Google、“コンテキスト・アウェア”なユーザー認証ツールを発表

アプリケーションやオンラインサービス上の情報を保護するにあたり、もはやユーザーネームとパスワードによる認証だけでは不十分だということには、すでに多くの人が気づいているだろう。にもかかわらず、未だほとんどのケースにおいて、このふたつはセキュリティ上の重要なツールとして機能している。問題は、EquifaxAnthemTargetをはじめとするデータ漏えい事件を背景に、ネット上のブラックマーケットで人々のログイン情報が広くやりとりされているという点だ。

Googleはまさにこの問題に取り組むため、本日の(現地時間7/25)Google Nextで、コンテキスト・アウェアなユーザー認証ツールを発表した。このプログラムは、ログイン情報以外の要素を勘案し、ログインしようとしているユーザーが本当にそのアカウントの持ち主なのかを判断できるのだという。

コンテキスト・アウェア・アクセスによって、ウェブサービスの管理者はユーザーをより正確に認証するための追加情報を設定できるようになる。「コンテキスト・アウェア・アクセスを使えば、ユーザーのアイデンティティや位置、リクエストの文脈(コンテキスト)などから、GCP APIやリソース、G Suite、さらにはサードパーティー製SaaSアプリへのアクセスをより細かく管理できるようになる」とGoogleは説明する。

サービスにアクセスしようとしているユーザーについて詳しく知るには、そのユーザーがどこからログインしようとしているかや、ログインに使われているマシンのIPアドレス、時間などの文脈情報を把握することが重要だ。そうすれば、これまでのユーザー行動と照らし合わせ、本当にそのユーザーがアカウントの持ち主なのかを推測しやすくなる。

これは、従来のセキュリティの責任に関する考え方の対極にあると言えるだろう。Googleはこれまでのようにユーザーにだけアイデンティティ証明の責任を負わせるのではなく、必要に応じて運営者側にもある程度の責任(とコントロール)を与えようとしているのだ。

Googleがこのセキュリティツールを開発した背景には、今やユーザーは物理的な場所に縛られなくなっているという現実がある。彼らはモバイルデバイスを頻繁に使い、ウェブ上のアプリやクラウドサービスを利用しているため(さらに上記のようなデータ漏えい事件も相まって)、ユーザー認証のハードルは上がっている。

このプログラムは2011年からGoogleが取り組んでいる「BeyondCorpビジョン」と呼ばれる施策の一環で、彼らの狙いは、オフィスのように明確な境界線がある空間にいないユーザーを支援すること。モバイルやクラウドが一般に普及する前は、決まった場所からシステムにアクセスするのが一般的だった。そのため、もし誰かが外部からアクセスしようとしても、すぐに侵入者を特定し追い出すことができたのだ。

しかしモバイルとクラウドの登場で環境が大きく変わったため、Googleは「ゼロ・トラスト」という概念を打ち出した。これは、サービス上にいるユーザーを1人も信頼しないという前提で、運営者はセキュリティ対策をとらなければならないという考え方だ。ユーザーのアイデンティティはその中心にあると言えるが、たとえゼロトラストモデルのもとでも、運営者はユーザーが自由にサービスにログインし、ビジネスを行える仕組みを整えなければならない。そこで、Googleが今回発表したツールを使えば、ゼロトラストモデルを採用した運営者も、ユーザーネームとパスワード以外にユーザーを認証するための情報を手に入れられるということだ。

コンテキスト・アウェア・アクセスは、現地時間7/25よりVPC Service Controlsのユーザーに対して公開される。Googleによれば、近日中にCloud Identity & Access Management(IAM)やCloud Identity-Aware Proxy(IAP)、Cloud Identityのユーザーも同ツールを利用できるようになるようだ。

Image Credits: pressureUA / Getty Images

原文へ

(翻訳:Atsushi Yukutake