ゼロトラストセキュリティーを実現する統合認証サービス「MistyAuth」多要素認証と認証基盤をクラウドで提供

ECサイト、クレジットカードの会員サービスなど一般向けウェブサービスの利用が増加し、ビジネスにおいてもリモートワークやクラウド利用などでのウェブ経由での企業情報資産へのアクセスの普及する中、サイバー攻撃が増加の一途をたどり、攻撃されることを前提としたゼロトラストセキュリティー型の対策が求められています。一方、サービス提供者にとってはサービスごとに付与するIDやパスワード、利用者がどの機能を利用可能かといった権限の効率的な管理が欠かせません。三菱電機インフォメーションシステムズ株式会社（MDIS）は、IDを統合管理し、複数の認証技術を用いた多要素認証を実現するクラウド型の統合認証サービス「MistyAuth」（ミスティ・オース）を提供し、認証・認可に関する課題を解決します。

ウェブサービスの普及により、ログイン時の「個人認証」の重要性が増しています。近年は、ECサイトに不正にログインされて高額な商品を購入される被害や、インターネットバンキングの口座がハッキングされて大金が引き出される被害が頻発しています。企業システムにおいても、不正アクセスで機密情報が盗まれたり、ランサムウェアで身代金を要求される事態が報告されています。こうした被害を避けるために、IDとパスワードだけでなく、それ以外の認証方式も加えた「多要素認証」を導入、用途に応じて使い分ける対策が求められています。

もうひとつの課題は認証基盤の効率的な導入と運用負荷の抑制です。ウェブサービスを提供する企業にとって、サービス数が増えれば管理するIDも増えて複雑化します。一企業が提供するサービスでも、ブランドが異なるだけでユーザーは複数のIDを持つことになり、それだけで利便性が低下してしまいます。企業においても、Microsoft365、Salesforce、Zoom等のクラウドサービスが普及しており、利用するにはそれぞれの認証が必要です。利便性を高めるためには、IDの一元化や1度の認証で複数サービスへのログインが可能になるシングルサインオンが必要になります。

そこでMDISでは、「多要素認証」と「認証基盤」の2つの課題を解決するソリューションとして「統合認証サービス MistyAuth」を開発しました。金融第一事業部 第一サービス事業推進室の大江哲浩氏は次のように語ります。

「利用しやすい認証方式は、ウェブサービスの提供方法や企業の環境によって異なるため、MistyAuthでは複数の認証方式を用意して環境に応じて選べるようにしました。認証基盤はオンプレミスでは構築に時間と初期費用がかかり、導入後は運用の手間もかかります。そこで、クラウドサービス（IDaaS）として提供し、短時間かつ手軽に利用できるようにしました」

多要素認証と認証基盤は、注目を集めている「ゼロトラストセキュリティー」のベースとなるものです。金融第一事業部 第一サービス事業推進室 シニアマネージャーの伊串亮二氏は「かつては境界型防御により外部から侵入させない対策を取ってきました。デジタル化を進めるうえで外部サービスの利用が増えた今では、セキュリティーの考え方を改める必要があります。多要素認証と認証基盤を整備し高度化することは、あらゆるアクセスは信頼できないものとして捉え早期にインシデントを検知して対処する、ゼロトラストセキュリティーを実現するためのカギとなります」と語ります。

MistyAuthの多要素認証機能では、IDとパスワードによるBASIC認証に加え、個人向け端末での生体認証のデファクトスタンダードであるFIDO（ファイド）を採用、さらにMDIS独自の電話発信認証サービス（TELEO）、マイナンバーカード等のICカードを利用したPKI（公開鍵暗号基盤）認証、個人の行動特性に注目したライフスタイル認証などを提供します。FIDOに準拠した代表的なデバイスにはスマートフォンがあり、内蔵の生体センサーを使い指紋認証や顔認証でログインすることができます。ライフスタイル認証は、MDISが東京大学などと共同開発した最先端の認証方式で、AI技術によって個人の特徴をモデル化し、振る舞いによりAIが自動で本人を特定します。

MistyAuthの認証基盤機能では、ID一元管理 / 共通認証化、認可、認証連携 / シングルサインオンの機能を提供します。ID一元管理 / 共通認証化では、複数の提供サービスやグループ会社でそれぞれ行っていた管理を一元化することで利用者の利便性を向上し、同時にシステム管理者の負荷を軽減します。

認可の機能では、その利用者がどのサービスを利用できるか、そのサービスの中でどの機能を利用できるかなどを属性に応じて管理し、認証の度に権限を確認してアクセス権を付加することで、不正アクセス等に対するセキュリティーを強化します。

認証連携 / シングルサインオンの機能では、標準連携方式として「OpenID Connect」と「SAML」の2つを用意しています。消費者向けサービスには主要なWebサーバーソフトウエアと親和性が高く導入しやすいOpenID Connectを適用し、企業システムにはビジネス向けクラウドサービスで採用の多いSAMLを適用するといった使い分けが可能です。

MistyAuthのメリットは、認証基盤機能をクラウドで提供することにより、早期導入、コスト抑制、運用負荷の軽減に貢献できることにあります。金融第二事業部 第二サービス事業推進室 システム課 エキスパートの田中学氏は次のように語ります。

「今までの認証基盤は大規模なシステム化が必要で、導入できるのは大企業に限られていました。クラウド化することでスモールスタートが可能になり、段階的に拡張することもできます。初期コストを抑えることができるため、中小企業や自治体でも導入しやすくなります」

情報が海外に置かれるなど、クラウドはセキュリティーを懸念する声もありますが、MistyAuthでは個人情報を国内に置き、かつ情報は暗号化して保存しています。

MistyAuthの導入方式は、多要素認証の機能だけを選択して利用する「多要素認証単体導入」と、多要素認証および認証基盤全体を一括利用する「認証機能、認証基盤一式導入」の2つを用意しています。

単体導入方式は、企業が保有する既存の認証システムを利用して、MistyAuthの多要素認証の中から追加導入する機能のみを利用するものです。セキュリティー強化を急ぐ場合、まず多要素認証によりセキュリティーレベルを高め、その後、要件を固めて認証基盤をMistyAuthにリプレースすることもできます。

認証機能、認証基盤一式導入方式では、多要素認証機能、認証基盤機能（ID連携、認可、シングルサインオン）、ID管理機能など、認証基盤に必要な機能をすべて利用可能です。すでに認証基盤を保有する場合でもIDの一元管理、シングルサインオンといった特定の機能のみを実装して、既存の認証基盤とハイブリッドで運用することもできます。また、MistyAuthは、MDISが自社開発しているため、導入企業の個別要件にも柔軟に対応することができることも特徴の一つです。