教育機関にITデバイスを導入する際、生徒や教員、職員など時には数百以上のアカウントやデバイスなどを管理することから、高いセキュリティの確保とユーザーの快適な端末利用環境を両立させる必要があります。
その代表的な手法の1つが「多要素認証(MFA)」と「シングルサインオン(SSO)」の活用です。それぞれの概要とメリットについて解説します。
多要素認証とは
多要素認証(MFA)は、ユーザーのみが知っている情報(要素)を暗号として組み合わせ、第三者がパソコンやタブレットを使ったり、アカウントに不正ログインしたりできないようにする仕組みです。
認証方式には、ID・パスワードや事前に秘密の質問などに答える「知識情報」、ワンタイムパスワードやICカードなどの端末を使って解除する「所持情報」、指紋や顔認証といったユーザーの身体的な特徴をキーとする「生体情報」の3種類があります。
これらのうち「知識情報×所持情報」、「所持情報×生体情報」のように異なる種類の情報を2種類以上組み合わせ、セキュリティ性を高めることが可能です。
多要素認証のデメリット
デバイスのセキュリティ確保のためにとても重要な多要素認証ですが、3種類の情報にはそれぞれデメリットも存在します。
例えば、「知識情報」であるID・パスワードはそのものを複雑にしなければ突破される可能性が高いこと。「所持情報」のトークンなどは物理的なデバイスの保管、管理などが必要なこと。さらに指紋や虹彩認証といった「生体情報」は、一度盗まれてしまうと使い回されて被害が大きくなるリスクなどが挙げられます。
さらにいずれの情報の組み合わせでも、共通して課題に上がるのが「ユーザーの手間が増える」ということです。特に教育現場では小まめにアプリを切り替えたり、開閉を繰り返したりすることは珍しくありません。その度に多要素認証を行うことは、生徒の集中力が切れてしまい、効率的な授業の妨げになることにもつながります。
セキュリティを高めると、反比例して利便性が低下することが一般的ではあるものの、なるべく両者の良いバランスを保つことも教育機関のIT担当者の役割の1つとなっています。
シングルサインオン(SSO)とは
シングルサインオン(SSO)は、前述したストレスを軽減しながらも一定のセキュリティ性を確保する仕組みです。シングルサインオンを導入することで、一度の認証で複数のサーバーやアプリケーション、サービスにログインすることが可能になります。
シングルサインオンのメリットは、パスワードを入力する機会を減らし、ユーザービリティを向上できることです。さらに1つのパスワードを管理すればいいので、規則性のない複雑なパスワードを設定しやすい環境を構築しやすく、結果的に高いセキュリティを確保できることもできます。
シングルサインオンを実現するための手法、製品は複数あるのでその代表的なものを以下で紹介します。
エージェント方式(エージェント型)
ホームページなどを訪問したユーザー情報を一時保存するブラウザの仕組み「cookie (クッキー)」を利用したシングルサインオンです。エージェント型のソフトウェアを導入することで利用可能になります。
初回ログイン時は多要素認証が求められますが、ユーザーの代理人(エージェント)となるアプリがシングルサインオンサーバーを経由して、その情報がサーバーに保存され、その後cookieを発行します。2回目以降はそのcookieの所有者のみを確認するため、認証が不要になります。
リバースプロキシ型
エージェント型の発展版であり、シングルサインオンの対象サーバーにアクセスする際、外部のインターネットからサーバーへのアクセスを中継する「リバースプロキシサーバー」を利用する方法です。
ID・パスワードを入力するとシングルサインの管理サーバーからcookieを発行。シングルサインオンの対象サーバーとリバースプロキシは連携しているため、2回目以降はパスワードを入力しなくてもログインできます。
代理認証方式
サーバーではなく、生徒が利用する端末などのクライアントPC側にエージェントをインストールする方法を代理認証方式といいます。
エージェント型やリバースプロキシ型と比べると、導入のためのサーバーの改修などが必要なく、システム制限も少ないというメリットがあります。
Kerberos認証
リバースプロキシ型やエージェント型のようにcookieではなく有効期限付きのユーザー独自の「チケット」を発行して、サーバーと外部のインターネット間の暗号化するネットワーク認証です。
チケットはユーザー認証情報が認められれば発行され、以降はそのチケットを使うことで認証することなくアプリケーションなどにログインすることが可能です。
ID・パスワード管理の手間はシングルサインオン(SSO)で解消できる
多要素認証とID・パスワード管理におけるシングルサインオンの有用性について解説しました。シングルサインオンにも、パスワードが漏洩した際のリスクが大きくなるといったデメリットなども存在するので完璧なセキュリティ対策ではありませんが、適切に運用することでユーザーを複雑なパスワード管理から開放することも可能です。
三谷商事にご相談ください
今回のコラムの内容にご興味がありましたら、教育現場での実績が豊富な三谷商事にご相談ください。