1台のPCを複数人で運用する共有PCはセキュリティリスクが高いことが容易に想像できます。しかしどうしても共有PCを利用しなければならないケースは存在します。そこでICカードや顔認証を用いた多要素認証ソリューション「ARCACLAVIS NEXT」によるセキュリティ対策を解説します。

共有PCのセキュリティリスクとは？

共有PCを運用するうえで、IDとパスワードのみの認証では、なりすましや不正利用といった内部不正のリスクが高まります。

例えば、ID、パスワードを共用していると、顧客リスト（個人情報）や、機密情報を不正に持ち出しても、誰が不正を行ったか記録（ログ）に残らないので、犯人の特定が難しくなります。不正を行ってもバレないという状況を放置していると、内部不正のリスクが高まります。

機密情報などが外部に流出することは、団体や企業がそれまで日々築き上げてきた信用を失うことであり、内部不正は組織の根幹を揺るがすことにもなりかねません。

IPA(情報処理推進機構)では、毎年情報セキュリティ10大脅威を公表していますが、「内部不正による情報漏えい等の被害」が9年連続でランクインしています。

セキュリティ対策に多要素認証が求められる背景とは？

「不正のトライアングル」というものがあります。これは人が不正を行うのは、「不正を行う動機・プレッシャーがある」「不正を行う機会がある」「不正を正当化する理由がある」という3つの要素が揃ったときとされています。別の言い方をすれば、3つの要素のうち、1つでも抑制ができれば、不正発生のリスクを低減できます。

業務において共有PCを利用できる環境であることは、内部不正を誘発することに繋がります。不正行為を未然に防ぐためにも、誰が、いつ、どのPCを利用したか、記録(ログ)を取得しておくことが重要になります。この対策として、多要素認証により本人認証を強化し、そのログを残しておくことは、有効な対策であると言えます。

共有PCの使用において、多要素認証の仕組みを導入することは、ユーザに対し、「不正を行う機会」や「不正を正当化する理由」を抑制することにも繋がります。

この多要素認証が求められる背景として、官公庁が情報セキュリティのガイドラインを作成し、多要素認証の利用を必須または推奨していることも挙げられます。総務省では自治体向けに「自治体情報システム強靭性向上モデル」を定めています。文部科学省では、教育機関向けに「教育情報セキュリティポリシーに関するガイドライン」を定めています。厚生労働省では医療機関向けに「医療情報システムの安全管理に関するガイドライン」を定めています。また企業向けには「テレワークセキュリティガイドライン」があり、クレジットカード業界のセキュリティ基準として「PCI DSS」があります。いずれも多要素認証によるセキュリティの強化が指摘されています。

共有PCのセキュリティリスクに、本人認証の強化で対応する多要素認証ソリューション「ARCACLAVIS NEXT」

共有PCのセキュリティリスクや課題への対応として、多要素認証ソリューション「ARCACLAVIS NEXT」で実現できることを紹介します。

共有端末でも本人特定ができます。

PCのログインでは、ARCACLAVIS NEXTサーバーで発行されたIDを使用して、「パスワードとICカード」、「パスワードと顔認証」のように認証要素を組み合わせで認証を行います。認証するには、ユーザに紐づけられたICカードや顔情報が必要になります。管理者はARCACLAVIS NEXTの管理画面から、「いつ」、「誰が」認証したか、本人を容易に特定することができます。また、ログを取得していることを利用者に周知することで抑止力の向上が期待できます。

利用者属性の違いへの対応として、認証方式が選択できます。

正社員、派遣社員、社外の利用者など、異なる属性の利用者にも適切に本人認証の対応をする必要があります。

ARCACLAVIS NEXTでは、ICカードでも顔認証でも、異なる認証方式が併用可能です。

例えば、共有PCであっても、「ICカードを他システムでも利用されている社員」はそのまま「ICカード認証」で、「ICカードを持たない派遣社員」は「顔認証」と、ユーザごとに認証方式を使い分けすることができます。

また、「各個人で利用しているPC」は「顔認証」で認証する、「特殊用途の共有PC」は「ICカード認証」で認証するというように、PCごとに認証方式を使い分けすることもできます。

オフライン状態やシステムトラブル時でも認証キャッシュで利用できます。

例えば、持ち出しPCのように常時内部の認証サーバーには接続できないPCがあります。通常、PCと認証サーバー間で認証情報をやり取りし、本人認証を行いますが、持ち出しPCでは内部の認証サーバーと通信ができません。しかしこのようなPCであっても一度でも内部で認証をさせておけば、PC内に認証キャッシュを保存しておくことができます。

認証キャッシュが保存されたPCであれば、オフラインの状態でも認証することができます。共有PCであっても、ユーザごとに認証キャッシュを保存することができます。認証サーバーがシステムトラブルとなり、通信ができなくなった場合でも、認証キャッシュで認証ができます。

デバイスのトラブル時も期限付き緊急パスワードで認証できます。

ICカード認証では、ICカードやICカードリーダーが認証に必要です。また顔認証ではPCに内蔵されたWebカメラや、PCにカメラが内蔵されてない場合は、外付けのWebカメラが必要です。しかしICカードやICカードリーダー、外付けWebカメラのような認証デバイスを忘れたり、紛失したりすることがあるかもしれません。また内蔵Webカメラが故障してカメラが使えないこともあるかもしれません。このように認証できないときの最終手段として、「緊急パスワード」があります。

緊急パスワードは管理者が発行した期限付きのパスワードです。緊急パスワードはユーザごとに発行されますので、認証デバイスがなくても一時的に本人認証が可能です。

Windows Hello対応のカメラでなくても顔認証ができます。

Windows Helloでは顔認証をするのにIRカメラ(赤外線カメラ)が必要になります。ユーザの使用するPCのWindows OSがWindows Helloに対応していても、カメラがWindows Helloに対応しているとは限りません。また、共有PCでWindows Helloを利用する場合、すべての共有PCで利用する人全員が顔情報を登録しなければなりません。さらにWindows Helloでは１台のPCで登録できるユーザ数は10人までです。

「ARCACLAVIS NEXT」では、通常のノートPC内蔵のカメラ、外付けカメラで顔認証が可能で、PC単位で登録できるユーザ数の制限はありません。

Active Directory、Entra IDは必須ではありません。

多要素認証システムを導入する際、ユーザの管理方法として、Active Directoryがシステムの構成に必要な条件となることがあります。前述のWindows Helloでも、企業で集中管理するためにはEntra ID（旧Azure Active Directory）の環境が必要です。

ARCACLAVIS NEXTではActive Directory、Entra ID環境は必須ではありません。例えばユーザの登録や、ICカード認証で使用するICカード情報の登録はCSVファイルで一括登録することもできます。顔認証に必要な顔情報の管理もARCACLAVIS NEXTサーバーで一元管理できますので、認証に利用するPCが共有PCかは問いません。

まとめ

弊社では2024年2月に、共有PCのセキュリティリスクを懸念されているシステム担当者の方向けにウェビナーを開催しました。多くの方にご参加いただき、質問も20件ほど寄せられるなど、共有PCのセキュリティ対策についてお悩みの方も多いということが分かりました。

下記より、共有PCのセキュリティリスクと課題への対応策として「ARCACLAVIS NEXT」を紹介する資料もダウンロード可能です。資料では共有PCに多要素認証システムを導入したお客様の事例もご紹介しています。ぜひご参考ください。

※ウェビナープラットフォーム“マジセミ”のウェビナーの資料です。

マジセミ様のWebページからダウンロード可能です。