第3回「IDを統合管理・運用していくための実践例」
前回は「今後のクラウドコンピューティング普及に伴い「ゼロトラスト・セキュリティ」が主流となり、その際にはアクセス管理のポイントはID管理になる」とお伝えしました。
今回は境界分離主流の時代に私が実践したID管理の取り組みや、某自治体での顔認証導入の背景などをご紹介して、これからの自治体・教育委員会でID管理をどのように進めるべきか、そのヒントをお伝えできればと思います。
1.豊島区で実践したICカード認証
私が豊島区役所の認証システム構築に取り組んだのは平成19年(2007年)のことです。それまでもActiveDirectory(AD)を立ててユーザ認証は行っておりましたが、住民情報系のネットワークと内部事務系のネットワーク、さらには人事情報系、GIS系など多数のネットワークが完全分離されており、職員は業務ごとに別々のパソコンにそれぞれのID・パスワードを用いてログインして、さらにはグループウエアや財務会計システムなどにもID・パスワードを使ってログインしなければならない状態でした。
私は1台のパソコンで全ての業務が行えるようにしたかったので、L3スイッチを用いて全てのネットワークを統合し、ADも信頼関係(フォレスト)を持たせて再構築しました。その際にアクセス権のない職員が業務サーバにアクセスしないように、仮想化の仕組みを用いて、新たに作った認証局が発行する証明書を使って、アクセス権のある職員だけがアクセスできる仕組みを構築したのです。
パソコンの証明書はパソコンのICチップに格納し、ユーザ認証用の証明書を保持するためにICカードを導入しました。これによりユーザ認証はパソコンにICカードをかざして、PINコードを入力することでログインする仕組みとなりました。二要素認証を導入したのです。
さらにはリバースプロキシの仕組みを用いて業務システムにSSO(シングルサインオン)できるようにしたかったのですが、第1回コラムに掲載したように認証連携する仕組みを持っていないアプリケーションが多く、実現が困難だったことから、平成25年(2013年)にICカードを用いた認証連携を実現できる「ARCACLAVIS(アルカクラヴィス)」の導入に至りました。
この年には学校の教職員用の「校務系ネットワーク」が予算化され、全ての公立学校と教育委員会とを接続するネットワークを構築しましたが、ここでもAD連携と認証局を活用して、教育委員会の職員が1台のパソコンでどちらのネットワークにも参加できる仕組みが実現できました。
平成27年に総務省から情報セキュリティ強靭化の方向性が打ち出されても、豊島区の認証局と仮想化技術、そして「ARCACLAVIS(アルカクラヴィス)」によって、1台のパソコンで3つのネットワークを使い分けることが可能となったのです。
2.某自治体での顔認証
私は個人的に認証については、顔認証に注目しています。今後パソコンの活用が自席以外に広がっていく際に、いち早く・特別な装置なしで認証が可能となるからです。さらにはログイン時の一時的な認証だけでなく、随時チェックできる点も認証のツールとして優れていると考えます。
私と長年お付き合いのある某自治体では、平成27年に仮想化を用いたネットワーク統合を実施した際に「ARCACLAVIS」による顔認証を導入しました。職員が3,000人を超えることからICカードによる運用は管理負荷が大きいとのことで、特別な機器を必要としない顔認証の導入に至ったようです。
職員証用の顔写真を登録したこともあり、認証されない職員が多数発生するなど運用開始までには苦労もあったようですが、運用が始まると、顔データを次々と自動更新することから、運用負荷は格段に減ったようです。何よりも60秒程度ごとに監視が行われるので、離席するとロックされたり、横を向いて喋っていてもロックされたりと常時監視が行われています。再認証は顔を向けるだけですので、職員の不満もほとんど無いとのことでした。
認証時に顔データが取得されていますので、他のログと照合すれば、どの職員(顔)がどの作業を行ったのか、確実に証明できます。その自治体でも共通IDを使う業務はあるようですが、共通IDでアクセスしていても顔データと照合することで、ユーザとの紐づけは万全です。(*1)
一度認証されれば、その後はユーザが代わっても分からない仕組みでは、情報セキュリティとしては不十分です。かといって頻繁に認証を求めると非効率と嫌われます。現在ではマスクを着けていても顔の判別が出来るそうですので、こういった点からも顔認証によるID管理は検討に値するのではないでしょうか。
(*1)共有ID環境でのユーザ紐づけについて、詳しくは「 エンドポイントゼロトラストに必要なID管理とアクセス管理(1) 」をご覧ください。
(*2)顔データのログ保存は「保存する」または「保存しない」を設定可能です。
(*3)他人がPCのロック解除を試み認証に失敗した場合など、認証失敗時の顔データも保存されますので、不正利用時の追跡が容易に可能で、顔データがログ保存されることを周知することで内部不正の抑止力向上につながります。
3.ID管理のポイントー何から手を付けて、どう運用するか
これら2つの事例から、ID管理によるアクセス管理のポイントがつかめると思います。
最も重要なことはADのユーザ情報は「一人に1つのID」とすることです。つまりパソコンへのログインは個人ごとに違うIDを使うということです。それが人事情報と連携されれば、人事異動があった際にもIDの属性(所属・職位など)を変える手間が削減されます。
そしてポイントはAD上のIDと各システム・各アプリケーションとのIDのつながりを把握することです。利用するアプリケーションにADと同じIDが使えるのであれば、IDの関連性は高まるのでしょうが、未だにツールの利用料金がユーザ数毎になっているものが多い現状では複数人で同じIDを使うことも認めざるを得ません。またパブリッククラウドのアプリケーションでは、自分が使おうと思ったIDが既に別人が使っているケースも多々あるでしょう。
そのような状況であってもAD上のIDとそれぞれへのIDとの関連付けが出来ていればシングルサインオン(SSO)ツールを使って、ID・パスワードの入力を省くことが可能となります。そこではこれまで述べてきた事例のように、認証が省かれるわけではなく、各システム・各アプリケーションにログインする際にはSSOツールの有する認証方法(ICカードや顔認証など)によって、ID・パスワードを入力するよりも確実な認証が行えるのです。
高橋 邦夫 氏 プロフィール
1989 年〜2018年 豊島区役所 勤務 情報管理課長を始め情報管理課18年、税務課、国民年金課、保育課
2014 年~2015 年 豊島区役所CISO(情報セキュリティ統括責任者)
2015 年 総務省情報化促進貢献個人等表彰において総務大臣賞受賞
2015 年~ 総務省地域情報化アドバイザー、ICT地域マネージャー
2015 年~ 地方公共団体情報システム機構 地方支援アドバイザー
2015 年~ 文部科学省ICT活用教育アドバイザー(企画評価委員)
2016 年~ 独立行政法人情報処理推進機構「地方創生と IT 研究会」委員
2018 年~ 合同会社KUコンサルティング設立、電子自治体エバンジェリスト
2022年 令和4年度「情報通信月間」総務大臣表彰
関連記事
エンドポイントゼロトラストに必要なID管理とアクセス管理
多要素認証、シングルサインオンソリューション「ARCACLAVIS」について
今回紹介した、ARCACLAVISの多要素認証、シングルサインオン、ログ収集機能について、詳しくは以下のページでご覧いただけます。
両備システムズの「ARCACLAVIS」は、純国産・自社開発の認証ソリューションです。
1998年より、国産自社開発・販売・保守を継続し、官公庁、自治体、金融など様々なお客様への導入実績があります。 多要素認証(MFA)以外にも、さまざまな認証方法を提供しています。