目次
Atos社は、世界73か国にITサービスを提供しており、社員数は11万人を超えるフランスを代表する企業。セキュリティ分野において、将来を見据えたトレンドをいち早く取り入れ、継続的な成長を遂げています。
IWIは、Atos社が開発するID管理システム「Evidian IAM (Identity and Access Management)」を販売しており、導入および保守サポートを行っています。
今回はAtos社のサイバーセキュリティ製品を統括するVasco氏を招き、セキュリティトレンドとEvidian IAMの強みについて伺いました。
株式会社インテリジェント ウェイブ 代表取締役社長
佐藤邦光(さとうくにみつ)
2020年9月にインテリジェント ウェイブ社長に就任。次世代の情報化社会に向けて、「決済、金融、セキュリティ分野を含む様々な企業のビジネスリライアビリティ(※)を支えるITサービス会社」になることをミッションとする変革をスタートさせる。社員と、会社の将来はどうあるべきかを議論しながら、従来の延長線にはない変革を常に求めている。また「働きやすさ」と「働きがい」を追求する多様な働き方と多様な人財の活躍の推進を通じて、新たな挑戦や創造を生み出す組織づくりを進めている。“世の中を変える”、“未来を創り出す”という実感を挑戦の醍醐味としており、新たな挑戦を通して、持続可能な社会に貢献し、社員と会社の成長の実現を目指している。
(※)ビジネスリライアビリティ:顧客事業の信頼性および自社事業の信頼性を高め続けること。(IWIの造語)
Atos S.A. サイバーセキュリティ製品担当グローバルCTO、Atos社特別専門家、科学コミュニティメンバー
Vasco Gomes
ITエンジニアおよび情報セキュリティエンジニアとして20年以上、多くの顧客における運用とセキュリティの両立に従事。近年はこの経験を生かし、アドバイザリーやイノベーションワークショップを通じて、将来のサイバーセキュリティの予測やデータの重要度に関する評価を行い、顧客を支援している。Atos社のサイバーセキュリティ製品のロードマップ、さらにはパートナーシップ締結やM&Aに寄与。
セキュリティの境界を超える前提での対策が重要
佐藤:本日はAtos社の技術トップであるVascoさんにお越しいただき、大変光栄です。早速ですが、現在グローバルで共通するセキュリティのトレンドについてお聞かせください。
Vasco:この20年で2つのトレンドが生まれました。そして、2つの要素とも「セキュリティの境界を超える」ことがキーワードとなります。
1つ目のトレンドは、社内端末やユーザーなどのリソースが、従来のセキュリティの境界線の外部へ移動していることです。ユーザーはテレワークで業務を行うために社外から会社のITリソースにアクセスする必要があります。特に新型コロナウイルスの影響でテレワークが推奨された結果、ユーザーと端末はより流動的になりました。
2つ目のトレンドは、外部の管理されていないリソースがセキュリティ境界内部へと移動している点です。例として、BYOD(私物の端末を社内に持ち込むこと)、外部パートナーによる会社端末へのアクセス、ITやOTに関連しているセンサー(IoT機器等)の普及などが挙げられます。
20年ほど前はファイアーウォールで社内のネットワーク環境を保護する対応で十分でしたが、現在、このような「要塞的」な対策では不十分と言わざるを得ません。SaaSの利用やテレワークの推進により、環境が複雑になったため、より柔軟なセキュリティ対策が求められます。
佐藤:新型コロナウイルスの影響でセキュリティ対策の潮目が変わってきたと言うことですね。具体的にはどのような対策が必要ですか?
Vasco:以前のセキュリティ対策は、境界型防御と呼ばれるもので、社内という明確に外部と区切られた環境を保護したり、もしくは社外のサービスやリソースを利用する際のネットワークでのセキュリティ、といった環境に重きを置いた対策でした。しかし、人々が色々なところで働くようになり、今ではその境界型防御の効果が薄れてきています。
現在の流動的かつ複雑な環境には、ID(アクセス権限)管理および、アクセス先ごとのポリシーに応じた対応を行う必要があります。つまり、環境ではなく人に焦点を当て、対策を行うことが必要です。
佐藤:企業のITシステムは従来のオンプレに加えクラウドサービスの利用が増えています。そうした状況には、一元的に高度なID管理ができる「Evidian IAM」が有効ですね。
企業がIDとアクセスポリシーに基づいた対策に移行するために、Atos社はどのような支援を行っていますか?
Vasco:私たちは、お客様の目標達成に寄り添った方法で支援を行います。例えば、ゼロトラスト(何も信頼しないことを前提にしたセキュリティ対策の考え方)の原則に基づいたIDごとのアクセス管理、策定されたアクセスポリシーに対するリスク評価および継続的な検証、といったものです。
また、こうしたプロジェクトでは、Atos Cybersecurity Servicesのチームが、お客様にアドバイスをしながら、計画と実行を最適化していきます。
Evidian IAMは、こうした取組みのもと、進化を続けており、ゼロトラストに沿った方法として、ユーザー認証にMFA(多要素認証)とアクセス権の制御を提供しています。また、同製品のAIエンジンである「Prescriptive IAM」が、アクセスに関する情報を収集し、アクセスポリシーの評価を行うよう、改善を重ねています。このPrescriptive IAMは、Atos社における分析にも活用できており、より質の高いサービス提供につながると期待しています。
佐藤:チームとAIエンジンによる機能を活用して計画から実装までを支援してもらえると、お客様にとっても心強いですね。また、「Evidian IAM」の機能追加を行い、積極的に進化させていく姿勢には同じ開発会社として見習うべきものがあります。
「行動バイオメトリクス認証」は将来のセキュリティトレンドとなるか
佐藤:将来のセキュリティトレンドを見据えて、現在取り組んでいる技術があればお聞かせください。
Vasco:ユーザーエクスペリエンス(UX)の向上を図り、様々な手段を採用し研究を進めています。従来のログイン認証と生体認証(顔、指紋、虹彩など)では、アプリケーションや機器といった異なるシステムにアクセスする際に、その都度、認証を求められ、業務効率の観点で課題があります。
それに対し、現在、認証ステップの簡素化と行動バイオメトリクスによる認証の研究を進めています。
認証ステップの簡素化とは、認証を試みるユーザー情報を元に、リスクレベルを算出し、安全なしきい値を下回る場合、認証ステップを減らすなどして、簡素化します。ユーザーの認証にかかる手間を減らすことができるので、業務の効率化につながります。
行動バイオメトリクス認証とは、キネティクス(姿勢、歩行)、音声、デバイス入力、マウスやタッチスクリーンの動作、デバイスの動きなどを要素とした認証方式です。
佐藤:行動バイオメトリクス認証の活用によって、どのようなメリットがあるのでしょうか。
Vasco:メリットは、ユーザビリティが向上する点と継続認証の活用が可能な点です。
当認証方式では、認証時にユーザーの動作を認証要素として学習します。
当方式を活用すると、認証時にユーザーの操作を遮らず、自動で認証可否を判定することが可能になります。つまり、ユーザーは認証情報の入力を意識せずに、自分が本人であると証明できるのです。
もう一つのメリットとして、継続認証の活用、という点があります。継続認証とは、本人認証を継続的に行うことで、ユーザーによる認証の手間を省くための方法です。主にカメラ、マイク、モニター、マウスをはじめとするセンサーと組み合わせ、動作を継続的に学習していくことで、ユーザーが固有に持つ情報を認証情報として、かつ、認証のための作業を行わず、本人であることを証明できます。また、継続認証の利点は、ユーザーによる認証の手間を省くだけではなく、アクセス権限の動的な管理にも期待できます。アクセス権限の管理者が常に監視を行わなくとも、リスクとなりうる行動を検知した場合、そのユーザーのアクセス権限を一時的に制御することが可能となります。
佐藤:行動バイオメトリクス認証が実現すると、認証が自動かつ動的に実行でき、柔軟かつ堅牢な認証方法が期待できる、ということですね。
行動バイオメトリクスのほか、生理学的バイオメトリクス認証として心拍数の利用も検証していると伺いました。
Vasco:認証要素としての心拍数や静脈の利用は、特定のデバイスにおいて一部検証しています。カナダのNymi Inc.と連携し、ウェアラブル端末を利用し、マスクや手袋をした状態でも本人認証を可能とする方法を模索しています。
https://www.youtube.com/watch?v=LGnWHcdwBw8
コンシューマ向け「FIDOサインイン認証」のトレンドについて
佐藤:Apple、Google、Microsoftなど*1がFIDOサインイン認証を推進していますが、FIDOサインイン認証についての考えをお聞かせください。
Vasco:FIDOサインイン認証は、ネットワークを通してサーバ側へ共有する認証情報がなく、セキュリティリスクを抑えられるため堅牢な仕組みです。また、認証情報を入力する負担も減り、業務効率化にもつながることから推進すべきだと考えます。
パスワードは古くから使われる方法であり、現在も多くの企業や団体で利用されます。その結果、セキュリティを強化するために、MFA(多要素認証)を導入し、ユーザーは認証の手間を負うことになります。
英国のNCSC (National Cyber Security Center)は、「多くの場合セキュリティでは、機能が良くとも人間に使いにくければ、全く価値がない。」(原文:Very often, if security doesn't work for people, it doesn't work at all.)と述べていることからも、セキュリティとUXは切り離してはいけないものだと思います。
Evidian は、FIDOアプローチも推進しており、一般消費者のそうした認証サービスの利用を容易にしています。
一方で、FIDOサインイン認証を利用するために、大半のユーザーにとって、導入時のFIDOキーの各端末への登録や利用方法が明快なものではありません。これに対しては、今後取り組んでいくべきものと捉えています。
行動バイオメトリクス認証の検討をはじめ、私たちはセキュリティとUXを向上させるための取組みを今後も行っていきます。
佐藤:IWI内でもEvidian IAM専門のチームがあります。今後も協力してEvidian IAMを広めて行けたらと思います。本日はお越しいただき、ありがとうございました。
※1 PR Times|Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進(参考日:2022-08-25)
