2019年9月12日木曜日

モバイルアプリのアクセス制御は、ログインの時だけって、知ってた?

昨今セキュリティに関する話題には、良くも悪くも事欠かない状況です。 当然、クラウドサービスの利用に当たっても二段階認証を導入する等の対策を取るケースが一般的になってきています。 弊社サービスのGluegent Gateを導入頂いているお客様でも、オフィスのIPアドレスからのアクセスであればID/パスワードだけ、それ以外からのアクセスの場合はID/パスワードに加えてワンタイムパスワードや、証明書を用いた多要素認証(MFA)を組み合わせて運用されているケースが多いです。

さて、モバイルアプリのアクセス制御については、特に意識しておかなければならない点があります。現在のモバイルアプリは、「最初に一度認証すると、意図的にログアウトするまではずっと使い続けることができる」という仕様が一般的です。このため、モバイルアプリについては「いずれ認証セッションが切れるのが一般的」なブラウザベースでの利用シーンとは異なる考え方をする必要があります。モバイルアプリへのアクセス制御を考える際には、この点をしっかりと意識しておく必要があります。

モバイルアプリでパスワード入力が一度だけなのはなぜ?

モバイルアプリでパスワードを何度も入力すること/入力させることを避けることは、利便性を上げたいアプリの提供サイド、そして便利に使いたい利用サイド双方にメリットがあり納得できます。ただ、セキュリティ面からすると安全とは言い難いのが現状かと思います。コンシューマ系のアプリでは、最初の認証以降は端末の生体認証で利用できるタイプのアプリが増えてきています。ビジネスアプリでもこの方向性での安全性の確保は進んでいくものと思われます。加えて、FIDO等のパスワードをなくしていく流れも強まってくるでしょう。

モバイルアプリへのアクセス制御をどうするか?

アクセス制御は、本人及び端末を識別した上で、適切に利用させることが目的です。では、本人及び端末の識別はどのように行えば良いでしょうか。本人の確認についてはID/PWを利用するケースが一般的です。これに加えて、G SuiteやOffice365等、証明書を利用できるモバイルアプリに関しては証明書認証を利用した多要素認証(MFA)がお勧めできます。これにより、「証明書がインストールされた端末で、許可されたユーザ」が利用していることを保証できます。

証明書が使えないモバイルアプリの場合はデバイスの制御が難しいため、会社にVPNで接続したり、社内のWi-Fiから認証させる等の運用について検討しなければなりません。つまり「VPNに接続できる端末」や「社内のWi-Fiに接続できる端末」からID/PWで認証し、本人及び端末を識別する方法となります。

これらに加えて、近年のモバイルデバイスであれば、端末利用に際して指紋認証や顔認証などの生体認証がありますので、よりセキュアな運用が可能となります。

コストや環境、セキュリティポリシーの制限で、こうした運用が難しい場合に関しては、モバイルアプリを諦め、Webブラウザやセキュリティブラウザによるサービス利用をご検討いただくのが良いかと思われます。

モバイル端末の盗難や紛失等の際にはどうする?

盗難や紛失、何らかの事情により急きょモバイルアプリからの利用を止めたいというケースにはどのように対処すべきでしょう。これは、モバイルアプリを提供している各クラウドサービスの管理機能によって、強制的にモバイルアプリからログアウトさせる等の運用ルールを明確にしておく必要があるでしょう。クラウドサービスごとに強制的なログアウトの可否、方法などは異なりますので、クラウドサービス選定の際に確認しておくのが良いでしょう。

また、場合によってはMDMやMAMといったモバイルデバイスやアプリのマネジメントができるツールの導入も検討する必要があるかもしれません。


いかがだったでしょうか。 世の中のサービスやそれを利用するモバイルアプリについて、セキュリティとその利便性をうまくバランスさせることで、より効率的な働き方を実現出来るかと思います。


   Gluegent Gate