公開日：2023-04-21

“ゼロトラスト”時代に向けて、多要素認証サービスを高度化する。

読了まで：5分

コロナ禍でテレワークの導入が増えた一方で、ぜい弱性をねらった攻撃も増えている。そんな中、「イニシャル・ポイント」が、なりすましや不正アクセスを防ぐ“多要素認証”サービスの導入と、活用の選択肢を広げているという。

※下記はジチタイワークスVol.25（2023年4月発行）から抜粋し、記事は取材時のものです。
[提供]イニシャル・ポイント株式会社

認証完了まで接続させない“検疫型”のセキュリティ。

都道府県および政令市のテレワーク導入率は、令和3年末までに100％に達し※1、そのほかの自治体においても、導入に踏み切る動きが徐々に高まっている。ただ、実施にあたっては、端末の盗難・紛失、公衆Wi-Fiなどを経由した通信傍受、ハッキングやなりすましなど、機密情報の漏えいにつながる様々なセキュリティリスクが懸念される。

それらを回避するため、同社が令和2年4月から提供を開始したのが、閉域SIMによる通信で多要素認証を自動的に行う「JinCreek（以下、ジンクリーク）」だ。これは、顔認証や指紋認証に加え、デバイス認証、ネットワーク認証など、複数の要素を任意で組み合わせられるサービス。そのうち1つでも認証されなければ、庁内LANに一切近づけさせない“検疫型”の接続制御機能をもっている。

「複数要素が全て認証されないとネットワークに接続できないため、不正アクセスは極めて困難です。また、職員さんにとっては、アクセスするたびにIDやパスワードを入力する手間がかからないといったメリットもあります」と、セキュリティ性の高さに自信を見せる嶋村さん。

ネットワークのVDI（仮想デスクトップ）化などと比較して、コスト面・準備期間の面で導入しやすいことも、同サービスの導入件数が伸びている要因だそうだ。令和5年1月末時点では、自治体・官公庁ほか、鉄道会社などの民間も含めて計1万ユーザー以上が活用するに至っているという。

※1 総務省「令和3年地方公共団体におけるテレワークの取組状況調査結果の概要」より

リモート環境の活用により一部業務のDXも実現する。

このところ、テレワーク以外の新しいリモート活用法で、一部業務のDXを進める自治体も出てきたという。「例えばある自治体は、令和4年の参院選時に各地区の投票所に端末を持ち込み、各会場の情報を庁内管理システムと同期できるように工夫しました。また、来庁できない人のため、公民館に各種税手続きなどの臨時出張所を開設し、開設期間中だけ庁内とオンラインでつなげるようにした自治体もあります」。閉域網通信＋多要素認証という“二段構え”のセキュリティ対策だからこそ、重要な情報も遠隔でやりとりできるという。

同サービスは当初、SIM通信型パソコンによる利用が前提だったが、令和3年度末にはLTE対応の、USBドングル※2とモバイルルーターをリリース。「導入コストを抑えたいという要望に応えるため、通常は庁内で使用する端末でも利用できるようにしました」。SIM通信型パソコンがなくても、安全なテレワークを始めやすくなったという。

※2 特定ソフトウェアなどを使用するため、パソコンに接続する小型機器

ワンタイムパスワードでVPN接続をさらに安全に。

テレワークのため、VPN（仮想専用通信網）の導入を検討する自治体も少なくないだろう。ただ、「情報処理推進機構（IPA）」が「情報セキュリティ10大脅威2023」で警鐘を鳴らしているように、公衆回線より安全性が高いとされるVPNも、専用ルーターのぜい弱性や設定ミスが悪用されることも。その結果、庁内・企業内のシステムに不正アクセスされたり、サーバー内の重要情報が窃取されたりする事例が発生しているという。

そこで、2系統VPNとジンクリークを組み合わせた「JinCreek for VPN＋」の提供も開始。これは、端末側からのVPN接続時にジンクリークによる多要素認証を行い、さらに、ジンクリークサーバーと庁内VPN装置との間でワンタイムパスワード（OTP）をやりとりした後に、接続を確立するシステム。OTPにより毎回パスワードが異なるので、万が一、VPN機器のぜい弱さを突かれパスワードを盗まれても、不正アクセスは困難だという。「自治体ネットワークも、やがて“ゼロトラスト”※3環境を目指していくはず。その中で、これまで培ってきた多要素認証技術を活かしたサービスを提供し続けたいと考えています」。

※3 “何も信頼しない”を前提に対策を講じるセキュリティの考え方

イニシャル・ポイント
代表取締役
嶋村俊彦（しまむらとしひこ）さん