zoi's blog

使い勝手を悪くしない、唯一の2段階認証

January 15, 2020

目次

セキュリティリスクの急増

インターネットの普及によって、セキュリティが全体として大きく伸びている。 中でもスマートフォンの普及によるアプリ市場の成長、WEBサービスやECの成長によって、認証基盤の数が急激に増えている。 その認証基盤を狙った不正ログイン攻撃が増えている。

アプリケーション周りではリスト型攻撃が急増

特に、ブルートフォースアタックなどはWAFなどでも対応できたが、最もインシデントが急増しているリスト型攻撃に対応できるソリューションが現状普及していない。 インシデント数や流出している認証情報の数が急増しているのに対して、社会的に認知がおいついておらず、アプリケーションセキュリティに脆弱性を抱えているのが現状。

社内システムにはSSOが普及

認証基盤へのセキュリティソリューションとしては、社内システムや一部エンプラ向けSaaSに限りSSOが普及し始めた。理由としては、次の3個がある。

  • (1) 社内システムは使い勝手をある程度犠牲にしてでも、セキュリティの強化を優先出来る
  • (2) SaaSを中心としたクラウドサービスの普及、及びそれらのSAML認証への対応が浸透
  • (3) クラウドサービスの普及により、従業員の入退社による秘匿情報管理が煩雑になった

toC領域では2段階認証の普及が部分的

理由1:製品品質の問題

それに対してtoCを抱える事業者は、2段階認証が社会的に認知度が高まり、世論として2段階認証の導入が社会的要請として高まってきている状態。しかし、同時にその要請の背景や原因を理解しているのはセキュリティの担当者など専門知識のある人のみ。

2段階認証自体はビジネス要件(金額、工数確保、導入までの時間軸、使い勝手が悪くなる)に添えず、普及が一部に留まっている。

よって、上記のビジネス要件を満たせる2段階認証を提供し、「使い勝手を悪くしない、唯一の2段階認証」というカテゴリを定義する事で、リスクの認知度が高まるに連れてサービスが広く受け入れられるようになる(という仮説)。

理由2:明確な担当者不在かつ社内関係が複雑

まず、前提として情報システム部門やセキュリティの担当者が対応する内容はざっくり以下の内容になる。

  • (1) 一般的な情シス業務全般、機器やアカウント管理等
  • (2) PCへのセキュリティ対策および端末管理
  • (3) オフィス移転に伴う各種業務(オンプレサーバ無し)
  • (4) クラウドサービスの導入/管理
  • (5) GCP / AWSの利用
  • (6) 認証基盤の整備
  • (7) ISMS / PMS 取得や更新の対応
  • (8) 標的型攻撃 / 内部不正への対応体制構築、各種定期診断
つまり、情シスの独断では導入が決定しない

上記を踏まえると、対策の必要性などが理解できている情シス担当者に出来ることは、専門知識の無いサービスの責任者に対する助言のみに留まってしまう。

なぜならエンドユーザーの使い勝手に影響があるためKPIに影響があることが想定され、ほぼ確実に事業責任者に納得してもらう必要があるからだ。

尚、事業責任者と直接話し必要性が理解してもらえればまだ良いが、自信がなく他人に意見を求めた場合は技術関係で権限のある人(社内の技術部長やベンダーの担当者)に確認を取る事になる。

よって、情シスは「情シス担当者が事業責任者を納得させている」または「決裁者が情シスと話したの上で保険的に導入を決めていて、現場のディレクターが発言権なく開発進行のみ行う」場合に限りが2段階認証の導入に関与すると言える。(尚、WAFはサーバー完結なのでまだ情シス担当者から売りやすいはず)

事業責任者への価値を高めるために

本製品は基本3つの役割を果たす。

  • (1) エンジニア - 実装用のAPI
  • (2) 監視員(専任、インフラ) - 対応業務の改善ツール
  • (3) 事業責任者 - 意思決定ツール

この中でも、事業責任者への価値を高め、企業の意思決定に入り込む必要がある。

現状のリスクを可視化までをソフトウェアで行い、その上でPSとして「どの程度のリソースを不正ログイン対策にアサインすればよいのか」のコンサルを行う必要がある。リソースがないのであれば、手段(外注)の追加提示も行う必要がある。ただ、顧客がリスクを判断し実行計画を建てるための意思決定ツールになりきれれば、例え無策でいることを提示して顧客が無策のままだとしても、組み込む事は辞めない。

どのようにライトパーソンにアプローチするのか

以下の手順で進めていく。

  • (1) 適切な業界が何か仮説を持つ
  • (2) その業界の構造(寡占状況・勢力図)を理解する
  • (3) その業界の課題を理解する
  • (4) 業界の課題と特定の企業が同一になっているか確認する
  • (5) その課題意識を持った、社内に影響力のある実力者を見つける
  • (6) 該当者の社内構造を正しく把握する
  • (7) 該当者を口説く
  • (8) 該当者にコミットさせる
  • (9) 小さく始めて、該当者に結果で社内を動かし、監視体制周りを整備
  • (10) 不正ログインに関する予実の意思決定ツールとしてソフトウェアを活用

どのようにライトパーソンに選ば続けるのか

いきなりだが「系列のSIerよりも10倍良いサービスを提供する」というのが結論になる。

「コストが10分の1になる」「事業スピードが10倍になる」「導入が10倍早い」「彼らに同一コストで実現できない」などが最初のステップを突破するためにプロダクトとして必要な事。その上で、顧客に対して財務上のインパクト(それ自体改善や改善のための意思決定が改善できるetc)が出せるサービスを提供する必要がある。


Kyle Mathews

SMB向けのマーケットプレイス事業を売却後、エンプラ向けのSaaSをやってます。元エンジニア:Ruby / Go / Nuxt / ReactNative