1. はじめに

モバイルコネクトではお客様のセキュアなリモートアクセスを実現するため、様々なセキュリティ機能をご提供しています。
昨今はサイバー攻撃も高度化しているためサービス提供者側でのセキュリティ対策だけで防げるものではなく、お客様側で安全な使い方でサービスをご利用いただきセルフディフェンスを実施していただく必要があります。
そこで本サイトではモバイルコネクトのセキュリティ機能を利用してできるセキュリティ対策(下図)についてご紹介します。
チュートリアルタブ
ぜひ本サイトを参考に本機能をご活用いただき、更に強固なセキュリティ対策を実施ください。

2. 認証

通信相手が正しいかどうか確認する必要があり、それを実現するのが「認証」です。
サイバー攻撃の高度化により一要素認証でのセキュリティ対策は不十分であり、よりセキュアな多要素認証の利用が推奨されています。[1]
モバイルコネクトでは下記の認証機能をご利用できます。
  • MCOP認証
  • Basic認証
  • 機体認証
  • 外部認証連携
これらの認証機能を組み合わせることで多要素認証方式を実現することができます。
組み合わせ可否については下表を参照ください。
なお、当社では更なる認証強度向上のため、◎が付いている組み合わせのご利用を推奨しております。
チュートリアルタブ

※1. SSL-VPNアクセスGW専有型(C)をEdge/Chrome/Firefoxでご利用の場合は選択できない組み合わせです。


2.1. MCOP(Mobile Connect One-time Password)認証

チュートリアルタブ
MCOP認証は「乱数表中の位置情報」をパスワードにしたワンタイムパスワードの認証方式です。

ちなみに

推奨する位置情報設定

  1. 縦一列や横一列といった推測されやすい並び方は避ける
  2. 推測されにくいようにバラバラに位置情報を設定する

2.2. Basic認証

Basic認証はエンドユーザが事前に設定したIDとPasswordで認証する方式です。
Basic認証は現在最も一般的に使われている認証方式ですが、IDとパスワードの使い回しや簡易なIDとパスワード設定によるアカウント流出も多く、セキュリティ強度はあまり高くない認証方式です。[1]
そこで、Basic認証ではなくセキュリティ強度のある他の認証方式を利用する、Basic認証を利用せざるを得ない場合は必ず他の認証方式と組み合わせる、強固なパスワードを設定する、パスワードを使い回さない、パスワードは安全に保管するといった安全な運用を実施した上でのご利用を推奨します。
また、モバイルコネクトでは基本機能の「パスワード有効期限設定」をご利用いただくことでパスワードの有効期限の設定や、「パスワード世代数設定」をご利用いただくことでパスワード変更時に同一パスワードを利用できない世代数の設定を行うことができます。

ちなみに

安全なパスワードの作成条件[2]

  1. 名前などの個人情報からは推測できないこと
  2. 英単語などをそのまま使用していないこと
  3. アルファベットと数字が混在していること
  4. 適切な長さの文字列であること
  5. 類推しやすい並び方やその安易な組合せにしないこと

2.3. 機体認証

機体認証は端末が保有している一意の情報を使用して認証する認証方式です。
PCブラウザで利用できる「ブラウザ機体認証」とSDアプリ/PCアプリで利用できる「アプリ機体認証」があります。
  • ブラウザ機体認証
チュートリアルタブ
ブラウザ機体認証はPC端末の複数の固有情報を認証要素として利用する認証方式です。
事前に登録されたデバイスのアクセスのみ許可し、登録されていないデバイスのアクセスは拒否します。

  • アプリ機体認証
チュートリアルタブ
デバイス上の固有情報を認証要素として利用する認証方式です。
本機能はPC向けに提供するアプリ(PCアプリ)またはSD(スマートデバイス)向けに提供するアプリ(SDアプリ)でご利用可能です。
事前に登録されたデバイスのアクセスのみ許可し、登録されていないデバイスのアクセスは拒否します。

2.4. 外部認証連携

チュートリアルタブ

以下の外部認証サービスと連携してモバイルコネクトをお使いいただけます。

  • Azure AD
  • ID Federation

外部認証連携は下記の課題を持つお客様にお勧めです。

  • 複数サービスを利用する際のID管理を楽にしたい方
  • 最新の多要素認証(パスワードレス)を利用してセキュリティ強化したい方
  • 既にAzure AD/ID Federationを利用している方

注釈

シングルサインオンとは

1度のユーザー認証によって複数のシステム(業務アプリケーションやクラウドサービスなど)の利用が可能になる仕組みです。[3]
システム利用の効率化やセキュリティの強化に役立ちます。

3. 認可

ユーザの必要なサービスやデータへのアクセス権限やシステムの操作権限を与えることを「認可」と言います。
モバイルコネクトでは下記の機能を利用することでアクセス元およびアクセス先のアクセス制御を行うことが可能です。

3.1. 接続元アクセス制御

チュートリアルタブ
本節ではお客様のデバイス側のアクセス制御を実施可能な機能について記載しています。
これらの機能を利用することでセキュリティ条件を満たしていないデバイスの接続を拒否するといったデバイス側で接続可否を制御することができます。

3.1.1. アプリ抑止機能(全サービスメニュー共通)

SDをお使いのお客様はアプリ抑止機能をご利用いただけます。
本機能をご利用いただくことで、設定した対象アプリ情報と一致するアプリをインストールしているエンドユーザの接続を拒否/許可することができます。
これにより危険なアプリをインストールしているエンドユーザのアクセスを遮断することが可能です。
※アプリ抑止機能はiOSではご利用いただけません。

3.1.2. 端末検疫機能(SSL-VPNアクセス GW専有型(P))

SSL-VPNアクセス GW専有型(P)をご利用のお客様は端末検疫機能がご利用いただけます。
SSL-VPNセッション確立前にお客様PCのセキュリティ状態をチェックし、アンチウイルスソフトがインストールされているか、アンチウイルスソフトが起動しているか、クライアント端末のOSバージョンが規定のものを使用しているか、といった条件に合致しているかをチェックし、条件に合致していない端末のアクセスを遮断します。

3.1.3. エンドポイント認可機能(SSL-VPNアクセス GW共有型) ※別途申込要

SSL-VPNアクセス GW共有型をPC(Windows)でご利用のお客様は本機能をオプション申込にてご利用いただくことが可能です。
本機能をご利用いただくことでアンチウイルスソフトが導入されていない高リスクの端末やお客様導入済みソフト(EDRなど)が未実行の端末などからのVPN接続を防止することができます。
本機能によりリモートアクセス端末のエンドポイントセキュリティを高めることができ、社内外環境のゼロトラスト化に近づけることができます。
なお、SSL-VPNアクセスGW共有型サービスのスタンダードプラン、シンプルプラン共に利用可能です。

3.1.3.1. アンチウイルスソフトチェック

特定のアンチウイルス製品(https://support.ntt.com/conn-mobile/download/downloading/34311)がインストールされていることをチェックします。


3.1.3.2. プロセスチェック

お客様指定のプログラムが実行されプロセスが存在することをチェックします。
シンプルプランでは以下の製品のプロセスがチェック可能です。
  • あんしんマネージャNEXT
  • マイセキュアビジネス

3.2. 接続先アクセス制御

チュートリアルタブ
本節ではアクセス先を制御可能な機能について記載しています。
これらの機能を利用することでユーザごとにアクセス制御を実施することができます。

3.2.1. グループ別アクセス制御機能(SSL-VPNアクセス)

チュートリアルタブ
SSL-VPNアクセスをご利用のお客様はグループ別アクセス制御機能を利用することでアクセス制御をご利用いただけます。
本機能ではサーバやサービスへのユーザごとではなくユーザをグループに分けグループごとにサーバやサービスへのアクセス制御を行うことができるため、管理者のアクセス制御管理負担を減らすことができます。

4. エンドユーザ管理

不正アクセス防止のため使っていないアカウントは削除するといった適正なアカウントの管理を行う必要があります。
モバイルコネクトでは、下記の機能をご利用いただくことで企業管理者でのエンドユーザ管理が可能です。

4.1. ユーザ管理

この機能では企業管理者がエンドユーザ管理に関する設定を行うことができ、エンドユーザの新規作成/変更/削除/利用停止やエンドユーザ単位でサービスの利用状況を設定することができます。


4.2. 端末管理

この機能では企業管理者がエンドユーザが利用するクライアント端末を管理することができ、新規追加/変更/利用停止/削除を行うことができます。
なお、より詳細な情報を管理するためには機体認証をご利用ください。

4.3. 利用状況確認

この機能では企業管理者がエンドユーザのログイン情報を確認することができます。
本機能を用いて不審な端末や不審な時刻からのアクセスといった情報を確認することで、不正アクセスの有無を確認することができます。

5. データセキュリティ

内部不正やうっかりミスといったヒューマンインシデントによる情報漏洩の事例も少なくありません。
モバイルコネクトでは下記機能を利用することでデータセキュリティ対策を行うことができます。

5.1. セキュアブラウザ(アプリケーションアクセス)

本機能では端末にデータを残さず、HTML5をはじめとする各種Webシステム、SaaSへのセキュアアクセスを利用することができます。
端末にデータを一切残さないため、紛失時の情報漏洩を防止します。
セキュアブラウザ内画面キャプチャー、外部への情報コピー&移動は出来ません。

5.2. スマートフォン機能制御(アプリケーションアクセス)

本機能ではアプリ利用時のコピー&ペースト、ファイル添付、画面キャプチャなどを制御し、データの持ち出しを抑制することが可能です。


5.3. メール誤送信防止機能(アプリケーションアクセス)

本機能ではメール送信前に強制的に確認画面が表示され、送信先が社内か社外か、添付ファイルの有無などを確認できます。
送信者自身でミスを未然に防ぐことが可能です。

5.4. マルチブラウザ

モバイルコネクトではマルチブラウザでサービスを提供しています。
もし特定のブラウザで脆弱性が発見された場合でも、他ブラウザに切り替えることができるため情報漏洩を防ぐことができます。

6. セキュリティコラム

6.1. 最新バージョンに保ちましょう

ソフトウェアには脆弱性が発見されることがあります。
脆弱性が発見された場合それを修正するための修正プログラムが配布されるため、バージョンアップを実施して必ず最新の状態に保ちましょう。[4]
バージョンアップを行わず古いバージョンを使用し続けると脆弱性が解消されず、不正アクセスといった悪意のある第三者からの攻撃を受ける可能性があります。
また、古い機器では提供元のサポートが終了し、脆弱性が発見されても対処されないことがあります。
モバイルコネクトではサポートバージョンを定めておりますので、サポートしているバージョンをご利用ください。
「モバコネアプリ」「VPNアプリ(PC)」「OSバージョンアップ」についても最新のバージョンが配布された際にはバージョンアップを実施してください。
※当社側でサポート対象外バージョンの接続禁止はしておりませんが、サービス仕様や当社側設備の更改により古い端末やOSでは使用不可となる可能性がございます。

7. 出典

[1]セキュリティを高める多要素認証とは?(https://www.ntt.com/bizon/sec/safe-nw05.html)
[2]国民のための情報セキュリティサイト(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html)
[3]意外と知らない?ITトレンド用語 シングルサインオンとは(https://www.ntt.com/bizon/glossary/e-s/sso.html)
[4]国民のためのサイバーセキュリティサイト(https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/enduser/enduser_security01_01.html)
リモートアクセスをより安全に利用するためには? ~モバイルコネクトでできること~