クラウドサービスを利用するとき、まずはログインのためのIDとパスワードの入力が求められる。もしこのIDやパスワードが流出して、他人に知られてしまうと、不正にログインされる危険性がある。この不正アクセスを防ぐには、ユーザー企業自身でしっかりとIDとパスワードを管理する必要がある。
IDとパスワードの管理で重要なことは、不用意にパスワードを外部にさらしたり推測されやすいパスワードを使わないこと。ウイルス感染やフィッシング詐欺などによって流出しないように注意する必要もある。これらに加えてクラウドサービスを利用するときのセキュリティ対策には、1)サービスで提供されているパスワード設定機能やアクセス制限機能を活用する、2)認証情報をクラウド上に置かない、3)複数のサービスを組み合わせる──の三つがある。順に見ていこう。
どこまで詳細に設定できるかを確認
1)のパスワード設定機能やアクセス制限機能は、サービスによってどこまで細かく設定できるかが異なる。自社のニーズに合った認証を実施するには、用意されている設定項目がどういったものかを確認し、理解したうえで十分に活用することがポイントになる。例として、米セールスフォース・ドットコムの「Salesforce CRM」で提供されているパスワード設定やアクセス制限の項目を見てみよう(図3)。
パスワードに関しては、その有効期間や文字数の設定に加え、何回までログインに失敗しても大丈夫かなども設定できる。このような項目が充実しているほど、ユーザー企業の管理者は自社のセキュリティポリシーに合ったかたちで認証を掛けられる。
アクセス制限では、指定したIPアドレスからのアクセスしか受け付けないように設定できる。この場合、指定できるIPアドレスは「固定のグローバルIPアドレス」だ。つまり固定のグローバルIPアドレスを取得していない企業では、アクセス制限を掛けられないことになる。
そこでセールスフォースは、アクセス制限を使えないときにユーザー確認を厳格にすることで、不正アクセスを防止する。まず、アクセスしてきたIPアドレスが、過去にログインに成功したことがあるかどうか、WebブラウザーのCookie(クッキー)の情報がセールスフォース側の履歴と一致するかどうか──という2点を確認する。どちらかが一致しないときには、登録されているユーザーのメールアドレスあてに認証ページのURLを送り、その画面での認証をパスしたら接続させる。こうすることで、IDとパスワードを不正に入手した悪意ある第三者が簡単にはアクセスできなくなる。