どんな環境からでも、ゼロ・サインオンを実現
一般的に、端末からアクセスする際には、IDとパスワードが使われていることが多いだろう。実は、パスワードは安全でないとリチャード氏は指摘する。ID、パスワードの認証は、既に60年くらい前からある古い技術。いくつかの問題を抱えているが、未だにそれらは解決されていないのだ。1つ目の問題は、パスワードがセキュリティリスクになりうること。セキュリティインシデントの80%は、推測されやすいパスワードか漏洩されたパスワードによって引き起こされている。
また、44%の人が職場でフィッシング攻撃に遭った経験があるという。これは、明らかにパスワードを盗もうとしているものだ。さらに、同じパスワードを複数のサービスで使い回す人も多い。IDとパスワードだけでアクセスを許可していると、こういった盗難や漏洩による不正ユーザーのアクセスを防ぐことはできないという。
もう1つの問題が、パスワード認証がユーザー体験を損なっていることだ。平均的に1人のユーザーは25から85のアカウントを管理している。また、定期的なパスワード変更を強いるサービスもあるが、人の記憶ではその管理に限界があるため、パスワードを忘れてしまい、ロックされてサービスが使えないという事態にも陥ってしまう。加えて、企業側から見ても、パスワードロック解除のために多くの労力とコストがかかっている。
そのため現在では、パスワード以外の認証方法が求められている。MobileIron UEMでは「ゼロ・サインオン」機能により、証明書を活用したパスワードを使わない認証が可能だ。この認証方法ではMobileIron UEMで管理している端末はもちろんのこと、管理していない端末においても、パスワードレスの認証が利用できるようになるという。
リチャード氏は、実際にMobileIron UEMに登録して端末を利用するデモを紹介。自身が普段利用しているiPadを用い、まずは企業領域にOutlookを追加する様子を解説した。管理サーバーから配信されたアプリケーションは自動的に企業領域にインストールされ、アカウントの設定も自身のIDと結びついているために、自動で設定済みの状態となる。「パスワードの入力なしですぐに仕事のメールが使えるようになります」とリチャード氏。
また、クラウドストレージのBoxやSalesforceの例でも、企業領域のアプリケーションからアクセスすればID、パスワードを入力することなく、証明書を使ったゼロ・サインオン認証ですぐに使えるようになる様子が示された。
「これらを使うのに私は一度もID、パスワードを入れていませんが、裏で証明書による認証が行われ安全に接続されているのです」とリチャード氏は言う。
一方、同じ端末の個人領域にあるアプリケーションからアクセスするとどうなるかも示された。個人領域にあるブラウザを立ち上げ、そこからOutlookにログインしようとすると、企業リソースにはアクセスできないとのアラートが出現してブロックされた。これは、SalesforceやBoxにブラウザからアクセスしようとしても同じである。ブラウザが個人領域にあるために、安全ではないと判断されているためだ。
他にも、管理されていない端末からパスワードレスで接続する方法も紹介された。MobileIron UEMによって管理されていない端末でSalesforceなどに接続しようとすると、QRコードが表示される。QRコードを管理されているiPadのMobileIronの管理用アプリケーションで読み込む。このときiPadでは、生体認証であるFace IDや指紋認証を用いて端末自体のユーザー認証をしているため、その端末が正式なユーザーのものだと判断され、結果的にアクセスを許可しているという。
