テレワークのセキュリティ対策!Powered BLUEでワンタイムパスワードを簡単導入

働き方改革で多様なワークスタイルを実現するためや、大規模災害時に事業継続するための手段としてテレワーク環境の確保は必須です。しかしそのためには、社内サーバーをインターネットからアクセスできるようにする必要が生じることから、セキュリティ上の不安を感じる管理者の方も多いのではないでしょうか。

kagoya×mubit01

特に社内サーバーへアクセスするのにID・パスワードの認証のみの場合、仮に社員のパスワードが流出すると重大な情報漏洩につながる危険性があります。今回はその対策として推奨されるワンタイムパスワードの有効性や導入の方法について、株式会社ムービットの谷地田 工様にお話しいただきました。株式会社ムービットでは、ワンタイムパスワード認証に対応するアプライアンスサーバーを開発・販売されています。

カゴヤ・ジャパン 竹瀬:
まずは御社の沿革と事業内容を教えていただけますか?

谷地田様:
ムービットは1995年に創業しまして、今期で25年目を迎えます。インターネットが流行し始めた頃から、メールやウェブのインターネットサーバーを開発・販売してきました。お客様はプロバイダーでした。現在は一般の企業や自治体、大学のお客様もいらっしゃいます。

竹瀬:
事業拡大とともにお客様の幅が広くなっているということですね。
ムービットでの谷地田様はどのようなお仕事をされているのでしょうか?

谷地田様:
肩書は代表取締役ですが、開発や営業も担当しています。

竹瀬:
ムービットを創業される前は、どのようなお仕事をされていたのでしょうか?

谷地田様:
もともとクボタという農機具の会社にいました。その頃、クボタではベンチャー企業に投資してスーパーミニコンというCPU4個のベクトルコンピューターを販売しておりまして、私はそのサポートに携わっていたんです。

竹瀬:
谷地田様は、エンジニア出身の経営者ということですね。
創業当時よりメールやウェブのインターネットサーバーを販売されていたとのことですが、今は商品を拡張されていますよね?

谷地田様:
そうですね。インターネットサーバーの開発・販売というベースは変わりませんが、現在は認証機能を付与したサーバーなどを扱っています。

竹瀬:
認証機能を追加されたのは、いつ頃からですか?

谷地田様:
5~6年前からですね。

竹瀬:
そのぐらい前から、目を付けていらしたのですね。
認証機能に注目するきっかけはなんだったのでしょうか。

谷地田様:
kagoya×mubit02

エンドのお客様の中には、メールのパスワードを第三者に推測されやすい簡単な文字列にされてしまっている方がいるんですね。結果、アタックを受けた挙句に、ID・パスワードが盗まれ、メールサーバーがスパムメールを送信する踏み台にされるというケースが発生していたのです。

そうなると、スパムメールはランダムな宛先に送信されますから、宛先がなく戻ってきた数千~1万通といった規模のエラーメールでスプールが一杯になってしまい、お客様がメールを送受信できなくなるという事態になりました。これは良くない、ということでID・パスワード以外の認証を追加することにしたのです。

竹瀬:
セキュリティを不安視されているお客様には、ID・パスワード以外の認証を追加できるというのは喜ばれそうですね。当時はどのような認証機能を販売されていたのでしょうか。

谷地田様:
SSLのクライアント認証(※)を取り扱っていました。
※あらかじめ指定された内容のSSL証明書がインストールされた端末のみ、サーバーなどへのアクセスを許可する認証方法。

竹瀬:
お客様の反応はいかがでしたか?

谷地田様:
はい。多くのお客様に導入いただきました。
証明書にはパブリックなタイプとプライベートなタイプがあります。

竹瀬:
公に認められた認証局が発行するのがパブリック証明書で、自分で発行するのがプライベート証明書ですよね。

谷地田様:
その通りです。それでパブリックな証明書というのは、年間1枚数千円ほどの料金がかかってしまいます。大手であればそれを全社員に導入させるということも可能かもしれませんが、中小企業では難しいのが正直なところです。その点、弊社の製品ではプライベートな証明書も扱えるようにしたので、中小企業のお客様中心に喜んでいただけましたね

竹瀬:
お客様のニーズをつかんだ製品を販売され、中小のお客様の支持を得られたわけですね。

谷地田様:
そうですね。
ただクライアント認証自体はかなり強力なのですが、エンドユーザー様の端末に証明書をインストールしないといけないのが難点です。企業の方であれば、全社員にインストールするように指示することも可能ではあります。しかし会員制のウェブサイトなどで社外の方にも使っていただくような場合、エンドユーザーのレベルも千差万別なので、ご自身の端末に証明書をもれなく入れていただくのは現実的ではありません。

竹瀬:
確かに一般の会員の方全てに、SSLの証明書をインストールしてほしいといっても難しそうです。なかには面倒で利用をやめてしまうユーザーの方もいらっしゃるでしょうね。

谷地田様:
そうなんです。その点、これから紹介するワンタイムパスワードはGoogleをはじめ複数の企業が専用アプリ(トークン)を公開しており、インストールはクリックだけで完了します。エンドユーザー側に費用もかかりませんから、導入が簡単なのがメリットです。

竹瀬:
なるほど。ムービット様の製品でも、ワンタイムパスワードが使える点が大きな売りになっていますね。

ワンタイムパスワードの仕組みとは?

kagoya×mubit03

竹瀬:
最近ではオンライン銀行などのウェブサービスを使う際などに、ワンタイムパスワードが必要となる機会が増えていますね。ワンタイムパスワードとはどんなものか、簡単に解説いただけますでしょうか。

谷地田様:
ワンタイムパスワードとは、その名前の通り、認証の度に使い捨てのパスワードを発行する方法です。普通のパスワードと組み合わせて使うのですが、ワンタイムパスワード自体は30秒ごとに変わるようにできているため、仮にばれてしまっても問題ありません
POWEREDBLUE01

竹瀬:
もし悪意のある第三者にワンタイムパスワードが盗まれても、実際に悪用しようとするときには無効になっているから影響がないということですね。
企業がワンタイムパスワードを自社サイトで導入しようとする場合、どのようにすればよいでしょうか?

谷地田様:
まず、サーバー側にはアカウント管理やパスワード生成・認証を行う機能が必要です。次にクライアント側は、ワンタイムパスワードを生成する仕組み(トークン)を用意することになります。

竹瀬:
クライアントがサーバーに対しアクセス要求を行うと、認証サーバーと今おっしゃったクライアント側の「仕組み」が連携して、ワンタイムパスワードを生成するわけですね。そうして、そのパスワードをウェブサービス上に入力すると、認証が完了するという理解でよいでしょうか?

谷地田様:
はい、間違いありません。

竹瀬:
クライアント側の仕組みとは、具体的にはどんな例があるでしょうか?

谷地田様:
携帯のショートメールを使う方法もありますが、最近では、Google社が無償で提供しているGoogle Authenticatorというアプリ(トークン)もありますね。このアプリであれば、スマートフォンへインストールしたあと、専用のQRコードをそのスマートフォンで撮影するだけで登録が完了するため簡単に導入できます。
古くは銀行さんがクライアントに、ワンタイムパスワードを使うサービスごとに専用のハードウェアを持たせてワンタイムパスワードを実現していました。このハードウェアは時々壊れたり電池が切れたりして使えなくなるという難点があったのです。
その点、無償のGoogle Authenticatorのようなソフトウェアではそんな心配もないし、1つのアプリでいくつものウェブサービスと連携できるのがメリットですね。ちなみに、Google以外の企業でも同様のソフトウェアを無償公開しているため、ユーザーは自分にあったものを選べます。

竹瀬:
そのようなアプリの登場で、ワンタイムパスワードがより身近になったのですね。ワンタイムパスワードは、オンライン銀行など公開サービス以外にも使われていますか?

谷地田様:
たとえば企業が社員にだけ使わせたいウェブサイトにログインさせる際や、VPN経由で社内ネットワークへアクセスさせる際などにワンタイムパスワードを使うケースも多いですね。
最近ではSaaSを使う際に、SAMLによるシングルサインオン(※)で認証をすませたいという企業も多いです。ただ、それでは他のサービスの認証で社内の認証も行えてしまいセキュリティ的に甘くなることから、ワンタイムパスワードを組み合わせて使うというケースもありますね。
※1度の認証で複数のウェブサービスやアプリへログインできるようになる仕組み。たとえばAというサービスで認証をすませると、同様のシングルサインオンの仕組みに対応したBやCなどのサービスやアプリを使う際には、認証が不要となる。これによりID・パスワードの入力の手間を省くことができる。なおSAMLは、シングルサインオンを実現するために最もよく使われている標準規格。

竹瀬:
シングルサインオンを社内に導入する際も、ワンタイムパスワードの併用が効果的なのですね。ワンタイムパスワードはさまざまなシーンで利用できそうですが、導入しようとする場合、コストはかかりそうですね。

谷地田様:
通常、シングルサインオンやワンタイムパスワード認証の価格設定は、ユーザー数に応じた従量制に設定されている場合が一般的です。
弊社の場合、シングルサインオンやワンタイムパスワード認証はユーザー数に依存しない固定の価格に設定しています。割安な価格設定にしており導入の敷居が低くなっています。

テレワークのセキュリティ課題とPowered BLUE

竹瀬:
新型コロナウィルスの影響もあり、日本の企業でテレワークの需要が高まっています。ただしテレワークでは、社内のネットワークやサーバーに外部からアクセスするのを可能にするわけですから、セキュリティ的な課題も多いです。そんな中で、サーバー製品を長く扱われてきた谷地田様の目からみて、最も気を付けなくてはならないのはどんな点とお考えですか?

谷地田様:
昨年、多くの企業が利用するファイル転送サービスで、数百万規模の個人情報漏洩事故があって大きなニュースになりましたね。漏洩した情報の中にはログイン用のメールアドレスはもちろんのこと、暗号化されない状態のパスワードも含まれておりました。
一方、みなさんSNSやウェブサービスなど平均で20~30個くらいのパスワードを使ってらっしゃいますよね。ただ全てのパスワードを覚えていられないので、どうしてもパスワードの使いまわしが発生します。その場合、どこかで1つのパスワードが流出すると、社内アクセスも含めて、不正利用されるきっかけになるんですね。

竹瀬:
確かにID・パスワードの不正利用による犯罪は多いようですね。警察庁が公開した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(※)」によれば、平成30年の1年間で検挙した不正アクセスのうち、ID・パスワードの不正利用が約95.6%に上ったとのことです。
※出典:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
それだけ悪用されているということですね。

谷地田様:
はい。先ほど挙げたファイル転送サービスはほんの一例ですが、ほかにもいろいろなところからIDやパスワードが流出しているため、パスワードの使い回しは本当に危険ですね。自分のメールアドレスやパスワードが漏洩していないか、チェックするサイト(※)があるので、不安な方は一度試してみるとよいと思います。
※以下URL
https://haveibeenpwned.com/Passwords
https://haveibeenpwned.com/
上記は、Microsoft Regional Directorでもあるオーストラリアのセキュリティ専門家Troy Hunt氏が運営されているサイトで、多くのニュースサイトなどでも紹介されています。入力欄にメールアドレス・パスワードを入力しボタンをクリックするだけで、流出の有無が確認可能です。

それから企業がよく利用されているウェブメールですが、仮に社内専用のURLで運用していたとしても、有名なサービスを利用しているとGoogleで検索するとURLがばれてしまうということもあります。

竹瀬:
それは怖いですね。

谷地田様:
はい。この場合、ウェブメールにログインするためのIDはメールアドレスですから、仮にパスワードが流出していたら、悪意のある第三者が簡単にログインできてしまうことになります。

竹瀬:
社員のID・パスワードを悪用され企業の情報が流出する、という事件は頻繁に起きているのでしょうか?

谷地田様:
はい、被害を受けた企業が自ら「情報が流出しました」と公表しないだけで、ファイルサーバーのデータが盗まれるなどの事件はかなり発生していると推測されます。
テレワークを安全に運用するためには、ID・パスワード以外の認証を追加するのは必須です。
ID・パスワードの認証だけでは限界があります。

竹瀬:
なるほど。そんな中で、御社がワンタイムパスワードに注目され自社のアプライアンスサーバー「Powered BLUE」に導入した理由を教えて下さい。

谷地田様:
他にも指紋認証などの認証がありますが、導入にコストがかかります。指紋認証であれば、スマートフォンはともかくパソコンだけでは使えないという制限もあり、必ずしも使い勝手がよいとはいえません。その点、ワンタイムパスワードであれば機種を問わず利用できる上に、他の認証方法に比べコストが安いというメリットがあります。
Powered BLUEは「コバルト」という、オープンソースとなったインターネットサーバーをベースとしています。コバルトは、以前は多くのホスティング事業者さんが使っていました。コバルトという色がブルーのことなので、それに「Power」という言葉をつけてPowered BLUEと名付けたのです。

竹瀬:
企業にとってワンタイムパスワードの導入は、メリットが多そうですね。
Powered BLUEはどんな商品で、この商品を使いテレワークを実現するとどんなメリットがありますか?

谷地田様:
Powered BLUEは、OSに関する知識を持たない方でも、ワンタイムパスワードやSAMLに対応したウェブ・メールサーバーを導入・運用できるオールインワンのアプライアンスサーバーです。直感的なGUIでの簡単な操作で、ワンタイムパスワードに対応したセキュアなウェブ・メールサーバーを立ち上げることができます。そのためテレワークの目的で社内サーバーをインターネット上からアクセスできるようにして、社員のパスワードが漏洩していたとしても、ワンタイムパスワードまでは破れないので安心です。
POWEREDBLUE02

また、ウェブサーバーのディレクトリをわけ「このサイトは社外公開用だからログインは不要。こっちのサイトはワンタイムパスワードを必要とし営業部だけの人間だけがアクセスできるようにする、こっちは人事部だけ」といった運用をするための機能も用意しています。流行りのWordPressを使ったウェブページの立ち上げも、Powered BLUEならGUI上で行えるので簡単にできますよ。

竹瀬:
ウェブ・メールサーバーだけでなく、ワンタイムパスワードなどの機能も最初からパッケージされているということですね。
Powered BLUEを使えば、既存のウェブ・メールサーバーにワンタイムパスワードなどの機能を追加することもできるんですか?

谷地田様:
はい、Powered BLUEには認証機能をもったリバースプロキシを運用する機能もあるので、既存サーバーの前にPowered BLUEを設置していただければ認証を追加することも可能です。このとき既存サーバーの設定はほとんどいじる必要はありません。

竹瀬:
リバースプロキシとは、どのような機能なのかもあわせて説明いただけますでしょうか。

谷地田様:
リバースプロキシは、対象のサーバーへのアクセスを代理で受け付けた上で、対象サーバーへ中継するプロキシサーバーのことです。リバースプロキシの使用目的はさまざまありますが、たとえばPowered BLUEをリバースプロキシとして使う場合は、ワンタイムパスワードなどの認証についてはPowered BLUEで行い、認証に成功した接続だけお客様の既存のWebサーバーへ中継できます。
POWEREDBLUE03

竹瀬:
Powered BLUEがリバースプロキシサーバーとして、ユーザーのサーバーの代わりに認証を受け持つということですね。
ワンタイムパスワードやリバースプロキシ以外で、Powered BLUEには認証に関する機能がありますか?

谷地田様:
SSLのクライアント認証やSAMLによるシングルサインオン、独自認証(自社専用の認証)にも対応しています。
POWEREDBLUE04

また、Multi-AZに対応しているので、サーバーを複数台使って負荷分散させることも可能です。
POWEREDBLUE05

たとえば東日本のデータセンターに設置したAというサーバーと、西日本のデータセンターに設置したBというサーバーに負荷分散させた上で、仮にどちらかのサーバーが停止してもサービスを継続させるということもできます。

竹瀬:
他にもワンタイムパスワードを付与するサービスや商品はあると思いますが、それら商品と比較した場合のPowered BLUEの優位性はどんなところにありますか。

谷地田様:
まず、ウェブ・メールサーバーと各認証機能をPowered BLUE1つで運用できるという点ですね。認証機能1つとっても通常はアカウントを管理するサーバー、認証を行うサーバー、データーベースサーバーなど複数のサーバーが必要となります。もちろん、ウェブサーバー・メールサーバーも別途必要です。その点、Powered BLUEはこれらを1つのサーバーで運用できます。それがPowered BLUEを使うメリットの1つですね。
もう1つの優位性は、コストです。通常ワンタイムパスワードなどの認証機能を追加しようと思うと、1アカウントあたり年間千円程度というコストがかかることが多くなります。Powered BLUEを使えば、ユーザー数に依存しない固定の価格設定なので、はるかに安価に認証機能付きのサーバーを運用することができるのです。

カゴヤでPowered BLUEを導入するには?

谷地田様:
カゴヤさんのお客様にもPowered BLUEを是非導入いただきたいと思います。

kagoya×mubit04

竹瀬:
はい、弊社のVPSやクラウドサービス、専用サーバーサービスでは、Powered BLUEを導入いただけます。弊社のお客様の中には、パスワード漏洩やパスワードを盗み取られた上でのコンテンツ改ざんなどを心配されている方も多いので、その対策としてPowered BLUEの導入を検討いただきたいですね。
導入を希望される場合は、営業に問い合わせいただいたり、VPSなどを契約の上で、コントールパネルの問い合わせなどから希望をお伝えいただいたりすることになります。

谷地田様:
たくさんのお客様からお問い合わせいただきたいですね。

竹瀬:
はい。具体的な価格や申込の流れなどは、別途個別に弊社までお問合せいただければお答えいたします。

テレワークを実現するため、インターネットから社内サーバーへアクセスさせる環境を用意することは必要です。しかし社員が同じパスワードを使い回すのを禁止したり、パスワードの流出を完全に防いだりするのは容易ではありません。
そのため仮に悪意のある第三者に盗まれても影響がないワンタイムパスワードの導入は、セキュアなテレワーク環境を運用するのに有効です。カゴヤのVPSや専用サーバーをお使いのお客様は、Powered BLUEを導入すれば、簡単にワンタイムパスワードによる認証機能を利用できます。働き方改革などでテレワークの重要性が注目されるなか、是非カゴヤサービスやPowered BLUEの活用を検討ください。

安心で選ぶならカゴヤサーバー

人気記事ランキングトップ10

様々なビジネスニーズに応える柔軟なスペックと自由な構成 KAGOYA CLOUD IaaS

なんでもできるVPS すぐにインスタンスの追加が可能!

カテゴリ一覧

新着記事Pick Up!