• 営業部門へのお問い合わせ
  • 購入方法と配送/販売パートナーリスト
Yubico Header Text LogoYubico Header Text Logo
Yubicoの理由expand_more
Yubicoの理由
  • 企業向けのページ
  • 個人向けのページ
  • コンプライアンスのために
  • Yubicoについて
  • 投資家 (EN)
cern sign on building
CERNが管理者アカウントとサーバーへのアクセスを保護するためにYubiKeyを導入
事例を読む
  • japanese
Google headquarters
アカウントの乗っ取りを防止し、ITコストを削減するGoogle社
事例を読む
  • japanese
Hand holding YubiKey behind Apple iPhone
モバイル向けYubiKeyIT
ソリューションの概要を読む
  • japanese
製品expand_more
  • YubiKey
  • 製品比較 (EN)
Laptop with a YubiKey inserted
YubiKey 5シリーズ: マルチプロトコルの Security Key
製品概要を読む
  • japanese
2022年のサプライチェーンセキュリティ
ブログを読む
  • japanese
購入方法expand_more
  • オンラインストア
Person using YubiEnterprise Console on a laptop
FIDO2とWebAuthnでパスワードレスを実現
Read the White Paper
  • japanese
YubiKey on a keychain plugged into a laptop
共有ワークステーションでレガシー認証が機能していない本当の理由
Read the Blog
  • japanese
企業全体のIDフィッシングを阻止する方法:強力な認証を展開するためのガイド
Read the E-book
  • japanese
リソースexpand_more
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
Government building
米国の州が有権者登録データベースをハッカーから守るためにYubiKeyを使用
Read the Case Study
  • japanese
Person looking at a computer with a government building showing
米国 国防総省 ケース スタディ
Read the Case Study
  • japanese
YubiKeys in lots of form factors
世界最小のハードウェア・セキュリティモジュール(HSM)で暗号鍵を保護
Read the Product Brief
  • japanese
お問い合わせストア
  • Home » Yubico Blog | JA » CERNでの特権アクセス管理:Stefan Lüders博士との質疑応答

    CERNでの特権アクセス管理:Stefan Lüders博士との質疑応答

    Shamalee Deshpande

    Shamalee Deshpande

    March 25, 2022
    1 minute read
    Share on FacebookShare on XShare on LinkedInShare via Email

    サイバー攻撃が増加する時代にあって、制限のない自由な研究への欲求と、研究をサイバー攻撃から保護する必要性とのバランスをどのように取っていますか? これは、科学研究コミュニティのリーダーであるCERNが直面する課題です。 その解決策は? 特権データの構成を明確に表現し、より高レベルなセキュリティに関するユーザビリティの障壁を部分的に取り除く、柔軟なセキュリティポリシーを作成します。 

    1954年に設立されたCERNは、創造性、革新性、コラボレーションを重視する「科学技術のフロンティア」を使命として推進する活動をしています。 この使命を果たすために、学術研究者には、業務における柔軟性と自由が与えられています。 70カ国以上から15,000人を超えるユーザーがローカルまたはリモートでCERNに参加しています。これは、CERNのネットワーク上のBYODの70%以上を占めています。 そのため、CERNは彼らにとってISPのように機能します。 

    CERNは2012年にYubicoとの協業を開始し、上位の特権ユーザーによる重要サービスへのアクセスを保護するための最新のソリューションを探していました(CERNコンピューターセキュリティチームとより広範なITチームのメンバー)。 今日、CERNは、セントラルSSOにより、重要な制御システムにアクセスできるユーザー、ITシステム管理者、機密データにアクセスできる人々に対して、強力な多要素認証(MFA)の要件を拡大しています。 また、必要に応じて他のチーム全体のユーザーへの展開をさらに拡大する計画もあります。 

    CERNのセキュリティへのアプローチは、その学術的な要件によって大きく左右されます。従来のセキュリティのルールや境界線は、創造的な自由を必要とする組織とは相容れないものでした。 この独自の特権アクセス管理の課題を調査するため、CERNのコンピューターセキュリティ責任者であるStefan Lüders博士と協議します。具体的には、サイバーリスクとセキュリティの進化、より高度なセキュリティアクセスを必要とするユーザーを保護するための重要なニーズ、自由な学問のために設計された環境においてセキュリティのバランスをとる上での課題が挙げられます。 

    CERNにおけるコンピューターセキュリティの課題は何ですか? 

    CERNのやり方は、当社の特殊な環境に適応しています。 他のコンテキストで採用できるようなトップダウンのセキュリティアプローチは、ここでは単独ではうまくいきません。 したがって、その両方を組み合わせています。 

    CERNの一部が大学のようになっており、多くの研究者、学生、博士号取得者、物理学者、 粒子研究を行うエンジニアなどから成る、大規模な学術コミュニティがあります。 多くの柔軟性と自由があります。 BYODでは、個人が多くの責任を負うため、合法である限り必要なことはほぼ実行できるし、あらゆるものをプログラムし、あらゆる環境を設定することができます。 柔軟性は創造性を生みます。 みなさんの想像的な心に対して、できるだけ境界と制限を最小限に抑えたいと考えています。 CERNの一つの側面には、学問の自由と柔軟性が必要です。 

    CERNの反対側には、粒子加速器などの産業用制御システムに異なるポリシーとプロセスが必要です。つまり、学術的な環境ではあるものの、業界の要件に適合しています。 粒子加速器は独自のものであり、すべてはプロトタイプです。 その結果、それらは継続的に改善されます。 この種のアジャイルなエンジニアリングには、セキュリティに対する厳格でありつつも柔軟なアプローチが必要です。 

    過去5年間、サイバーセキュリティへの多額の投資にもかかわらず、サイバー攻撃の量とデータ侵害にかかるコストは増加の一途をたどっています。 個人的にセキュリティニーズはどのように進化したと考えていますか? 

    セキュリティは以前はマラソンでしたが、今ではトライアスロンです。 ますます困難なものとなっています。 安全な侵入のリスクは、脅威と脆弱性と結果の掛け算に比例します。 CERNでは、侵害の結果をより深く理解することが重要だと考えています。その結果はこの先も変わらず、十分に管理されていると思います。 ただし、脅威の現場は逆で指数関数的に進行しています。 今日、世界中の業界、特にヘルスケア、エネルギー、政府、大学でのランサムウェア攻撃とマルウェアの急増は解消されておらず、むしろ悪化しています。 

    同様のことが、脆弱性にも当てはまります。 以前は、いくつかのハードウェア(およびそのBIOS)、オペレーティングシステム、最上位のアプリケーションという保護する3つのレイヤーから成るコンピューターセンターを運営していました。 現在、コンピューターセンターには保護するハードウェアはありますが、複数の仮想マシンを動かすハイパーバイザーレイヤーもあり、そこではコンテナをホストし、次にアプリケーションをホストしています。 今日、保護するレイヤーは他にもあります。 より複雑で、より脆弱です。 

    脆弱性と驚異の増加を踏まえ、CERNでサイバーセキュリティにどうアプローチしますか? 攻撃数の増加に注意を払っていますか? 

    「攻撃」を構成するものの概念は、しっかりと定義されていません。 リンゴを数えるとき、私たちはリンゴが何であるか同意できますし、数えられます。 しかし、攻撃とは何を指すのでしょうか? 間違ったパスワードで1回ログインを試みただけですか? それとも、すべてのユーザーアカウントへのブルートフォースですか? 攻撃の数は関係ありません。 私たちはベクトル、発生率、種類を調べ、それに応じて防御体制を改善します。 

    それはまるでパンデミックです。人間であるあなたは、常にウイルスに晒されています。あなたの身体は永久に攻撃を受けています。 しかし、それにもかかわらず、免疫システムがあなたを保護することを願いつつ、あなたは日常生活を続け、駅やスーパーマーケットに行きます。 これが、CERNで行うことです。 原則として、監視するファイアウォールによってすべてがブロックされるように防御を強化します。 これらの攻撃が侵入(発熱、免疫系アナロジー)にならない限り、私たちは大丈夫です。 攻撃を観察および監視しますが、むしろ攻撃を防ぐことに関心があります。 

    多くの組織にとって、新型コロナは組織文化と従業員の行動に大きな影響を及ぼしました。リモートワークにより、サイバーセキュリティと制御に潜在的なギャップが生まれました。 パンデミックは、CERNがユーザーを保護する方法にどのような影響を与えましたか? 

    CERNは、既存の巨大なリモートワークコミュニティと同時にパンデミックに移行したため、必要なインフラの大部分はすでに整っていました。 唯一、強化の必要があったのは、リモートゲートウェイを拡大して、より多くの人が同時にCERNに接続できるようにすることでした。 当社が他で直面した問題は、ライセンスでした。使用するサードパーティーソフトウェアのほとんどはCERNの事業所に地理的にライセンスされていたため、スタッフがリモートで使用できるようにするため、ライセンス所有者と再交渉する必要がありました。 

    エンドポイント管理は、パンデミックのために別の方法で管理する必要がありました。 BYODに関しては、特に注意が必要です。 コンピューターが侵害されても、気付けるのはアカウントが侵害され、CERN内のリソースを使用している場合のみです。 アカウントのセキュリティを保護するためには、多要素認証が1つの方法となります。

    CERNでの特権アクセス制御の戦略とは? 

    これまで、私たちの戦略は、YubiKeyの使用などMFAで重要なサービスを保護することでした。 基本的なことに関しては、パスワードを使用できます。 重要なサービスにログインするときは、2番目の要素を利用する必要があります。 

    規模拡大を円滑にするため、重要なサービスと対話するのではなく、重要なユーザーと対話するようになりました。 重要なユーザーは、CERNのセントラルSSOポータルで、2番目の要素を使って少なくとも1日1回ログインするようになりました。 アプリケーションスフィアがログインスフィアから切り離されることで、エンドユーザーに最大の柔軟性と使いやすさをもたらします。 また、ユーザーはYubiKeyを使用して個人アカウントを保護することもできます(2番目のOTPスロット使用時)。 

    セキュリティでは、全体的またはグローバルな制御が常に問題を引き起こします。 例外は常にあります。そして例外はサイバーセキュリティの命取りになります。 断片的にアプローチする必要があります。 YubiKeyは、まずコンピューターセキュリティチームのために導入し、次にコンピューターセンターを管理するためにIT部門に展開しました。現在は、制御システムにリモートアクセスするユーザーでも使用できます。 

    CERNでは、特権は機能により明確に定義されます。人に依存するのではなく、アクセスするものに依存します。 コンピューターサービス管理者は、MFAの対象です。 産業施設運営者は、MFAの対象です。 今後は、MFAを調達、管理、事務局など他のコミュニティに拡張することを検討しています。 各ステップで、より多くのコーナーを網羅するように、制御を拡大しました。 

    ———

    特権アクセスを定義、保護する方法の詳細については、白書「特権ユーザーへのクリティカルで強力な認証の必要性: レガシー認証が特権ユーザーを危険に晒している理由」をご覧ください。

    Share this article:

    Share on FacebookShare on XShare on LinkedInShare via Email

    Recommended Posts

    • Salesforceの使用にはMFAが必要です:必要な理由とできること

      巧妙なサイバー攻撃が中小企業や大企業を対象に執拗に攻撃し続ける中で、企業は顧客、従業員、パートナーのセキュリティをより安全に守るために、サイバーセキュリティインフラの改善を優先させる必要があります。 ユーザー名とパスワードは、進化し続けるサイバー攻撃に対して、もはや十分なセキュリティを提供するものではありません。   昨年末、Salesforceは2022年2月1日以降、同社の製品、ソリューション、プラットフォームにアクセスする際に多要素認証(MFA)を有効にすることを顧客に義務付けると発表し、これに対する強い決意を表明しました。 この要件は、GoogleやTwitterといった他の大手テクノロジ企業や、最近では米国政府が発令した 「大統領令14028」 (2024年までに、ワンタイムパスコードを利用するSMSトークンやプッシュ通知認証アプリは米国政府の要件に準拠しなくなる) による同様の取り組みを補完するものです。 Yubicoは、SalesforceのMFAとフィッシングに強いFIDOベースのセキュリティキー認証のサポートを強化する最新の活動を称賛しています。 MFAを導入することで、Salesforceのような企業は、より良いユーザーエクスペリエンスを提供しながら、顧客やプラットフォームのセキュリティを大幅に強化しています。 Salesforceが求めることは、世界中で強力かつ最新のハードウェア認証の導入を大幅に加速させ、何十万もの顧客や企業を、事業を麻痺させる可能性のあるサイバー脅威からより安全に守ることです。 Salesforceのアイデンティティ・プロダクト・マネジメント担当上級副社長であるイアン・グレイザー(Ian Glazer)氏は次のように述べています。「セールスフォースでは、信頼を第一の価値としており、顧客データを守ることは最も重要なことです。 強力なMFAの導入を推進するためには、ユーザーアカウントとデータを保護するためにユーザーと組織が実行できる唯一の最善策である、ハードウェアキーなどの幅広いMFAオプションが必要です。 お客様とのパートナーシップによりMFAを普及させることで、フィッシングやクレデンシャルスタッフィングといった一般的な脅威の成功を困難なものにします。」 MFAを実装する準備ができている場合、どれを選択すればよいでしょうか? SMS、ワンタイムパスコード、モバイル認証アプリなどの従来の(または古くからの)MFA方式のほとんどは、サイバー攻撃の防止に役立てることはできますが、すべてのMFAオプションが同じ仕組みで作られているわけではないことに注意してください。 例えば、SMSベースの認証は、企業のセキュリティを確保するには十分な効果がないことが何度も証明されています。 また、SalesforceではメールやSMSベースのワンタイムパスワードは許可されておらず、強力なMFA手法の使用が義務付けられていることも重要な点です。 最新のFIDOベース(U2F/FIDO 2/WebAuthn)認証に移行することで、組織とそのユーザーはフィッシングに強いMFAを実現できます。 YubiKeyのような物理的なセキュリティキーは、組織に求められるサイバーセキュリティの最も厳しい認証要件を満たしながら、非常に使いやすく、YubiKeyに触れるだけで本人認証と安全なアクセスを提供することができます。  これらのハードウェアベースのセキュリティキーは非常に安全性が高く、SalesforceのMFA要件を完全に満たしています。 あらゆるデバイスやオペレーティングシステムに対応し、(ネットワークサービスやバッテリを必要とせずに)数百ものオンラインサービスやアプリケーションへの安全なログインを可能にすることで、アカウント乗っ取りのリスクをほぼすべて排除することができます。  お客様のビジネスに適したYubiKeyの選択 複雑なハイブリッドIT環境を持つ企業であれ、クラウドネイティブな中小企業であれ、Yubicoにはお客様のインフラと従業員を守るための適切なキーがあります。 YubiKey 5シリーズは、マルチプロトコルのセキュリティキーをあらゆるフォームファクタで提供しています。また、YubiKey 5 FIPSシリーズは、すべてのコンプライアンスと規制要件を満たすように設計されています。  大規模な組織へのサポートをお考えであれば、YubiEnterpriseSubscriptionが柔軟な購入オプションを提供し、今日のリモートワークやハイブリッドワークの環境をお考えであれば、YubiEnterpriseDeliveryが場所を問わずYubiKeyを従業員までお届けします。 組織に最適なYubiKeyをお探しの方は、https://www.yubico.com/quiz/へアクセスしてください。  私たちは、一般の消費者から中小企業、大企業に至るまで、すべての人にとってインターネットをより安全な場所にするために、クラス最高のソリューションを提供することを継続して取り組んでまいります。  ——– YubiKeyでSalesforceのアカウントを保護するMFAを追加する方法については、こちらを参照してください。 

      Read more
      • japanese
      • Salesforce
      • YubiKey
    • Coming soon: ‘Bring Your Own Key’ capability in YubiHSM 2 will bring the most flexible and highest assurance solution for data security and portability for multi-cloud environments

      Creating a robust data encryption strategy in a multi-cloud environment can be challenging. Considerations like availability, fail-over, control, cost and compliance are crucial. For organizations that are encrypting data on-premises and considering moving data to the cloud, a typical approach is to use an on-premises Hardware Security Module (HSM) or a cloud-based HSM. However, acquiring […]

      Read more
      • BYOK
      • YubiHSM 2
    • How to get started with phishing-resistant MFA for your Microsoft environment Thank you

      We hope you enjoy reading the Yubico Best Practices Guide, How to get started with phishing-resistant MFA for your Microsoft environment.

      Read more
      • best practices guide
      • Microsoft
      • phishing-resistant MFA
    • microsoft bp guide
      How to get started with phishing-resistant MFA for your Microsoft environment

      Learn about the six key best practices to accelerate the adoption of phishing-resistant MFA and how to ensure secure Microsoft environments.

      Read more
      • best practices guide
      • Microsoft
      • phishing-resistant MFA
Yubico Footer Text Logo
  • RSS
  • Twitter
  • LinkedIn
  • Instagram
  • YouTube
  • GitHub
  • 製品クイズ
  • セットアップ
  • オンラインストア
  • YubiKey
  • ホワイトペーパー
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
  • 購入方法
Yubico © 2023 All Rights Reserved.
  • Sitemap
  • Cookieについて
  • 法的情報
  • プライバシー通知
  • 利用規約