SSO「CloudGateUNO」導入でクラウドサービスのログイン管理の一元化&セキュリティ強化を実現した事例を紹介
クラウドサービスを利用するなか、会社の管理外の端末やウィルス対策ソフトが入っていない端末からログインされることにリスクを感じている企業さまは多いでしょう。
SSOツールを導入すれば、ツール側からログインユーザーや端末を制御でき、厳格にログイン管理ができるようになります。
今回は、SSOツール「CloudGateUNO」を導入して、ログイン管理の一元化とセキュリティ強化を実現した事例を紹介します。
「クラウドサービスのログイン管理を一元化したい」「クラウドサービス利用時のセキュリティを強化したい」とお考えの企業さまは、是非ご覧ください。
目次
クラウドサービスは便利な一方で自由にログインできるリスクがある……SSOツールを導入してセキュリティを強化したい!
リモートワークが普及した現在、クラウドサービスはいつでもどこからでもアクセスできる利便性の高さが魅力で、使わない企業はいないほど利用が当たり前になっています。
しかし、IDとパスワードさえわかれば、ウイルス対策ソフトが導入されていない個人端末からでも簡単にアクセスできてしまうという潜在的なリスクを抱えています。
各クラウドサービスが推奨する2段階認証も、スタッフ個人の端末に設定するのであれば、紛失や盗難時の情報漏洩リスクを完全に排除することは難しいでしょう。
また、退職や契約終了によって業務を離れたスタッフがログインできてしまうおそれもあります。
定期的なログイン情報の更新はもちろん必要ですが、それだけでは対策が万全ではありません。
コムデックでも、これらのリスクを感じていたことから、共有アカウントに自由にログインできないよう管理したいと考え、SSO(シングルサインオン)ツールを導入することにしました。
機能性・信頼性が高いSSOツール「CloudGateUNO」を選定
SSOツールとは、たった一度のログインで、Google WorkspaceやSlack、Salesforceといった複数のクラウドサービスに自動でログインできるSSO(シングルサインオン)機能を提供するツールです。
単にログインの手間を省くだけでなく、セキュリティを強化するための機能が幅広く搭載されているのが一般的です。
SSOツールに既存のクラウドサービスを登録することで、管理者は不審なログインをブロックしたり、特定のIPアドレスやデバイスからのアクセスを制限したりと、きめ細やかなログイン管理を効率的に行えます。
これにより、管理者の目の届く範囲でクラウドサービスを利用できる環境が整い、セキュリティを大幅に強化させることが可能です。
コムデックでは、SSOツールの導入がはじめてだったため、明確な導入フローがない状態からのスタートでした。
そこでまずは、社内で利用しているクラウドサービス(kintoneやLINE WORKSなど)を棚卸しし、SSOの対応状況やAPI連携の可否、セキュリティ要件などを洗い出しました。
次に、整理したセキュリティ要件を踏まえて、SSOツールの選定方針を決定しました。
選定方針をもとに複数のSSOツールを比較検討した結果、国産ツールで導入実績が豊富で、すでに自社で導入済みのサービスと高い連携性があるCloudGateUNO(クラウドゲートウノ)を採用しました。
CloudGateUNOは、株式会社インターナショナルシステムリサーチが提供するSSOツールです。
IDとパスワードだけではなく、スマホ認証や生体認証などを組み合わせた「多要素認証」や、パスワードが不要な「パスワードレス認証」といった、高度なセキュリティ機能を標準で備えています。
「すべてのアクセスに対して疑ってかかる」というゼロトラストの考え方にもとづいており、利用する人や使うデバイス、アクセス元などに応じて、細かくアクセスを制限・管理することが可能です。
これにより、不正アクセスを防ぎ、より安全にクラウドサービスを利用できます。
段階的な導入でCloudGateUNOによるログイン管理に成功
ここからは、CloudGateUNOを導入するときの全体設計から、安定稼働後の継続管理について紹介します。
全体設計を整理して先行テストを実施
SSOツールを導入するにあたって、まずは全体設計を描きました。
「誰が」「どのクラウドサービスに」「いつ」アクセスできる状態にするのか、ユーザー管理の方針を策定するところから策定します。
今回はセキュリティを最大限に高めるため、アカウント情報(生体認証/パスワード)と事前に承認された利用端末(デバイス証明書)の両方がそろわないとログインできないルールにしました。
これなら、ログイン情報を知っていても、ウイルス対策ソフトが導入されていない未承認の端末からの不正ログインを、仕組みで確実に防ぐことが可能です。
また、利用中の主要クラウドサービスとのSAML(サムル)連携設定を事前環境で構築・検証しました。
SAML連携設定とは、SSOで各種クラウドサービスに一括ログインできるようにするための接続設定です。
認証フローに不具合がないかどうかを調査するため、まずは管理者グループに限定して先行テストを実施しました。
このように、小さなグループで試運転することで改善点が見つかり、スムーズに全体へ移行できます。
段階的な切り替えを実施
全社一斉に切り替えると、ログインできないといった混乱が生じるおそれがあるため、SSO導入の影響が比較的小さいサービスから段階的に移行を進めました。
その後、移行日時や移行時に必要な設定、移行後の具体的なログイン方法を社内に丁寧に周知しました。
移行当日は、対象サービスから強制的に切り替えを実行しています。
今回導入したCloudGateUNOでは、ユーザーのログイン画面が以下のようになります。
コムデックではログイン後に、生体認証または2段階認証アプリへの通知を必須にすることで、さらなるセキュリティの強化を図っています。
全体の管理画面は以下のとおりです。
この画面では、ユーザーIDだけではなくスタッフ名も表示されるので、スタッフ一人ひとりの最終サインオン状況をひと目で把握できます。
また、サービスがアイコンで表示されるため、スタッフごとにどのサービスにログインできるかも可視化されます。
以下のように、各スタッフのページにも記録が残ります。
利用可能サービスや最近のサインオン状況がひと目でわかる見やすいダッシュボードです。
スタッフがログインすると、以下のように認証ログが残る仕組みになっています。
これにより「誰が」「いつ」「どのIPアドレスから」ログインしたかを明確に把握し、セキュリティ監査やトラブル発生時の原因特定に役立てることが可能です。
安定稼働後も継続的に監視
移行直後は、一部ユーザーで発生したアカウントロックやアクセス権の設定ミスといった初期トラブルに対応しました。
切り替え後の運用状況とサービス利用状況を踏まえて、連携サービスを増やしています。
安定稼働後は、定期的にユーザーの棚卸しを実施し、不要なアカウントがあれば削除して継続的に監視しています。
不要なアカウントを削除することで、過去のログイン情報が悪用されるリスクをなくし、不正ログインを未然に防ぐことが可能です
CloudGateUNOを導入したメリット
CloudGateUNOを導入したことで、セキュリティを大幅に強化することに成功しました。
たとえ退職者や契約終了ユーザーがログイン情報を知っていたとしても、利用端末とユーザーを制御できるようになったため、新たな環境では不正アクセスできません。
未承認の端末からのログインは、システムによって自動的にブロックされるため、情報漏洩リスクを抑えられるようになりました。
さらに、クラウドサービスへのログイン履歴を統合的に管理できるようになったことで、不正ログインが発生したらいち早く気づけるようになりました。
これにより、万が一不正ログインが発生した場合でも、管理者が速やかに異常を察知し、迅速に対応できます。
また、社内で利用する複数のクラウドサービスへのログイン情報が1つのIDとパスワードに集約され、複数のログイン情報を覚えたり管理したりしなくてよくなりました。
日々の業務におけるログイン作業がスムーズになり、生産性の向上にも貢献しています。
SSOツールを導入してクラウドサービスのログイン管理を強化しよう
コムデックでは、SSOツールのCloudGateUNOを導入したことで、複数のクラウドサービスを活用する環境におけるセキュリティを大幅に向上できました。
これにより、ログイン情報を知っていればだれでも・どこからでもログインできるリスクを排除でき、従来よりも安心してクラウドサービスを利用できています。
コムデックでは、ITに関するお困りごとの解決や最適な環境への更新をサポートする「IT環境サポートサービス」を提供しています。
「クラウドサービス利用時のセキュリティが不安」「よりセキュリティを強化して安全にクラウドサービスを使いたい」という方は、是非お気軽にご相談ください。
