クオリティソフトは、ディー・ディー・エス（DDS）と協業し、DDSの指紋認証ユニット「UBFシリーズ」と指紋認証システム「EVEシリーズ」を、多要素認証プラットフォーム「Quality EVEシリーズ」として提供を開始した。マイナンバーの本格的な施行に伴って対策を進める地方自治体を中心に拡販を進めながら、さらに企業への普及を目指す。将来的には、EVEシリーズと「QNDシリーズ」「ISM CloudOne」との連携機能も開発する方針だ。

　クオリティソフトは、これまでIT資産管理ツールのQNDシリーズ、クラウド版のISM CloudOneなどを提供し、アクセスログの取得、外部メディア管理による内部不正の防止策を進めてきた。さらに、標的型攻撃への対策として、ネットワークの入口/出口におけるセキュリティ対策の強化を図っている。

　「当社の標的型攻撃への対策で、まだ不十分な点が、最もコストがかかる未知の攻撃への対策、それに内部対策」と山崎誠司・営業推進部部長は前置きし、次のように語る。


　社内のPCと社外に持ち出したPCでは、ID/パスワード部分をWindowsの認証システムが認識していないと、同じアカウントでも異なるデスクトップとなる。そこで、モバイルで社内と同じようにWindowsにアクセスする必要がでてくる。それにはドメイン認証を通す必要があることから、WindowsはID/パスワードをキャッシュしてそれを使ってログオンしている。マルウェアはそのキャッシュを抜き取るのである。

　また、モバイルPCには紛失や盗難のリスクも加わる。例えば、ウェブブラウザのキャッシュでID/パスワードを記憶させている人は多く、デバイスとID/パスワードが結びつく。そのため、他人がログオン可能なPCが紛失・盗難にあうと、いくらクラウドサービスに高いセキュリティ対策が施されていても、本人になりすましてクラウドサービスが利用されてしまう。つまり、セキュリティ対策としてのID/パスワードの意味がなくなるのである。
 

ログと認証で個人を特定し内部不正を抑制

　「ID/パスワード・ハッシュを抜き取られるなどの被害にあわないようにするには、Windowsの認証システムからの解放が不可欠だ」と山崎部長は強調する。

　しかし、ID/パスワードはWindowsをはじめとしてクラウドサービスなどあらゆるシステムが採用しているため、決して逃れられない。そうであるなら、ID/パスワードを残して別の認証を加える、つまり、多要素認証にすることで、ID/パスワードが漏えいしても、端末の乗っ取りを防止すればよい。最悪、PCを乗っ取られても、ネットワークを通じてその先に行くことができないため、被害を最小化できるのだ。

　「生体認証はデバイスではなく特定の個人に紐づくため、他人がなりすますことができない。ワンタイムパスワードもセキュアだが、パスワードを発行するトークンがないと使えないのに対して、指紋は忘れることがない。それが大きな強み」と山崎部長。
 

　クオリティソフトのQuality EVEシリーズは、指紋や静脈などの生体認証のほか、ICカードなど、複数の認証方式による多要素認証に対応し、主な仮想化環境にも対応している。指紋認証については特許をもつ解析技術で指紋登録率100％を実現するなど、すぐれた操作性が大きな特徴だ。

　「実際の運用においても、複数のユーザーが共通アカウントでPCを使用しているケースは少なくないが、Quality EVEシリーズはグループ登録によって、共有PCにログインした個人の特定が可能だ。問題が発生した時には、確実に本人確認ができる。こうした対策を取ることが内部不正に対しても大きな抑止力になる」と山崎部長は強調する。実際、大手企業から会員情報が流失した際、不正を働いた犯人は流出元を特定させないようDBへのアクセスを偽装工作していた。これも生体認証を加えた多要素認証であれば、偽装を防止できる。

　認証とログとのマッチングは重要という点で今後は、QNDシリーズとISM CloudOneのコンソールでQuality EVEシリーズの導入状況を把握するほか、EVEシリーズの認証ログをQNDシリーズとISM CloudOneの操作ログに統合する機能の開発を進める計画だ。 　情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2016」によると、組織におけるセキュリティ脅威のトップは標的型攻撃による情報流出、2位が内部不正、3位がウェブの改ざんである。

　「認証とログ管理を強化すれば、外部からの攻撃にも、内部不正に対してもよりセキュアな環境を構築できる」と山崎部長はメリットを強調する。
 

当面のターゲットは自治体市場の開拓

　Quality EVEシリーズがまず、販売のターゲットとしているのは地方自治体だ。総務省がマイナンバー制度の本格的な施行に伴って打ち出した「自治体情報システム強靱性向上モデル」では、「情報の持ち出しの禁止」「多要素認証の導入」「情報系と行政系ネットワークの分離」という三つを施策の柱とする。総務省では、2015年度と2016年度の合計で2000億円の予算を割り当て、施策の実施を推進している。

　「QNDシリーズとISM CloudOneで情報の持ち出し禁止に対応し、今回、Quality EVEシリーズが加わったことで多要素認証にも対応するため、三つの柱のうち二つをカバーできる。さらに、アライドテレシスとのアライアンスによって実現したネットワーク管理とISM CloudOneのぜい弱性診断を合わせたソリューションなども提供している。まずは、自治体向けソリューションに強いパートナーの方々とともに、この市場を開拓していきたい」と山崎部長は抱負を語る。　
 

各種対策を組み合わせ、トータルでエンドポイントセキュリティを強化

　自治体での多要素認証導入の流れの延長線として、クオリティソフトが目指すのが企業に向けたソリューションの展開だ。

　「自治体で多要素認証が標準仕様になっていけば、企業でも同程度の対応策が求められるようになっていく。来年以降にその流れが本格的に立ち上がっていくことを期待している。当社としても、ぜひ企業のセキュリティレベル向上に貢献していきたい」（山崎部長）。

　ただ、企業での多要素認証が本格的に普及していくには課題も少なくない。というのも、自治体の場合、マイナンバーなど、守るべき対象が明確で、その多くがクローズされたシステムに存在しているのに対して、企業は対象となる範囲が広くて線引きが難しく、その多くが情報系システムに存在しているからだ。

　「国から予算をつけてもらえる自治体と違って、企業への導入を促すにはコストとのバランスが重要になる。また、セキュリティ対策はどうしても投資というよりも保険という扱いになってしまう。ICカードなどと比較した場合、指紋認証は認証デバイスがやや高価な点が、とくに中小企業にとってはネックとなる。そこをどうクリアしていけるかが、これからのテーマだ」と山崎部長はかみ締める。

　端末が一人1台の時代は、認証はデバイスの特定でよかった。しかし、仮想化、クラウドの時代となり一人が複数のデバイスを使用してアクセスする時代となったことで、今や個人の特定が必須となっている。山崎部長は、「当社の基本的な方針は、一つのソリューションですべてをカバーするのではなく、各分野のすぐれた対策を組み合わせて、アドオンにより多層化していく。そのための使いやすいプラットフォームを提供し、各対策をシームレスに連携させていくことを目指す。トータルで守って、セキュリティ強化に貢献していく」と力を込める。