2021年7月7日水曜日

不正アクセスをブロック!〜ネットワーク情報を使い、ログインさせない方法〜

先日とあるお客様から、「存在しないユーザーIDを何度も入力して、ログインを試みているログがある」「AさんのIDを入力していろいろパスワードを変えてログインを試みているログがある」「どうやら攻撃を受けているらしいので不安」といったお問い合わせを立て続けにいただきました。
とても怖いですね。
今回はGluegent Gateでこういった攻撃を防ぐ方法をご紹介します。

パスワードがバレたら危険!

Gluegent Gateのメリットとして、「シングルサインオンできるので複数のサービスでそれぞれ個別のID/パスワードを管理する必要がありません!」とご案内しています。

しかしそれは、裏を返せばGluegent GateのユーザーIDとパスワードが漏れてしまったら、全てのサービスにログインできてしまうことになります。
なんて危ない!

ネットワークの制限+多要素認証で安心

いいえ、危なくありません。
Gluegent Gateではネットワークによるログイン制限が可能です。許可されたネットワーク外からはログインできなくなりますので安全です。
また、許可されたネットワーク外からログインしたいユーザーのために、標準装備でワンタイムパスワードやアクセスキーでの追加認証が行えます。
さらに、追加オプションで端末認証やクライアント証明書での追加認証も行えます。


それでも危険はまだまだたくさんあります
さて、冒頭でも例に挙げていました「どうやら外部から攻撃を受けているらしい、どうしたらいいだろうか?」というご相談です。
ここでご紹介したように、Gluegent Gateで対策をしているので、大丈夫です・・・が、攻撃者にログイン画面までは見えてしまっています。
例えば、Google Workspaceを使っている場合、https://mail.google.com/a/<ドメイン名>を入力すると、Gluegent Gateのログイン画面が表示されます。
他のサービスでも、ログイン画面に入力されたドメインから判断して自動的にGluegent Gateのログイン画面に遷移してくれるものがあります。
ログイン画面はお客様によるカスタマイズができますので、会社のロゴを出していたり、ご親切に「ログインで困った方はこちらへご連絡ください、info@example.com 090-XXXX-XXXX」などのように会社の情報や個人情報を掲載している場合もあります。
攻撃者はどこからどんなことをしてくるかわかりません。できればログイン画面も見せたくありません。

特定IPアドレス・ネットワークアドレスを拒否できるんです

実は、ここで紹介した「許可したネットワークからのみログインさせる」は逆の利用方法があるんです。
これは認証ルールの設定画面(認証ルール>ネットワークの設定)です。

先頭に「!」を付加すると指定したIPアドレスやネットワークアドレス「以外」に合致します。つまり、IPアドレス欄に「!203.0.113.1」と入力すると、203.0.113.1のIPアドレスのネットワークに接続した状態でGluegent Gateのログイン画面にアクセスするとログイン画面が表示されません。
攻撃者のIPアドレスはログから参照できますので、このIPアドレスを指定することでログイン画面にアクセスできなくなります。
これでログイン画面に記載された内容が漏れたり、ID/パスワードが漏れるリスクが軽減できます。

Gluegent Gateをシングルサインオンのためにのみご利用いただいており、セキュリティ対策を行っていないお客様が散見されます。
これを機にセキュリティ対策もご検討いただくことを強くオススメします。
もし設定方法に迷われたら弊社営業担当者やクラウドコンシェルジュにご相談ください。お客様が実現されたいご希望をおっしゃっていただければ、ご希望に沿った設定方法のご案内をいたします。ぜひ、ご検討ください!

ここで告知です!
毎回ご好評をいただいているGluegent User Meeting を来る 7 月 20 日(火)に 開催いたします。前回開催と同様 Zoom による配信にて行います。
日頃お使いいただいているお客様も、弊社サービスにご興味をお持ちの皆様も是非ご参加ください。
 開催日時:2021年7月20日 (火) 10:30〜11:40
 参加費:無料
イベントの詳細やお申し込みはこちらをご覧ください。
皆様のご参加を心よりお待ちしております。
(SUTO)