いまの会社の業務システムは、業務に応じて複数のクラウドサービスを使い分けることが当たり前です。たとえば、コミュニケーション(チャット)であれば、SlackやTeams、営業管理(SFA)は Salesforce、請求書発行は、MoneyForward、ファイル共有は Sharepoint や Dropboxなどです。一つの企業が10以上のサービスを利用することも珍しくありません。
そこで問題なのは、パスワードです。
情報セキュリティ的には、それぞれのサービスに個別のパスワードを設定することが推奨(パスワードリスト攻撃の対策)されてるのですが、普通の人間はそんなにパスワードを覚えきれません。メモ帳にパスワードを書いてしまうとか、結局、パスワードを使い回してしまう問題が発生します。
パスワードリスト攻撃
- 流出したID・パスワードの組み合わせをリスト化し、そのリストを使って不正ログインを試みるサイバー攻撃です。 攻撃者は自動化ツールを用いて、入手したID・パスワードの組み合わせを次々と入力し、標的となるWebサイト・サービスへの不正ログインを試みます。
この課題を解決するのが「SSO(シングルサインオン)」です。
SSO(MoneyForward)は、一度の認証で複数のサービスにアクセスできる仕組みです。SSOを導入した会社なら、朝に一度だけ会社の認証システムにログインすれば、その後は、メールやチャット、業務システムなど全てのサービスに自動的にログイン可能なので重宝します。
SSO機能を実現する代表的な技術が「SAML認証」です。
SAML(Security Assertion Markup Language)は、異なるシステム間で安全に認証情報を交換するための国際標準規格です。
SAML認証には3つの要素が登場します。
IdP(アイディーピー:Identity Provider / 認証提供者):社員の認証を担当する「係員」のような存在です(会社の認証サーバー、Google Workspace、Microsoft Entra ID(旧Azure AD)、Oktaなど)
SP(エスピー:Service Provider / サービス提供者):社員が実際に利用する業務システムやクラウドサービスです。(Salesforce、AWS、Box、Zoomなど)
SAMLアサーション(認証チケット):IdP(係員)が発行する「このユーザーは本人確認済みです」という証明書(万能なチケット)です。
ここでは、テーマパーク(SP)に来るゲスト(システムの利用者)を例にします。
ゲストは遊園地(Salesforce)の入口に行きます。- 遊園地の係員は、チケット売り場(IdP)に案内します。
- ゲストは、チケット売り場で本人確認(パスワード入力)します。
- チケット売り場で「万能チケット」のSAMLアサーションを発行します。
- ゲストはSAMLアサーションを持って遊園地に入場します。
- 同じSAMLアサーションで、
水族館(Google Drive)、
動物園(Slack)にも入れます。
SAMLを利用するには事前にクラウドサービスを利用する会社が管理するIdPと、クラウドサービスを提供する会社が管理するSPの間で、証明書を含むメタデータ(XMLファイル)の受け渡しを行い信頼関係を築きます。
ところで、近年、セキュリティの考え方として「ゼロトラスト」という概念が重要視されています。
ゼロトラストは、「決して信頼せず、常に検証する(Never Trust, Always Verify)」という概念です。ゼロトラストのセキュリティは、従来の「社内ネットワーク内は安全」という境界防御の前提を捨て、ネットワークの内外を問わず、すべてのアクセス要求を常に検証(Always Verify)します。
そこで考慮する必要があるのが、SAML認証とゼロトラストには根本的な矛盾があることです。
SAML認証は、一度認証に成功すると、一定期間は信頼される前提で、その期間中は信頼関係を構築したサービスは自由にアクセスできます。一方、ゼロトラストの要求は、一度の認証では不十分であり、継続的に検証し続ける必要があります。ただ、完全なゼロトラストを追求すると、SSOの利便性が失われてしまいます。これは一種のジレンマですが、現実的には「リスクと利便性のバランス」を取るアプローチが必要です。
そこで、バランス的なセキュリティ対策として、「パスワードの定期的な変更」と「MFA(多要素認証)の導入」というふたつが考えられますが、いまはMFAが強く推奨されています。
かっては「90日とか3ヵ月ごと」とか、一定の期間を設けてパスワードを変更することが常識でした。しかしいまは「むしろ逆効果」とされています。背景は、変更のたびに覚えやすいパスワード、予測可能なパターン(例:Password2024 → Password2025)になりやすく、人間の脳の限界もあるので、結局は覚えきれずメモに書いてしまうなどのリスクが高いからです。NIST(米国国立標準技術研究所)では、2017年のガイドラインで定期変更を推奨しないと明言してます。
MFA(Multi-Factor Authentication)は、下記の3要素のうち、2つ以上の異なる要素を組み合わせて本人確認を行う方法です。
| 要 素 | 認証方式の例 |
|---|---|
| 記 憶 | パスワード認証/暗証番号(PINコード)等 |
| 所 持 | 端末認証/ICカード認証 等 |
| 属 性 | 生体認証(指紋認証/顔認証 等) |
パスワード入力後、スマホアプリに表示される6桁のコードを入力することで、初めてログイン成功となるのが典型です。MFAの導入により、攻撃者がパスワードを盗んでも、スマートフォンがなければログインできないため、不正アクセスを防止できます。Microsoftの調査では、 侵害されたアカウントの 99.9% を超えるアカウントには MFA が存在しないため、パスワードリスト攻撃、フィッシング、パスワードの再利用に対して脆弱であることがわかりました。
- 複数のクラウドサービス利用は避けられない:業務に応じた最適なツールの選択が重要
- SSOで利便性とセキュリティを両立:一度の認証で複数サービスにアクセス。SAML認証が標準技術
- 信頼関係に基づくが、ゼロトラスト的視点も必要:リスクに応じた段階的制御とバックグラウンドでの継続的監視
- パスワード定期変更よりMFAが効果的:定期変更は時代遅れ。MFAで99.9%のリスク削減
情報セキュリティは「厳しくすればするほど良い」というものではありません。業務効率とのバランスを取りながら、実効性の高い対策を選択することが重要です。
