多要素認証を迅速に導入

株式会社 ecbeing
CSIRT室 部長代理　加藤 新氏

【導入前の課題】進化する脅威に対して、
サイトのセキュリティ強化が必須

政府や自治体、民間を問わず、サイバー攻撃が激化しています。従来のセキュリティでは、主にファイアウォールの内側を対象としていましたが、守るべき情報やシステムなどの資産が様々な場所に点在する昨今、それらにアクセスするものはすべて信用せずに、その都度、安全性を検証するという「ゼロトラスト・セキュリティ」モデルが提唱されています。その対象は、従業員、パートナー、お客様など、すべてのユーザーです。

株式会社ecbeingの加藤 新氏は、ECサイトも例外ではないとして、

「サイバー攻撃はより複雑化、組織化し、結果として、スキルの低い攻撃者でも成果を出せるようになり、攻撃は破壊という一面を見せるようにもなりました。」

また、近年の攻撃の特徴として、いきなり「本丸」を狙わずに、周辺を攻撃することが挙げられます。たとえば製造業であれば、サプライチェーンに連なる関連会社で、セキュリティが脆弱な中小企業が攻撃の侵入口となる例が報道されています。

【導入の背景】短期間で社内コンプライアンスに
対応する必要があった

セキュアなECプラットフォームを提供するためには、WAFなどによる外部からの直接的な攻撃へのフロントエンド側の対策のみならず、バックエンド側となる社内システムのセキュリティ強化が必要だったと、加藤氏は導入の背景を説明します。

「激化するサイバー攻撃に対処するためには、当社がセキュリティ基準としているコンプライアンスを見直し、それに対応するシステムの構築が喫緊の課題でした。その一つが多要素認証の導入でした。」

多要素認証の実現には、ツールの導入が必要でしたが、加藤氏はツールに必要な要件を次のように説明します。

「当社が使用しているオンプレのActive Directory（以下AD）に対応できること。そして、機能に見合ったコストであること。ADのクラウド型の多要素認証ツールが提供されていますが、高機能なために高価でした。そのような中で、唯一、ADのオンプレに対応している『UserLock』を導入することに決めました。機能が絞られているので、クラウド型のサービスと比較して、コストが5分の1であった点も決め手になりました。」

UserLockを使用した一般的な認証強化のイメージ

データセンターにアクセスするためには、複数の異なる仕組みによる多要素認証をパスしないとアクセスできません。仮にいずれかの仕組みに脆弱性があった場合でも、もう1つの仕組みで不正アクセスを許可しないという、正にゼロトラスト・セキュリティの考えに沿った構成が実現されています。

【導入の効果】ニーズとツールを理解したサポートで、
短期間の導入を実現

多要素認証が導入されたのは、同社のデータセンターへアクセスするためのセキュリティルームでした。「驚くほどあっさりと導入できた」と、導入の経緯を振り返る加藤氏は、現在、多要素認証の本格運用に向けた準備を進めていると話します。

導入がスムーズに進んだ背景として、加藤氏はオーシャンブリッジの対応を高く評価しています。

「当社の要望をよく把握していることに加えて、『UserLock』についても深く理解していて、質問に対してすぐに答えが返ってくる。他社開発のツールを導入する場合、技術的な質問をしても、回答に不満が残る場合が少なくありませんが、オーシャンブリッジの回答に不満はありませんでした。また、常に先回りして対応・提案してくれるので、短期間での導入が実現しました。」

【今後の展望】今後もセキュアなECサイトを提供していく

ecbeing 様は、多要素認証の本格運用を行った後、同社のECプラットフォームのユーザー企業にもセキュリティ強化を提案していきたいと話します。

「最近では各省庁も基準となるドキュメントの提供が増えてきましたし、EC業界の基準とは何か模索しながらecbeingというプラットフォームを通して新たな顧客体験を生み出していきたいと考えています。」

今後も自社のセキュリティ基準としているコンプライアンスへの準拠を進めていくと話す加藤氏は、『UserLock』の利用範囲拡大や多要素認証以外の柔軟なアクセス制御機能を用いて、予防という観点でセキュリティ強化することを模索されていると共に、オーシャンブリッジに対して

「今後も認証という特別に注意が必要な分野について、さまざまなノウハウの提供を期待しています。」

※取材日時：2023年8月（文中の組織・数値に関する表記は全て取材日時時点のものです）

株式会社ecbeing 様のWebサイト

体験版ダウンロードはこちら