Googleは、セキュリティ強化のため、Google Appsに2要素認証を導入すると発表しました。より厳格な認証制御の導入により、企業がGoogle Appsを導入する際のハードルが1つ下がり、クラウドのセキュリティを重視する組織にとって、この生産性向上スイートはより現実的な選択肢となります。
多くの組織にとって、クラウドベースのサービス導入を検討する上で、セキュリティは最大の障壁の一つです。Webベースのサービスは、特定のマシンのローカルストレージに縛られることなく、事実上どこからでも利用できるという利点がありますが、ユーザーがどこからでもデータにアクセスできるということは、攻撃者も同様にアクセスできることを意味します。
数十年にわたるユーザー意識向上の取り組みにもかかわらず、パスワードは推測や解読が容易な場合が多いです。RockYou.comのパスワード流出は、現実世界で実際に使用されているパスワードを調査するまたとない機会となりました。RockYou.comがハッキングされた際に流出した3,000万件以上のパスワードを調査したところ、そのほぼ半数が名前、一般的な辞書用語、または「qwerty」のような連続した文字を使用していることがわかりました。
こうした確率の高さは、IT管理者にとって安眠の妨げとなる。紛失・盗難されたノートパソコンやUSBメモリなどのポータブルストレージデバイスの半数に、不正アクセスが容易なデータが含まれている可能性があるだけでも十分に深刻な問題だが、同じデータをインターネット接続があれば誰でも24時間365日アクセスできるWeb上に自発的に公開するということは、データ漏洩を招き入れるのと同じだ。
2要素認証は、WebベースのGoogle Apps生産性プラットフォームとほぼ同等に普及している技術、つまり携帯電話を利用することで、Google Appsのセキュリティを強化します。2要素認証を有効にすると、Google Appsにアクセスするために、標準のアカウントパスワードに加えて、携帯電話から送信されるワンタイム認証コードが必要になります。
一部の組織では、2要素認証による追加の保護がデータ保護要件の達成にも役立ちます。サーベンス・オクスリー法、HIPAA(医療保険の携行性と責任に関する法律)、PCI-DSS(クレジットカード業界データセキュリティ基準)、その他の規制および業界のコンプライアンス要件の対象となる企業は、一定のセキュリティ管理策を導入しなければ、深刻な法的および財務的リスクを負うことになります。より厳格な認証オプションを選択できることで、組織はGoogle Appsを再検討する価値があります。
しかし、潜在的な欠点も存在します。携帯電話はウェブと同じくらい普及していますが、紛失や盗難に遭いやすいモバイルデバイスでもあります。携帯電話やスマートフォンを所持している攻撃者は、2つ目の認証要素にアクセスできてしまうため、Google Authenticatorアプリの存在は、ユーザーがGoogle Appsアカウントを持っていることの証拠となってしまいます。
しかし、これが「2 要素」と呼ばれるのには理由があり、攻撃者がワンタイム認証コードにアクセスできたとしても、Google Apps アカウントを侵害するにはユーザー名とパスワードを判別する必要があります。
二要素認証の追加により、Google Appsはセキュリティを重視する組織にとって、はるかに魅力的な選択肢となります。これまでGoogle Appsを避けてきたIT管理者は、このWebベースの生産性向上スイートのメリットを再検討すべきです。
