記者を前にして、ある男がインタビューで語った言葉だ。
その男の名は株式会社ソリトンシステムズの 宮崎 洋二。「Wi-Fi セキュリティの伝道師」として、昨 2018 年秋の弊誌インタビューにおいても、熱心に「無線LANにおける“あるべき”認証の姿」を訴えていた。
そのときの記事「MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解」は、公開から丸々一年が経過した現在もまだ、記事閲覧ランキング上位圏内にランクインし続けている。宮崎の思いが一定の支持を得ている証左であろう。
つづく今春 2019 年春の取材の席に宮崎は、Wi-Fi セキュリティ伝道のために実施した「無線 LAN 全国 400 社アンケート」の調査結果を携えて現れた。ありそうでなかった法人のWi-Fi利用の実態という、独自アンケートから見えた事実に細かく迫った二本目の記事「法人の無線 LAN セキュリティ対策、たったひとつの冴えたやりかた」が配信されると、そのブレない真摯な姿勢で「信頼できる男」の地位を固めた。
開催を間近に控えた Security Days Fall 2019 Tokyo で、三たび Wi-Fi セキュリティをテーマに講演する。タイトルは「無線 LAN で失敗したくない企業が押えておくべき『たったひとつ』のポイント」、前々回・前回から説明の切り口を変えつつも、そこで訴える“あるべき認証の姿”は揺るがない。
そんな「 Wi-Fi セキュリティ伝道師」だったはずの宮崎が取材冒頭で語った、「認証の第一線」とはいったいどういう意味だったのか。
いうまでもなく企業においてセキュリティの確保は重要である。そして認証はそのセキュリティの入り口にあたる技術だが「強固でありさえすれば良い」というものではない。
一般に認証の対象はユーザー(人間)であるため、セキュリティを重視するあまり利便性とのバランスを損なってしまうと、利用者にとって不満の多いシステムが出来上がってしまうのだ。
認証はその存在をユーザーに意識させないのが理想であるという。特にWi-Fiを含む企業ネットワークインフラは「安全に利用できてあたりまえ」とされ、その利用開始においてユーザーの手を煩わせる訳にはいかない。
安全性と利便性の両立。この相反する難題への挑戦が「認証の第一線」にある。
ソリトンシステムズは高度情報化社会が到来する初期の初期から、自社認証技術の開発に取り組み、時代に先駆けて提供し続けてきた。1997 年に IC カードを用いて PC へのログイン認証を行う「C-Gate」を、2000 年には Web でシングルサインオンを実現する「Soliton WebGate」の販売を開始しており、その流れを汲んだ後継製品は現在も同社から提供され続けている。
本記事にある Wi-Fi の認証においては、その必需品となるオールインワン認証アプライアンス「NetAttest」が 2002 年に登場している。
いずれも ID とパスワードによる認証に対する製品であり、同社の取り組みは 20 年を超える。
多数の ID とパスワードを管理することがユーザーにとって大きな負担になっているという認識は、複数の業務用アプリを利用するようになった頃からくすぶっていた。そして、標的型攻撃などによる脅威の高まりと、クラウドサービスの普及による業務システムの多様化により一気に表面化したように思われている。
しかし、インターネット黎明期の段階でソリトンは、ユーザーが自己の責任において何通りもの ID とパスワードを管理し、各種システムにログインすること自体がすでにして無謀であり、ユーザーが認証を意識しない技術こそが理想である、という信念を持っていたという。同社の認証伝説はこのときすでにはじまっていた。
それから約 20 年。企業システムは、進化と複雑化を遂げ、接続される端末の種類、接続方法、接続先、接続元となる場所は多様化の一途を辿っている。近年はオンプレミスで完結する企業システムは稀で、クラウド利用が進み、企業内の認証の課題は、もはや容易に整理すらできない状況だ。
システムを運用する情報システム部門を取り巻く社会的状況も様変わりした。IT が表計算やワープロなど、PC が業務効率アップのためだけに利用されていた時代と異なり、現在はソフトウェアやアプリケーション、Web サービスそのものが利益を生み出し、事業価値本体である時代だ。
そのため「セキュリティ担保のためなら、利便性はある程度犠牲にせざるを得ない」という、以前ならあたりまえのように受け入れられたこの “常識” すら、ユーザーも企業も、いまや許容できなくなっている。また、働き方改革の広がりによって、システム担当者一人の頑張りや残業でカバーすることもいまはできない状況である(改革の趣旨を鑑みてこれは “良い傾向” といえる)。
このような状況にあるにも関わらず、オンプレミスからクラウドまで広がるシステムに対して、オフィス・自宅・出先・出張先から接続される PC やスマホ、タブレットなどの多様な端末、そして多岐にわたる認証の技術や不随する数々の課題・・・一人の担当者あるいは一社の部門や部署が全てを理解することなど、到底不可能な話だ。
「多くの組織が激変する時代に困惑している」と語るのは、クライアント端末への認証とID管理の分野でマーケティングを担当する佐野 誠治だ。
「認証には唯一絶対はなく、組織の数だけ正解がある。多くの情報が入手できる現代だからこそシステム担当者の悩みは深まってしまうのかもしれない(佐野)」
この悩みの解決に「認証」は役立つかもしれない。前述のとおり「認証」はセキュリティの入り口であり、正しく理解できれば企業全体のITシステムの在り方を示す“道しるべ” ともなるはずなのだ。
Security Days Fall 2019 の佐野の講演「今だから考える Azure AD/IDaaS の使い方、クラウドID管理とパスワードレスを解説」では、検討の道筋をつけるために「おさえておくべき勘所」について語られる予定だという。
近年、国内外からさまざまな認証サービスベンダが参入している。だが、国産認証技術をネット黎明期から開発し、目端の利く情シス層から絶大な信頼を集めてきたソリトンシステムズにしか語れない「認証の物語」がきっとあるに違いない。「ソリトン認証伝説 第二章」を切り開く佐野の講演、一聴の価値がある。(文中敬称略)
ITセキュリティ事業部 プロダクト部 マネージャ 宮崎 洋二 氏(左)
ソリトンシステムズ社 Security Days Fall 2019 講演予定
・Security Days Fall 2019 TOKYO 宮崎氏 講演 10月11日(金) 午後14:15~14:55
・残席僅 Security Days Fall 2019 TOKYO 佐野氏 講演 10月9日(水) 午後14:15~14:55
