コンピューターやスマートデバイスが手軽な価格で入手できるようになった昨今、スマートフォン、ノートPC、タブレット、ウェアラブルマイクロデバイスなど、さまざまな端末を個人で所有できます。ポータビリティは、仕事とプライベートな生活の両面で求められます。エンタープライズサーバをクラウドに移行する傾向もあり、安全なユーザー認証はますます不可欠に、そして難しくなっています。そこで登場したのが多要素認証です。ここでは、多要素認証の概要と導入方法について説明します。

多要素認証とは

多要素認証の目的は、知っていること(パスワード)、持っているもの(セキュリティトークン)、ユーザー自身(生体照合)という複数の異なる認証情報で多層の防御を作成することにあります。

連続するそれぞれの層が他の層の弱点をカバーするため、ユーザーの認証に複数要素の提示を求めることで、コンピューター、モバイルデバイス、物理的な場所、ネットワーク、データベースへの未承認者のアクセスを困難にすることができます。

実際にMicrosoftによれば、多要素認証により、自動化された攻撃の99.9%はブロックできるといわれています。特に金融業界では多要素認証は一般的になっており、技術向上によって網膜と指紋のスキャンや音声認識、顔認識までもが用いられるようになっています。

多要素認証はセキュリティ上のメリットをどのようにもたらすか

100%正確でハッキングされない単一の認証方法を開発できるのであれば、多要素認証は必要ありません。しかし、パスワードは盗み見られ、盗聴され、推測され、または迂回される心配があり、トークンは紛失や盗難の危険があり、生体認識システムは一卵性双生児や写真によって悪用されてしまうかもしれません。

そのために、アカウントセキュリティには多要素認証が重要になります。多要素認証を使ったセキュリティの概念は、1つの認証要素に弱点(たとえば、盗まれたパスワードやPIN)があったとしても、第2、第3の要素がそれを補い、アクセスのための適切な承認を提供するというものです。

モバイルデバイスで利用できる多要素認証オプション

ワンタイムパスワード
過去にセキュリティトークンが機能したのと同様の方法でワンタイムパスワードを生成するアプリケーションがあります。

生成されたワンタイムパスワードは、時間ベースのSMSを使ってモバイルデバイスに送信されます。スマートフォンやタブレットを使用する場合、ユーザーはトークンを追跡し続ける必要がなくなり、企業は紛失したトークンの交換、新規従業員のトークンの有効化、退職従業員のトークンの無効化の手間を省くことができます。

生体認証
スマートフォンの主要メーカーは、セキュリティに対する顧客の懸念が増大していることを理解しており、デバイスへのアクセスが承認済みユーザーに限定されるように、生体認証の提供を開始しました。これらの技法は、それぞれに一長一短があります。

  • 多要素認証導入ガイド

クラウドでの多要素認証の実装方法

データ、通信、トレーニング、ストレージ、サーバインフラストラクチャなどがクラウドへと移行する中、IT管理者は、従来のオンプレミスサーバの場所より先へと進むリスクに対応する必要があります。

クラウド内のデータを保護するには、ユーザーアクセスの多要素ランダム認証が欠かせません。Microsoft、Google、Amazon Web Services、Facebook、Twitterなどはいずれも、それぞれのクラウドサービスへのアクセス用に二要素認証を用意しており、一部は多要素認証戦略へと拡張しています。

Microsoft 365の多要素認証

Microsoft 365では、PC、Mac、モバイルデバイス上のアプリケーションへのアクセス時にパスワードが求められます。Microsoft 365の管理ツールは、ユーザーがサインインに使用する16文字のランダムトークンを自動的に発行します。サインインしたユーザーには、その他の認証の設定が求められます。

  • ユーザーの携帯電話への通話(Call My Mobile Phone):確認のための電話を受けたユーザーは、電話の#ボタンを押してログインします。

  • 職場の電話への通話(Call My Office Phone):これは、携帯への電話と同様ですが、デスク電話などの個別回線あてに確認の電話がかけられます。

  • ユーザーの携帯電話へのテキスト コードの送信(Text Code to My Mobile Phone):Microsoft 365のログインフォームに入力するコードがSMSテキストメッセージでユーザーの携帯電話に送信されます。

  • アプリからの通知(Notify Me through App):Microsoftのスマートフォンアプリを使って通知を受信、確認できます。このアプリは、Windows Phone、iPhone、Androidに対応しています。

  • アプリでのワンタイムコードの表示(Show One-Time Code in App):通知の受信と同じアプリを使用して、Microsoft 365のログイン画面に入力する6桁のワンタイムコードを受信します。

Microsoft Azure Active Directoryを使ったMicrosoft 365の多要素認証

Microsoft 365 with Microsoft Azure Active Directoryは、エンタープライズレベルのソリューションであり、サインインするユーザーはパスワードを正しく入力した上で、認証のために各自のスマートフォンで通話、テキストメッセージ、またはアプリ通知を認識する必要があります。

多要素認証を実装する最良の方法

多要素ツールを使用、サポートするには、保護されたログインが適切に機能するように、IT部門がエンタープライズインフラストラクチャを調整、構成する必要があります。ほとんどのツールには、VPN、SharePointサーバ、Outlook Webアプリ、データベースサーバを保護するための各種ソフトウェアエージェントが用意されています。

従来型のハードウェアベースのオンサイトサーバからクラウドへの移行が進んでいるため、ほとんどの多要素ソリューションベンダーがクラウドとオンプレミスのオプションを用意しています。クラウドで提供されるサポートと管理の柔軟性からオフサイト配備を選択する企業が増えています。目的の配備に関して各製品の微妙な違いを理解できるように、多要素認証製品を慎重に評価することが重要です。

すべてのベンダーがすべてのシナリオに等しく対応できるわけではないため、多くの場合はこれが製品選択の主な要因となります。次に、ビジネス用の多要素認証製品を検討する際に確認すべきいくつかの項目を紹介します。

1. どの程度の量のプライベート情報がネットワークで扱われるか?
ネットワークでプライベート情報がそれほど扱われていない、または重要データのストレージの拡張を計画しているのであれば、既存の認証方法を変える必要はないかもしれません。

2. 製品から生成されるレポートを誰が確認するか?
認証システムに何らかの異常があった場合に、誰がアラートを受信するかを決めることが重要です。一部の製品は、異常が生じるたびにアラートを送信しますが、ほとんどの企業では、不必要なアラートに経営者を巻き込むことは敬遠されます。

3. 配備の拡張性がビジネスに求められるか?
将来のライセンシングコストを検討することが重要です。ほとんどの多要素製品は、何万ものトークンとユーザーの処理に使用されますが、これらの製品は小規模なエンタープライズにも対応できます。

4. パイロットユーザーの初期グループに誰を入れるか?
これは、アプリの保護とユースケースの企業方針を決定づける場合があります。

5. 一部のコンシューマーサービスで利用できる二要素認証ツールを従業員がすでに利用しているか?
利用していない場合は、一般的なクラウドサービスの二要素オプションについて話題を広め、従業員に慣れさせる必要があります。これらのサービスにはすでに多要素認証が組み込まれており、それを試す短時間のトレーニング以外のコストはかかりません。

6. パスワードのリセットは多要素認証環境でどのように扱われるか?
理想的には、リセットまたは復元のいかなるプロセスも、多要素認証プロセス自体と同等以上の強度を持つ必要があります。ユーザーに回答を求める秘密の質問や、認識されたメールアドレスまたは電話番号へのSMSコードの送信などが必要となります。

多要素認証を実装する上での障害

多要素認証を導入するには、高度な計画が必要です。ITインフラストラクチャの異なる部分に異なる方法で適用できるテクノロジーのユースケースが数多く存在します。プロバイダーの選択時には、多要素認証の使用方法について事前に理解しておくことが有用です。 多要素認証ベンダーの選択を始める前に、配備の障害となりうる次の事項について慎重に検討してください。

  • Active Directoryが不正確であてにならない場合、多要素認証ソリューションの導入は困難になります。

  • 現在も主にオンプレミスサーバを利用しているのであれば、Windows Serverに組み込まれているパスワード強化ポリシーを利用するか、少なくともそこから始めることが賢明です。これにより、パスワードの定期的な変更と、より複雑にすることに対するユーザーからの抵抗を評価することができます。

  • 多数の都市に少人数ずつ地理的に分散したスタッフを抱えている企業では、ユーザーのトレーニングや物理的なキーフォブ(ハードウェア認証デバイス)の配布が難しい場合があります。このような場合は、代わりにソフトウェアトークンやソフトウェアアプリの使用を検討しても良いかもしれません。

多要素認証の将来

金融機関やコンシューマーと対面するその他のビジネスでは、多要素認証の活用が主流になりました。LastPassが2019年に実施した調査によれば、調査の対象となった企業の57パーセントが現在多要素認証を利用しており、2020年末には90パーセントの企業が多要素認証を利用するようになると予測されています。

パスワードの安全性が低下し続け、モバイルによるクラウドベースのコンピューティングの普及が拡大する中、企業内のあらゆる場所、特に個人情報が扱われる場面で多要素ツールが使用されるようになってきています。

LastPassの調査では、次のように締めくくられています。「多要素認証の使用を従業員に奨励または義務づけている企業の多くは、脅威の軽減に対して他の企業よりも大幅に先行していると考えられます。サイバーセキュリティでは、基礎的事項の実践が、最も一般的な攻撃の防止に対して最も大きく影響します。多要素認証の利用は、今後ますます幅広い業界へと拡大していくでしょう」。

著者プロフィール
平岩義正(ひらいわ よしまさ)
デジサート・ジャパン合同会社
ジャパンカントリーマネージャー

現在、デジサート・ジャパンのカントリーマネージャーを務め、日本におけるデジサートのプレゼンスおよび市場地位向上の責務を担う。IT業界において22年以上の経験を誇り、日本ベリサイン株式会社時代から20年間におよび当事業を担い、2018年からカントリーマネージャーに就任。日本ベリサインでは、ドメインネームの登録代行事業の立ち上げ、韓国へのSSL事業の拡大など、米国ベリサインの新規事業の日本展開を担当。それ以降は、日本ベリサイン・シマンテック・デジサートにおいてSSL事業の開発、プロダクトマネジメント、マーケティング、テレセールスなどの各部門のマネージャを歴任した。