Chromebookと認証基盤の「Themis」でユーザーの利便性と安全性を向上

ChromebookとGoogleの提供するクラウドサービスにおける標準的な認証方法は、メールアドレスとパスワードを利用するものだ。ユーザーネームとパスワードによるログインは、クラウドサービスの利便性を向上させる半面、クレデンシャル（認証情報）漏えいのリスクがある。ひとたび、クレデンシャルリークが起きれば、強固なセキュリティも容易に突破されてしまう。そうしたセキュリティリスクに対応するのが、Chromebookに多要素認証を提供してユーザーの利便性と安全性を向上するディー・ディー・エスの万能認証基盤「Themis」だ。

　ディー・ディー・エスの「Themis」は、オンプレミスで利用する万能認証基盤だ。Themisは、指紋／静脈／Webカメラによる顔認証といった本人の生体に基づくデータによって認証する方法や、ICカード／ワンタイムパスワード／QRコードといった本人のみが所持している物によって認証する方法などさまざまな認証機器と方式に対応している。

　ThemisとChromebookを組み合わせると、Webカメラを活用した顔認証による二要素認証が可能になる。Themisの導入先の一つとして、約1万8,000名の多要素認証をThemisで一元管理しているのが三重県鈴鹿市の教育委員会だ。同委員会では、教職員および児童生徒の約1万8,000名にChromebookを導入し、文部科学省の情報セキュリティガイドラインに準拠するために、Themisで顔認証を活用している。Chromebookと顔認証によってエンドポイントセキュリティの強化と利便性の向上を実現させているという。

　Themisの顔認証は、ディープラーニングを応用したパナソニック コネクトの顔認証技術を採用し、ChromebookのWebカメラによる認証を可能にしている。「Windows Hello」のように、近距離赤外線センサーを必要としない。VGA（640×480）以上の外付けカメラや、Chromebookに標準搭載されているWebカメラで、正確な顔認証を実現しているので、システム全体の導入コストを抑えられる。また、ThemisのIDマネージャーは、シングルサインオンに対応している。シングルサインオンを実現するための仕組みの一つである異なるドメイン間でユーザー認証を行うための認証情報規格「SAML」（Security Assertion Markup Language）に連携したクラウドサービスや、既存のアプリケーションに対しても、プログラムを改修しないで認証を強化できる。

　ThemisはChromebookだけではなく、Windowsにも対応している。WindowsでThemisを利用すると、Windows Helloによる顔認証の欠点も克服できる。Windows Helloによる顔認証では、何度か認証に失敗すると、自動的にPIN入力に切り替わる。PIN入力は、一般的なパスワードの組み合わせよりも容易に解読されやすいため、セキュリティの脆弱性につながる。また、先に触れているようにWindows Helloには、高性能な近距離赤外線センサーも必須になる。Webカメラに加えて、近距離赤外線センサーが搭載されたWindows Helloと互換性のあるハードウェアが必要となるため、導入コストがかかってしまう。

　それに対して、ThemisはWindows Helloを使わない顔認証を提供するので、多要素認証が強固になる。さらに、WindowsやChromebookなどOSが混在している環境でも、一元的な多要素認証を実現する。WindowsからChromebookへの移行を計画していたり、混在する環境で多要素認証の強化を検討したりしている企業にとって、効果的な認証基盤となるだろう。

　実際にChromebookでThemisを利用するためには、Google WorkspaceのSAML認証で設定する。具体的な設定方法は、Googleの管理コンソールにある「シングルサインオンの設定」機能で行う。サードパーティーのIDプロバイダーの設定画面から「ログインページのURL」と「ログアウトページのURL」に、Themisサーバーの「SSOエンドポイント」と「SLOエンドポイント」を設定することで連携できる。ThemisをIdentity Provider（IdP）に、Google WorkspaceをService Provider（SP）とすることで、ThemisユーザーでGoogle Workspaceのシングルサインオンが可能になる仕組みだ。

　Themisは、オンプレミスの認証基盤なのでシステムの導入には、ハードウェアも含めたインテグレーションが必要になる。一般的な導入例としては、Linux系OSを搭載した多要素認証基盤としてのThemisサーバーと、Themis顔認証サーバーを構築する。オンプレミスでのシステム構築には、初期投資とある程度の運用規模が求められるので、少人数の企業が導入するには敷居が高い。そこで、ディー・ディー・エスではクラウド認証サービスの「EVECLOUD」も提供している。

　EVECLOUDは、Themisのクラウド版といえる認証サービスだ。Themisと同様に、顔認証／ワンタイムパスワード認証／QRコード認証／パスワード認証／FIDO認証（WebAuthn）／クライアント証明書などの多要素認証を利用できる。また、SAML2.0によるシングルサインオンを実現し、Google WorkspaceはもちろんMicrosoft 365などのクラウドサービスも、一度のログインで全て利用できるようになる。クラウドサービスなので小規模の利用にも柔軟に対応する。大手企業でも運用管理の負担を軽減するために、EVECLOUDを採用するケースも増えているという。

　EVECLOUDによるChromeOSへのログインでは、Google WorkspaceとのSAML連携による顔認証などが利用できるようになる。ちなみに、Active Directoryとユーザー情報を同期して、Windowsログオン認証でWindowsへのログオンも利用可能だ。

　クレデンシャルリークに代表される社員のIDとパスワードの漏えいは、あらゆる企業や組織にとって致命的なセキュリティリスクにつながる。日々の業務で利用しているメールアドレスをクラウドサービスのログインIDに利用しているケースが増えているだけに、パスワードだけに頼るセキュリティ対策は、無策で無防備である。

　セキュリティ対策の強化が求められている現状にあって、まず取り組むべきは多要素認証に代表されるログイン認証の強化だ。そして、利用者の利便性と認証の安全性に配慮するならば、顔認証に代表される生体認証は、なりすましのリスクを低減し、覚えにくいパスワードを紙にメモして貼るといった危険な運用も防げる。

　Chromebookによるマルウェア感染の予防やランサムウェア被害の低減に加えて、Themisをはじめとする多要素認証によるログイン条件の強化は、セキュリティファーストに最適な提案といえるだろう。