ゼロトラストのアプローチを採用し、業務アプリにパスワードレスでサインオンを実現する仕組みとは？［PR］

業務アプリケーションとしてOffice 365やSalesforce、Boxなどのクラウドサービスを採用する企業が増えてきています。これが企業にとってセキュリティの考え方や実装を見直す大きな契機となっています。

例えば、これまではファイアウォールによって企業内ネットワークで安全性を確保し、そこで業務アプリケーションを運用し、利用することが一般的でした。

「ゼロトラスト」と呼ばれるアプローチ

しかしクラウドサービスが業務アプリケーションの一部になると、企業内ネットワークとは関係なく、インターネットからそのまま業務アプリケーションにアクセスできるようになります。

社員がスマートフォンなどのモバイルデバイスを社外に持ち出し、インターネットから自由に業務アプリケーションが利用できることは、仕事の柔軟性を実現する上で非常によいソリューションです。

しかし社外の安全性が確立されていないネットワーク環境では、デバイスにマルウェアを仕掛けられたり、安全でないフリーWifiに接続したり、デバイスを紛失したりすることによって、業務データやパスワードなどが流出する、というリスクも高まります。

そこでいま注目されているのが「ゼロトラスト」と呼ばれるセキュリティへのアプローチです。

すべてを信頼せず、検証する

ゼロトラストとは、すべてを信頼せずに疑い、検証し、問題がなければ利用を許可する、という考え方に基づいています。ファイアウォールの内側のデバイスやネットワークは信頼する、といった従来の考え方とは異なるアプローチです。

例えば、デバイスにはマルウェアが仕掛けられているかもしれない、ネットワークには中間攻撃者がいるかもしれない、ユーザーは誰かのなりすましかもしれない。だからそれらをその都度、ひとつひとつ検証した上で、問題がなければ業務アプリケーションに接続し利用を許す、ということになります。

ゼロトラストは、モバイルデバイスやインターネットを活用する新しい時代に合致した柔軟かつセキュアなシステムを実現するアプローチです。しかし、複数のセキュリティシステムを有機的に統合して構築しなければならないという複雑さが、企業にとって導入の大きなハードルと考えられています。

そしてこの分野にも包括的なソリューションを提供するベンダは登場しています。その代表的なベンダの1つが「MobileIron」（モバイルアイアン）です。

ゼロトラストによるソリューションを提供する「MobileIron」

同社が提供するソリューションの1つ「ゼロ・サインオン」は、ユーザー、デバイス、アプリケーション、接続環境などの安全性を確認したうえでアプリケーションへのサインオンを許すというセキュリティ環境を実現します。

しかも「ゼロ・サインオン」の名称が示すように、iOSやAndroidなどのモバイルデバイスやPC、Macなどが備えている顔認証や指紋認証、PIN入力などによっていちど本人確認が行われれば、あとはアプリケーションやサービスごとにいちいちIDとパスワードを入力しなくても、自動的にサインオンが実行されるのです。

これにより、ログインする手間なく高い利便性を実現することと、パスワードが漏洩するというリスクを抑え込むセキュアな環境が実現されます。

MobileIronを利用して、Salesforceのモバイルアプリケーションにサインオンする例を見てみましょう。

左から2つ目のSalesforceのアイコンをクリックして起動すると（下記画面左）、ログイン画面の下にあらかじめ情報部門が設定していたゼロ・サインオンのオプションが選択可能になっています（下記画面中央）。Salesforceアプリがこのように利用企業の定める認証を開始するためには企業のドメイン情報が必要ですが、MobileIronの管理下で配布されたSalesforceアプリでは自動的に設定されます（下記画面右）。

ユーザーは単にダウンロードしたSalesforceアプリを開いてゼロ・サインオン（Zero Sign-On by MobileIron）をタップするだけで、IDとパスワードの入力の必要無くサインオンが完了します。

最後に証明書に登録されているユーザー情報の確認が求められます（上記画面左）。自分であることを確認すると、サイオンオン完了です。以後は自動的にサインオンできます。実際の様子は記事末の動画で見ることができますので、ぜひご参照ください。

ゼロ・サインオンを構成するMobileIronの製品群

このゼロ・サインオン機能はMobileIronが提供する複数の製品群をベースに構築されています。

「MobileIron UEM」はiOS、Android OS、Windows、Mac OSに対応した統合エンドポイント管理製品です。デバイスのなかに私的に利用できる領域とは隔離された仕事用の領域を構成、そこにコンプライアンスのポリシーを設定し、アプリケーションを配信する機能などを提供。BYOD（Bring Your Own Device）であってもセキュアな環境を実現します。

さらに「MobileIron Threat Defence」によってデバイスを脅威から防御。これらによって少なくとも仕事用の領域をつねにセキュアな状態に保ちます。

そのうえでログイン制御を行う「MobileIron Access」と、証明書の配付などの技術にVPNなどの機能を提供する「MobileIron Sentry」の技術などが用いられて、ゼロ・サインオンが実現されているのです。

同社は安全性が確認されているMobileIron管理下のデバイスをカギにして、MobileIronの管理外のPCからクラウドアプリケーションにログインする機能も提供しています。ログイン時にQRコードが表示され、それをモバイルデバイスで読み取ることで、サインオンが完了します。

例えば急に自宅でリモートワークをしなければならなくなったとき、家にあるPCからログインするときでもパスワードを入力する必要がなく、セキュアなデバイスをカギ代わりにできるのです。すでにMobileIronで管理されているデバイスがあれば、わざわざ指紋認証のための外付けデバイスや多要素認証への追加投資などが省略できます。

今後はFIDO2への対応も予定しており、クラウドサービスだけでなくPCやMacのデスクトップそのものへのログインも、スマートフォンの生体認証を使って行えるようになるとのことです。

ゼロトラストのアプローチを用いたMobileIronのゼロ・サインオンは、モバイルデバイスやクラウドサービス、そしてリモートワークなどの活用を考えている企業にとって検討する価値のある選択肢といえるでしょう。

≫MobileIron エンタープライズセキュリティソリューション

（本記事はモバイルアイアン提供のタイアップ記事です）