パブリックなクラウドサービスは、ユーザーやデバイスを識別するIDを悪用した攻撃を受けやすい。それゆえ、IDの管理は重要なセキュリティ対策の一つとなる。ところが、エンドポイントやネットワークと比べ、IDに関連するセキュリティ対策はあまり認知されていないのが現状だ。そこで今年6月、日本マイクロソフトとラックが中心となり、「ID-based Security イニシアティブ」を発足。IDをベースとするセキュリティ対策の普及促進を目指す。

IDベースのセキュリティ対策が重要

 IDを悪用してユーザーに成りすます悪意のある攻撃者を、システム側で防御するのは簡単ではない。本人確認を厳格にすることも可能だが、今度は利用しにくいシステムになってしまいがちだ。そのため、ID管理はセキュリティ対策として重要なポイントの一つとなる。「標的型攻撃をはじめ、大規模に情報を奪取するための入り口として、必ずといっていいほどIDが利用される。IDは狙われやすい」と、ラックの信太貞昭・事業企画部事業企画推進室長兼ソリューション企画推進グループグループマネジャーは警鐘を鳴らす。
   クラウドサービスが普及するにつれて、利用するデバイスや管理しなければならないIDの数が増える。IDが狙われていることを踏まえると、セキュリティ対策はネットワークだけでなく、ユーザーやデバイスごとのIDベースで考えることも必要になる。
 
201707271303_1.jpg

ラック
信太貞昭
事業企画部事業企画推進室長
兼ソリューション企画推進グループ
グループマネジャー

 そのうえで、信太グループマネジャーは、「これはオンプレミスであるか、クラウドであるかを問わず、共通して存在するリスクだ」と指摘。しかし、ユーザー企業の意識は低く、ラックがインシデントレスポンス対応を行っていくなかで「IDセキュリティに対する認知が広まっていない」と実感している。ユーザーを識別する企業のID認証管理として広く利用されているのが、マイクロソフトの「Active Directory」や「Azure Active Directory(Azure AD)」だ。ラックと日本マイクロソフトは昨年11月、「IDベースドセキュリティソリューション」の提供で協業している。

 こうした背景から、ラックと日本マイクロソフトが中心となって立ち上げたのが、企業が連携してIDセキュリティの普及促進を目指すコミュニティの「ID-based Security イニシアティブ」だ。

 ID-based Security イニシアティブでは、IDを活用したセキュリティ対策の普及に向けて、セミナーの開催や共同検証の実施、技術資料の提供、導入事例の提供、関連機関への提言といった活動を展開する。コミュニティにおける主幹事をラックが務め、幹事企業としてインテリジェンスビジネスソリューションズ、F5ネットワークスジャパン、サイバートラスト、Sansan、富士通、マネーフォワードが参画。日本マイクロソフトは事務局として参画する一方で、Active DirectoryやAzure AD、セキュリティソリューションの「Microsoft Enterprise Mobility + Security(EMS)」を提供し、評価検証や技術者の育成など、テクノロジー面からのサポートを行う方針だ。

 具体的には、まずはポータルサイトを軸に、IDセキュリティに関する情報発信を行い、IDセキュリティの啓発を図る。また、テーマごとにワーキンググループを設置し、定期的にセミナーや勉強会を開催したり、活動のなかで得られた成果をもとにホワイトペーパーなどを作成していく考えだ。

 今後一年間で、200社の参加を目指す。IDセキュリティに関心のある企業であれば制限はとくに設けないが、クラウド時代であることを踏まえて、「クラウドサービス事業者が入ってくれるとうれしい」と信太グループマネジャー。加えて、「自社でActive Directoryを運用しているところはぜひ参加してほしい」と話す。

 同時に、1000人の技術者育成を目標に掲げる。これについて信太グループマネジャーは、「セキュリティ業界全体で技術者が不足しているといわれているが、そのなかでも認証系の技術者はさらに少ない」と打ち明ける。当面は、Azure ADを使って認証基盤を構築できる技術者を育成することが中心になる」と想定しているといい、活動を通して技術者の育成モデルなどを組み立てていくとしている。

より多くの企業の参加を募る

 また、8月上旬をめどにコミュニティのキックオフイベントを開くことを検討している。信太グループマネジャーは、「さまざまなベンダーがもつ知見と、エンドユーザーが抱える課題の情報が整うことで、より汎用性の高い課題解決が可能な取り組みができるようになると考えている。より多くの企業にご参加いただき、クラウドを安心して使っていただけるようなIT環境の実現を目指していきたい」と、コミュニティへの参加と協力を呼びかける。

 コミュニティ内でのラックの果たす役割について、信太グループマネジャーは、「われわれはセキュリティの保護・運用を生業とする会社であり、IDセキュリティの必要性が高まっているとはいえ、エンドユーザーが自社で対応するのは難しいということをよく知っている。セキュリティ対策の実利用、実運用を促進するためには、当社のような立ち位置のサービスベンダーが役に立つ。IDセキュリティへの取り組みを先導を切って走っていきたい」と、今後の活動に期待を示した。