新政権と新型コロナウィルス感染症を受け、公共部門では次世代セキュリティ需要が急増

バイデン新政権のもと発出されたサイバーセキュリティ強化のための大統領令は、米国全体のセキュリティ対策を加速させています。特に厳しい認証管理が求められ、新システム導入に時間を要する公的機関に対し、YubiKeyが提供できるメリットとは。本コラムでご確認ください。


2021年は、従来の流れを変える2つの出来事により、多くの公共機関の責任者にとって、リモートでの従業員の採用や、強固な認証に注目する年となりました。 2020年3月以来、一般の人々と同様に、ほとんどの公務員が、在宅勤務環境の安全性を考慮して設計されていないシステムを使って、リモート勤務することを強いられています。 IT責任者らは、セキュリティで「大き過ぎるコスト」をかけずに、従業員が自宅でも生産性が維持できる方法を必死で模索しています。

2021年1月には、この問題がさらに難しくなりました。 新しいバイデン政権で採用された多数の新入スタッフの受け入れプロセスが必要となりましたが、通常の連邦政府の受け入れプロセスは、身元証明や、個人識別検証(PIV)カードや共通アクセスカード(CAC)のために物理的に拠点を訪問する、という新型コロナウィルス感染症の観点においてかなり危険なプロセスがあります。 次のことが、今年の課題として焦点になりました。 どうやって大勢の受け入れプロセスを、同時かつ安全に行うのか?どうやったら新規採用者がリモートワークの環境で、連邦の受け入れプロセスについて簡単に理解できるか?  

幸いなことに、解決策はもうすぐ実現します。 このプロセスを簡易化しようと、認証のプロトコルや基準が順応してきています。 残念なことに、変化やセキュリティのイノベーションにおいては、政府機関はその光速スピードで知られているわけではない、ということです。 政府の受け入れプロセスをより簡単・安全にすることを目的とした、さまざまな製品が今年発売されることが想定されますが、その導入には時間がかかるでしょう。

これはPIVやCACの終焉を意味するのでしょうか? まだそうではありません。

政府で勤務する人のほぼ全員がPIVカードもしくはCACをもっています。 PIVは非軍事機関で使用されており、CACは国防省の標準です。 これらの物理的なスマートカードは、システムにログインする人物とその身元が一致していることを検証するにおいて、一般的で安全な方法です。 しかしこのシステムは、妥当性確認の場所とワークステーション双方で、カードを読む物理的なカードリーダーとつながっています。 パンデミックによって、PIVやCACがどの場所で最も有用性を発揮するか、機関の責任者の考え方が完全に変化しました。 物理的な業務拠点ではうまく機能するものの、PIVやCACの資格をもたないユーザー、モバイルデバイス、そして非GFE(政府管理機器)ユーザーに対して、今後10年間で多数のスタッフのリモートによる受け入れプロセスを実施するために、信頼性の高い、次世代の認証が求められています。

YubicoのセールスディレクターFadi Jarrarは、「パンデミックで政府内の緊急度が高まっている」と語ります。 「一部の機関では、新型コロナウィルス感染症の要件を支えるために、一刻も早く500名を受け入れる必要があります。 しかしPIVカードは発行に2、3か月間要することが多いため、手続きの完了を待つことはできません。」

PIVやCACの代替手法はすべて、連邦識別情報処理規格(FIPS)に準拠しなければなりません。 例えばYubiKeyは、FIPS 140-2 の適合が認証されており、さらにパスワードレス認証がサポートされているYubiKey 5シリーズは、2021年にFIPS 140-2認証の取得が見込まれています。 これに加えてYubiKeyは、OMB Memo M-19-17に必須である「セカンダリー認証」に対応するためのDHS CDMプログラムにも追加されました。 このような信頼性の高いソリューションを備え、さらにDoDにすでに承認を受けたYubiKeyを、増加するPIVやCACカードに代わる認証機能として導入する計画を、機関責任者が検討できる状況になりました。

公共部門における次世代認証機能の導入ペースは、方策が策定されるまでしばらくかかることが予想される中、YubiKeyはこの移行期間の橋渡しをします。 これは信頼性が高く、堅牢な多要素認証による認証で、リモートワーカー、モバイルデバイスや非GFEユーザー、そしてPIV/CACが使用できないスタッフに対し、PIVやCACと平行して機能します。 さらに、PIVやCACとは異なり、YubiKeyには周辺機器が不要です。

政府独自の認証プロトコルを使用して複数のシステムにログオンする必要がある場合に政府職員が直面する困難に関しては、残念な逸話があります。

複数の政府部門にまたがって業務を行う公務員が、さまざまな認証システムに対応するために、複数の携帯電話を扱うのは、珍しいことではない、とYubicoの公共部門を担当する部門のバイスプレジデントJeff Phillipsは語ります。 「一日の業務をこなすためだけに、5台の携帯電話を持ち歩いている公務員を知っています」とPhillipsは述べています。 

SolarWindsの余波には未だに未対応

SolarWindsのセキュリティ大惨事によって、これを利用するすべての連邦機関の弱点が明るみになりました。 発生したのはごく最近だったため、大部分の機関は未だにトリアージモードにあり、直ちに応急修正が必要な部分に関する詳細情報の収集に取り組んでいます。 SolarWindsはオンプレミスの侵害でしたが、今年と来年のレビューによって、数多くのクラウドのセキュリティアップグレードの 必要性も表面化するでしょう。 政府機関がサプライチェーンの安全を確保しようと取り組んでいる間に、より多くのプロセスをクラウドに移行する可能性があり、これによって堅牢な認証ソリューションの重要性がさらに高まります。

2021年は、新型コロナウィルス感染症・リモートワーク急増とSolarWinds、という二つの予想外の出来事が同時に発生し、ワシントンDCの政変と政府機関の選挙後の移管、という予期された出来事に象徴される年となりました。 これらの3つのトレンドによって、クラウドの安全を確保し、リモートワーカーのために従来のPIVやCAC以外の、シンプルで使いやすく堅牢な認証機能を提供することに多くの省庁責任者らが焚きつけられ、または少なくとも、すでに焚きつけるための燃料の充填が終わっています。

YubiKeyといったリモートでの受け入れソリューションへの投資は、新入スタッフの受け入れプロセスの効率化を求める政府機関や企業におすすめのアプローチであり、コンプライアンス維持にも追加のメリットがあります。


多要素認証セキュリティキー「YubiKey」について興味がある方は以下のページをご覧ください。

https://securitykey.scsk.jp/yubico/

また、ご質問等ございましたら、以下よりお問い合わせください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

 プラットフォームソリューション事業部門
 ITプロダクト&サービス事業本部
 セキュリティプロダクト部

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人