社員のパスワード漏えいリスクの99.9%を防止する「Soliton OneGate」

Windows搭載PCに比べてサイバー攻撃のリスクが低いと評されるChromebookだが、100％の安心感を提供してくれるわけではない。Chrome OSは、マルウェアへの感染や被害に遭うリスクを低減する仕組みを備えてはいるものの、セキュリティ対策の「肝」となるログインIDとパスワードの保護に関しては、スマートフォンなどによる多要素認証でのハッキング防止策しか用意していない。どこからでも、どのデバイスからでもシングルサインオン（SSO）を実現してくれるGoogleのクラウドサービスには、その半面、なりすましのリスクが潜む。こうした被害を未然に防ぐセキュリティ対策として、ソリトンシステムズの「Soliton OneGate」がある。

　ソリトンシステムズの「漏洩アカウント被害調査サービス」調べによれば、調査した2,000ドメイン以上の99.9％でアカウント漏えいの被害が発生しているという。例えば、米国時間2013年10月3日に発生したIT企業へのサイバー攻撃では、約3,800万アクティブユーザーのIDと暗号化したパスワードが盗み出されてしまった。こうした事件は氷山の一角で、日々、世界中で何らかのクラウドサービスがサイバー攻撃に遭い、ユーザーIDやパスワードが漏えいしている。

　サイトへのサイバー攻撃に加えて、攻撃者の攻撃方法も巧妙化している。中でも急増しているのが、多要素認証で広く使われている「SMSワンタイム」の弱点を突いた攻撃である。このサイバー攻撃は、最初にパスワードリスト攻撃を行い、被害者をフィッシングサイトに誘導してSMSワンタイムに送信されたセキュリティコードを盗み出し、多要素認証をハッキングしてしまう。仮に、Chromebookで多要素認証を設定していても、このようなフィッシング詐欺に遭えば、攻撃者に不正ログインされてしまう危険性がある。こうした被害を未然に防ぐためには、多要素認証よりも強固な不正ログイン対策が必要だと言える。それを実現するのが、ソリトンシステムズのMFA認証サービス「Soliton OneGate」（以下、OneGate）である。

　OneGateは、Google WorkspaceやMicrosoft 365をはじめとするクラウドサービスにデジタル証明書＋FIDO2（生体認証）、スマートフォン認証、パスワードなどの多要素認証を組み合わせた強固なログイン認証を実現する。スマートフォン認証やパスワードだけでは、なりすましのリスクがあるが、デジタル証明書を組み合わせることで、クラウドサービスなどにアクセスするデバイスを特定し、不正アクセスを防止することが可能だ。

　ChromebookにOneGateを導入すると、Google Workspaceなどのクラウドサービスへの認証を強化できる。具体的な仕組みとしては、Google管理コンソールとOneGateを連携し、社員が利用するChromebookにデジタル証明書を登録する。デジタル証明書のインストールは、Chromebook専用のMDM連携機能を活用すると、確実に自動で配布できる。デジタル証明書をインストールしたChromebookは、Google管理コンソールとOneGateの連携により、ログイン時の強固な多要素認証を実現する。そして、デジタル証明書が登録されていないなりすまし端末からの不正アクセスを強固に防止する。

　OneGateのデジタル証明書は、Microsoft 365などで利用されるAzure Active Directory（AAD）や、イントラネットなどで利用されてきたActive Directory（AD）アカウントにも対応している。ChromebookでMicrosoft 365などのクラウドサービスを利用するときにも、不正アクセスを予防できる。また、イントラネットなどの社内ネットワークにも対応しているので、ネイティブアプリへの証明書認証＋代行入力によるサインオンを独自に実現する。さらに、Wi-FiやVPNの認証にも活用できるので、社員が社内で利用するスマートフォンなどを限定したり、VPN接続の認証強化に利用したりすることも可能だ。

　日本ではクラウドサービスとChromebookだけで全ての業務を完結している企業はまだ少ない。Windows PCやスマートフォンなど多様なデバイスを利用している環境には、OneGateのデジタル証明書を活用した認証の強化は、あらゆるデバイスを包括的に保護できる効果的なセキュリティ対策と言えるだろう。

　ソリトンシステムズでは、OneGateによる認証強化に加えて、セキュリティソリューション「Soliton DNS Guard」（以下、DNS Guard）も提供している。DNS Guardは、Domain Name System（DNS）を利用する全通信を対象としたWebフィルタリングサービスだ。リアルタイムで更新される脅威ドメイン情報を基に、端末が通信しようとしている宛先が悪性かどうかを判断し、危険と判定された場合は通信を自動的にブロックする。

　サイバー攻撃の中には、日本語を利用したフィッシングや日本語環境でなければ動作しないマルウェアも増えてきている。それに対応するため、DNS Guardでは日本で観測された脅威サイトや、日本の公的機関に報告された詐欺サイトの情報を精査し、独自ブラックリストに追加する作業を行っている。そのため、グローバルで幅広く展開される攻撃に対応しているだけではなく、日本でしか観測されていない攻撃のブロックもできるのだ。どこに潜んでいるのか判別するのが困難な脅威から社員を守る対策が行えるようになる。

　DNS Guardには従来型のWebフィルタリングとの違いがある。従来型のWebフィルタリングでは、制御ソフトを端末にインストールして、Web通信（HTTP／HTTPS）レベルでアクセスを制御していた。そのため、対象となる通信が限られ、パフォーマンスにも影響を与えていた。それに対して、DNSフィルター型はDNSレベルでアクセスを制御するので、PCのパフォーマンスを低減させることなく利用できる。DNS GuardでWebフィルタリングを有効にすれば、社員がフィッシング詐欺サイトにアクセスして、ユーザーIDやパスワードを盗み出されるリスクを減らせる。

　また、DNS Guardはドメインのカテゴリー情報を基に広告／ギャンブル／ゲーム／アダルトといった46のカテゴリーに対して通信をブロックすることも可能だ。「旅行サイト」や「転職サイト」などへのアクセスも制御できるので、業務目的以外の私的利用を防げる。Chromebookをリモートワークで利用する際の、安心材料にもなるだろう。

　DNS Guardによる社員のパスワード漏えいリスクの低減とOneGateによるChromebook単位でのデバイス認証の効果を伝えられると、より安全で安心できるリモートワークや柔軟なワークスタイルの提案につながる。