改善することは可能です。オフィースワーク側も意識して、チャットルームでいろいろな会話をしたりすることで、いろいろな情報に触れることができますし、ビデオチャットを利用したリモートでの会議では、カメラを有効にして顔を見えるようにしておくことで、お互いの表情を見ることができます。これらの工夫を意識的にしていくことで、物理的な距離があっても、感覚的に近い関係を持つことができるでしょう。

限定的状況の認識と工夫

前回と今回で見たように、オフィスワークとテレワークという働き方には、特にコミュニケーション・情報共有の点について、やはり差異があり、テレワークには苦手な部分があることがわかりました。ただ、そのような差異についても、その構造的な問題点を適切に把握して、工夫することで、十分に対応可能です。
今回まで、テレワークに関するネガティブな側面をどう解決するかに着目してきましたが、次回はテレワークを選択する大きな理由の1つとなる「時間の使い方」に焦点を当ててみます。ご期待ください。
(ま)

   Gluegent Gate