なりすましによる不正アクセスの危険

 Chromebookを利用する安全性は、OSが常に最新の状態に保たれる点と、端末にデータを残さないクラウドベースの作業にある。WordやExcelなどのアプリケーションを使わないため、Emotetに代表されるマクロ方式のマルウェアに感染するリスクが低い。その一方で、Chromebookによる「Google Workspace」の利用にも、ハッキングや不正アクセスなどのリスクはある。

 例えば、Google WorkspaceはユーザーIDとパスワードだけで、あらゆるChromebookやWebブラウザーからログインできる。そこで考えられるのが「なりすまし」のリスクだ。Google Workspaceでは、メールアドレスがユーザーIDとして使われるケースが多いため、パスワードがソーシャルハッキングなどで露呈したことで、簡単に不正アクセスされるといったケースは少なくない。

 こうしたリスクを防ぐために、個人で利用しているGoogle Workspaceでは、スマートフォンと連動して、これまで利用されていない地域やPCなどからのアクセスがあると、SMSなどで連動しているスマートフォンに確認のメッセージが届く。しかし、こうした多重チェックを企業で導入するChromebookに適応させようとすると、社員の所有しているスマートフォンとの連携が必要になり、個人所有のスマートフォンを業務利用しているケースでは拒否されることもある。そこで注目されているのが、インターナショナルシステムリサーチが提供する「CloudGate UNO」だ。

不正な端末からのログインを防ぐ

 CloudGate UNOは、そのサービス名が示すように各種クラウドサービスへの出入り口を一本化するソリューションだ。クライアント証明書を活用したデバイス認証や、FIDO2認証に対応したセキュリティキーの利用、「Pocket CloudGate」というアプリを使った生体認証などにも対応する。CloudGate UNOを導入すれば、Chromebookに強固で利便性の高いセキュリティ対策が叶えられる。例えば、クライアント証明書を活用したデバイス認証では、社員が利用するChromebookを限定できるので、不正な端末からのログインをブロックすることが可能だ。

 Chromebookの利便性は、どの端末からでもユーザーIDとパスワードでログインすれば、いつでも自分のGoogle Workspaceが使える点にある。しかし、その利便性は不正アクセスや「なりすまし」の脅威につながる。そこで、社員に貸与するChromebookにクライアント証明書をインストールして、デバイス認証を行えば、厳密にアクセスを管理できる。万が一、社員がChromebookを紛失したり、盗難に遭ったりした場合でも、デバイス認証に対応していれば、特定のChromebookからのアクセスも制限できる。モバイルデバイス管理「Mobile Device Management」(MDM)ほど厳密ではないが、持ち出し機器のセキュリティ対策の一助にもなる。

 また、CloudGate UNOは、Security Assertion Markup Language(SAML)2.0やForm-based、Open ID connectなどに対応したシングルサインオン機能を提供している。300以上のクラウドサービスとの連携が可能で、Chromebookへの認証を強化すると同時に、安全性と利便性を両立できる。

1万ユーザーを超える運用にも対応

 社名は公開されていないが、CloudGate UNOの大規模な導入事例では、約1万2,000ユーザーがChromebookを利用している企業で採用されている。1万台を超えるChromebookが全社員に正しく利用されているかを認証している実績があるので、サービスの安定性と信頼度も推し量れる。それだけ大規模になると、CloudGate UNOによる厳密なデバイス認証は、システム管理者にとっても大きな安心につながる。もちろん、小規模な運用でもデバイス認証によるセキュリティ対策は効果がある。特に、CloudGate UNOではChromebookとスマートフォンの併用を想定して、2デバイス分の証明書をセットにしたスマートパックという料金プランも用意している。Active Directory(AD)と連携する機能を備えたエンタープライズプラスのプランに2デバイス分の証明書を組み合わせたプランなので、標準的なプランであるスタンダードプラスと証明書を組み合わせて利用するよりも割安になっている。

 CloudGate UNOをChromebookで採用する二次的な効果として、煩雑なアカウント管理を自動化するプロビジョニングの活用がある。CloudGate UNOは、Google WorkspaceとMicrosoft 365、cybozu.com、LINE WORKSに対応し、煩雑なクラウドサービスのアカウント管理を自動化する。また、CloudGate UNOのユーザー管理画面では、グループや組織単位での管理が容易にできる。

 Chromebookを使うからといって、Google Workspaceの利用だけで完結するケースは少ない。多くの場合は、ほかのクラウドサービスも併用する。そうした現実的な利用において、CloudGate UNOが実現するプロビジョニングによるアカウント管理の自動化は、システム管理者の利便性を向上し、設定ミスなども予防する。例えば、Google Workspaceは、個人を基本にした管理操作になっているので、組織やグループという管理概念はなく、組織を意識したユーザー管理が煩雑になる。Googleの提供する管理コンソールでは、日本の企業で一般的に使われている階層型の組織構造に対応する設定画面がなく、まとまった登録や変更などの操作ができない。CloudGate UNOのユーザー管理は、Google Workdpaceのユーザーと連携し、組織やグループ単位での各種設定に使いやすいUIを提供してくれる。

 もちろん、CloudGate UNOはクラウドサービスなので、利用するデバイスはChrmoebookやスマートフォンに限られない。Windows OSやmacOSなどでも利用できるので、Chrmoebook以外のデバイスが混在する環境でも、デバイス証明書によるセキュリティ対策は強化できる。ChromebookとWindows PCやMacBookなどが混在する企業で、将来的な全社Chromebook移行を推進していく上でも、CloudGate UNOによる安全性と利便性を両立するログイン対策の強化は、現実的なゼロトラストの解決策となる。