情シスのかたち

powered by gin

Auth0(オースゼロ)とは?口コミや評判からメリット・デメリットを解説

Auth0とは?

Auth0は、Auth0社が提供するクラウドサービスやアプリを利用する際の認証プラットフォームサービスを提供するIDaaS(Identity as a Service)の1つです。IDaaSは、自社で運用・管理を行っていたオンプレミスでの社員のID/パスワード管理をクラウド上で実現するサービスです。

オンプレミスとは異なり、ユーザーが使用したいときに使用したい分だけサービスを利用できるので、コストカットができます。また、インターネット上にネットワーク接続ができる環境にいれば、どの場所にいてもサービスを利用することが可能です。つまり、場所を問わずに働くことができます。

近年はテレワークの導入に伴い、在宅勤務やテレワークなど自宅やサテライトオフィス、カフェなど、オフィス以外で働く人が増えてきました。また、営業マンやデザイナー、プログラマーといった職種に就く方々は、外出先から社内ネットワークにログインする機会も頻繁にあります。従来よりも社外からアクセスする機会が増加するのに伴い、クラウドサービスを利用する企業が増えました。

クラウドサービスを利用することで、コスト面や運用面などで多くのメリットが期待できます。また、懸念点であったセキュリティ面に関してもベンダーの努力やセキュリティツールの開発で、「オンプレミスで情報資産を管理するよりも、現在ではクラウド上に管理する方が安全」との声も増えてきました。

Auth0は世界中で高い評価を受ける認証サービスであり、世界175か国で75,000以上の企業が導入をしています。日本の企業ではNTTドコモ、パーソルキャリア、Mazdaなど様々業界の企業が導入済みです。

IDaaSを利用するメリット

特徴導入効果
内容
  • 使用したいときに使用できる
  • 自社でネットインフラ環境を整備する必要はない
  • アクシデントやトラブルはベンダーが対応
  • ベンダーが運用や管理を行う
  • 働く場所は問わない
  • コストカット
  • 管理者の業務負担軽減
  • 効率的な運用
  • 多様な働き方の実現

Auth0の基本的な4つの機能とは?

シングルサインオン、ユニバーサルログイン、多要素認証(MFA)、異常検出(Anomaly Detection)機能の特徴を紹介します。

シングルサインオン

シングルサインオンとはクラウドサービスやアプリにワンクリックでログインを可能にする機能です。 業務上利用頻度の高いGSuiteやOffice365などのサービスをスムーズに利用可能です。 複数のパスワード管理をしなくて済むので、業務上のストレス削減や業務効率性が上がります。

ユニバーサルログイン

中央認証サーバーを活用してのユーザー認証を実行します。ログインフローの変更、ページの高速読み込み、ログイン時でのデザイン一新などの機能があります。様々なアプリケーション間を自由に高速で移動できるだけでなく、複数の多要素認証を組み合わせることで、第3者の不正アクセスのリスク軽減を実現します。

多要素認証

Google AuthenticatorやDuoの活用で多要素認証を迅速に実現します。ID/パスワード入力だけでなく、スマートフォンのSMSを使用したワンタイムパスワードの活用やユーザーの生体機能を組み合わせることで、精度の高い本人認証を実現します。

多要素認証の種類

異常検出機能

管理画面上でクリック操作を行うだけで、信頼性の低いIPアドレスからのアクセスや流出・盗難されたパスワードからのアクセスをブロック可能です。情報資産を守るためのセキュリティ対策の重要性は、年々高まっています。トレンドマイクロ社の調査では、2014年~2018年にかけて4年連続で日本企業の情報漏洩による被害総額は2億円以上を記録しています。

今や各企業が抱える情報資産が企業にとって最も価値のある資産だと言っても過言ではありません。簡単に情報が入るインターネット社会において、情報は多額のお金を生み出す取引の対象です。他社に真似できない独自性の強い技術やサービスを持つ企業は、市場での絶対的な優位を確立することが可能になり、莫大な経済的利益とユーザーからの支持を集めます。

独自性が強い技術データや大企業との太いパイプを持つ企業の顧客情報は、闇取引で売却すれば高額な金銭的見返りが期待できるため、攻撃者にとっては常にターゲット対象となる存在です。ただし、大企業は資金や人材を積極的にセキュリティ分野に投入して、情報資産を守る仕組みを強化しています。

攻撃者にとっては正面突破で大企業の情報資産を盗むのは難しい状況となっているため、セキュリティ対策の甘い中小企業を狙ったサプライチェーン攻撃が増加しています。大企業に比べてセキュリティ対策や人員配置を行う余裕のない中小企業を起点にして、ターゲット企業の情報資産を狙うのが目的です。

自社のセキュリティ対策が不十分で取引先の情報流出が起きた場合は、莫大な経済的利益の損失と社会的信用を失います。中小企業の被害も増えているので、セキュリティ対策が不十分な企業はセキュリティ環境の整備を考えましょう。

想定されるリスク機密情報流出後の影響
内容
  • 莫大な経済的利益の損失
  • 顧客や仕入れ先からの社会的信用の損失
  • 取引量の低下
  • ブランドイメージの失墜
  • 社員の流出

Auth0の特徴的な2つの機能とは?

ルール、ログ管理と分析の紹介を致します。

ルール

管理画面上で設定することで、異常検知機能の閲覧やユーザー属性の追加、ユーザーログイン後の追加処理など、様々な機能を追加で実行できる機能です。 ある程度テンプレートがルール上の画面には用意されていますが、企業独自のカスタマイズを行うことでユーザービリティが向上します。 また、ルールにおける企業独自のカスタマイズやデータベースとの連携は、JavaScriptまたはC#を使用することで実現できます。

ログ管理と分析

ユーザーがログインしたクラウドサービスやアプリ上での行動を監視できます。個々の動きを監視することで、情報漏洩につながる不正行動の検知や社員になりすました第3者の不正アクセスを検知できます。特に内部漏洩は対策が立てづらく、企業にとっては毎年脅威となっています。

現在、在宅勤務やテレワークの導入が増えたことで、オフィスの出勤がデフォルトだった時に比べると監視の目が無くなり、自由度の高い環境で仕事をする人が増えています。 セキュリティ意識が低い社員だけでなく、給料やポジション、人間関係など、様々な理由で企業に不満を持つ社員が金銭的見返りや個人的復讐のために、機密情報を流出させても不思議ではありません。

不正行動を素早く検知し、阻止するためにもユーザー監視は重要です。また、Auth0はサードパーティアプリケーションへのインタフェース機能も備えており、様々なサービスとの連携が可能です。

評判・口コミから見るAuth0の4つのメリット

カスタマイズ性の高さ、ユーザビリティが高い、セキュリティレベルが高いなどの声が挙がりました。

カスタマイズ性が高い

ルール機能を有効に活用することで、業務効率性の向上や効率的な運用が可能になりました。JavaScriptまたはC#を活用することで、自社に必要な独自のルールやサービスとの連携が管理画面上で操作できます。

自社にとって使いやすい形にできるのは、非常にありがたいです。また、テンプレートも多数用意されているので、カスタマイズが必要なければそのまま使うこともできます。

ユーザビリティが高い

管理画面はシンプルで見やすいデザインとなっているだけでなく、操作もチェックボックスでの選択が大部分であるため簡単です。また、わからないことがあったとしても、YouTubeでの動画配信や無料ビデオの活用で操作方法や知識について学ぶことができます。セキュリティ業務に就いた経験が浅かったとしても、勉強しながら業務をこなせるので人材育成の面でもメリットが望めます。

ユーザーの行動を可視化

ログ機能の活用でユーザー行動が可視化できるので、個々の行動を必要以上に気にする必要が無くなりました。画面も見やすく、何か異常や不正があればすぐにわかるような状態になっており、導入前と比べると他の業務に避ける時間が増えました。内部不正の抑止力や業務上必要性の低いWebサイト閲覧の減少にもつながっており、導入して良かったです。

セキュリティレベルも高い

データのやりとりは常に暗号化されており、パスワードもハッシュ関数に変換されるため、第3者への流出や解読される心配はほとんどありません。また、ログイン情報をAuth0上に必要最小限に留められる他、メールアドレスのログイン保持をさせないこともできるなど、第3者への不正アクセス対策が充実しています。

機密情報の扱いは非常に企業全体で敏感になっているため、情報資産を守る仕組みが強固になると安心感を持って仕事に打ち込めます。

評判・口コミから見るAuth0のデメリット

レポートや分析機能の充実の要望とセキュリティ業務の経験と知識が豊富な社員が必要との声が挙がりました。これから本格的にIDaaSの利用を始める企業にとっては、セキュリティ業務に就いて浅い社員ばかりだと満足に使いこなせない可能性があります。

レポートや分析機能を充実して欲しい

ユーザーがどんなアプリやクラウドサービスを使っていたか確認はできるものの、もっと詳細な分析データやレポートが出してもらいたいです。別ベンダーへの分析プラットフォーム取得方法を提供しているのでそれ自体はありがたいのですが、Auth0内でレポート機能を充実してもらえるとサードパーティーに依頼する必要が無くなります。

他の機能は便利な機能も多いので、レポート機能が改善されるともっと多くのユーザーが利用すると思います。

セキュリティ知識に長けた人材が必要

ルール機能やユーザー状況可視化、学べるための環境作りと良い点もたくさんありますが、セキュリティ知識や業務経験が豊富な社員がいないと満足に使いこなせません。自社にとって使いやすいカスタマイズの判断や必要なサービスとの連携の見極めなど、業務経験が浅い人材にとっては荷が重いからです。

ただし、ルールにはテンプレートも用意されていますし、YouTubeの動画配信で知識向上や事例研究を行うための環境は揃っています。ベテラン社員と新人社員を組み合わせて業務や人材育成を進めていくには、便利かなと思いました。

Auth0のメリット・デメリットまとめ

Auth0のメリット・デメリットをまとめました。 メリットはカスタマイズ性やセキュリティレベルの高さ、デメリットはレポート機能などの改善点が挙がりました。

内容効果
メリット
  • カスタマイズ性が高い
  • ユーザビリティが高い
  • ユーザー行動の可視化
  • 知識を学べるツールを搭載
  • セキュリティレベルの確保
  • 業務効率の向上
  • ユーザー満足度の向上
  • 情報漏洩対策
  • 情報資産を守る仕組みの強化
  • 人材育成にも活用可能
デメリット
  • レポート機能や分析機能の不足
  • 業務経験が豊富な社員が必要
  • 初めてIDaaSを導入する企業にはハードルが高い
  • 企業によっては望んでいる効果が得られない
  • 業務経験が浅い社員ばかりだと使いこなせない

Auth0が最近発表したBot Detectionとは?

社員のID/パスワードを不正取得し、情報資産の盗取や企業システムのシステムダウンを狙うパスワードリスト型攻撃の脅威を最大85%削減できるという機能です。近年のパスワードリスト型攻撃は特定の指令の下、攻撃者の指示に従って対象のPCにサイバー攻撃を仕掛けたり、不正操作を行ったりするボットと組み合わせることが増えているため、脅威が増しています。

Bot Detectionの様々な機能によって、ボットの攻撃の識別と阻止を行います。

主な機能

  • 不審な行動をリスク信号の評価から識別
  • 内部不正を働くユーザーをIPアドレスから識別
  • CAPTCHAの活用でボット攻撃を阻止

Auth0の今後は?

Auth0社は2020年5月にNTTデータと業務提携を結びました。NTTデータは様々な業界の企業にITサービスの開発や提供、コンサルティングなどを行っています。幅広い業界と取引があり、提携を結ぶことで今後のAuth0の日本市場でのシェア拡大に期待が可能です。

また、日々進化するIT技術を活用して人々の生活や業務効率を向上させるDX(デジタルトランスフォーメーション)を日本企業全体に推進する役割も期待されています。既存システムの老朽化や働き方改革を実現するための環境整備を担うセキュリティソリューションとして、今後利用が増えていくでしょう。