叡智の三猿

~森羅万象を情報セキュリティで捉える~

IPアドレスによる接続制限

クラウドサービスにMFA(多要素認証)を適用する動きはこれからも広がっていくでしょう。それは、巨大クラウドサービスである、Salesforceが MFA(多要素認証) の使用を必須条件にしたことに象徴されます。

長引くコロナ禍でテレワークが加速しました。政府はクラウド・バイ・デフォルト原則(政府情報システムの構築・整備に関しては、クラウドサービスの利用を第1候補(デフォルト)として考える」という方針)を掲げたこともあり、クラウドサービスを利用する企業は増加の一途をたどっています。

クラウド・バイ・デフォルト原則

急速なクラウドサービスの増加とともに深刻な課題となっているのが、多くのクラウドサービスが提供しているIDとパスワードに依存する弱い認証方式です。パスワードがなんらかの理由で漏れてしまい、他人に使われると、クラウドサービスを利用する本人の真正性を確保できなくなっているのです。

多要素認証はなりすましを防止する有効な手段です。クラウドサービスベンダーにとっては、MFAを提供することでセキュリティ対策に積極的であることをアピールし、ブランドを守りたい意図もあると思います。

一方でログイン認証が複数あることで、利用者にとってはシステムへのログインが完了までに手間がかかることが不満になります。特にIPアドレスによるクラウドサービスのアクセス制限をかけてシステムを利用している会社であれば、あえてひと手間かかる多要素認証を適用しなくてもいいのではないかと思う人もいるはずです。

IPアドレス制限は会社のグローバルIPアドレスクラウドサービスに登録しておくことで、登録されたグローバルIPアドレス以外からのアクセスを拒否します。グローバルIPアドレスはネット空間に於ける会社の住所に相当します。会社内にあるパソコンは個々にプライベートなIPアドレスをもっていますが、社内ネットワークとインターネットの境界にあるルータのNAPTという機能を使うことで、プライベートIPアドレスグローバルIPアドレスの相互変換を行います。これにより、社内の機器があたかもインターネットに直接繋がっているかのようにアクセスできます。

下図のように会社で働く鈴木くんと佐藤さんのパソコン、そしてテレワークで働く山田くんのパソコンはVPNを経由して社内ネットワークを経由し、グローバルIPアドレスに変換されるので、クラウドサービスにアクセスできます。しかし、グローバルIPアドレスに変換されない田中くんのパソコンはクラウドサービスにアクセスを拒否されます。

IPアドレスによるアクセス制限

IPアドレス制限は外部からの不正アクセスを防ぐ有効な手段です。しかし、IPアドレス制限で制御するのは、IPアドレスのみです。鈴木くん、佐藤さん、山田くんは同じグローバルIPアドレスクラウドサービスに接続しているので、たとえば、佐藤さんが山田くんのIDとパスワードを流用して、山田くんになりすましてシステムにログインすることを防ぐことはできません。IPアドレス制限は外部からの不正アクセスへの対策にはなりますが、なりすましの対策にはならないのです。

クラウドサービスによっては、クライアント証明書を使って接続元の端末を認証するサービスもあります。クライアント証明書をテレワークで使う機器にインストールすることで、IPアドレス制限で許可した場所以外からも安全にサービスを利用できます。山田くんはテレワークで自宅のパソコンからクラウドサービスにアクセスをする場合、クライアント証明書がないときは、会社のVPNに接続するという手間が必要でした。クライアント証明書があれば山田くんが使っている端末を認証するので、VPNに接続しなくても安全にシステムを利用できます。

IPアドレス制限+クライアント証明書

会社で多数使っているクラウドサービスをセキュアに利用しつつ、情報へのアクセスの利便性を向上させる必要もあります。コストとの兼ね合いもありますので、情報システム責任者にとって頭痛の種でしょう。