AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます(4) 意外と簡単に設定できる「Azure 多要素認証」

日本マイクロソフト
セキュリティレスポンスチーム
セキュリティプログラムマネージャー
ゆりか先生(村木由梨香)

「多要素認証」は、セキュリティを語る上で外せない機能となり、フリーメールやオンラインバンキングなど、幅広く利用されるようになっています。

そもそも「認証」は、あるユーザーが本当にそのユーザーであることを証明する手段です。認証方式は「どのような要素をもって本人であると確認するのか」という観点で大きく3つの方式に分けられます。多要素認証は、この複数の方式を併用してそれぞれのデメリットを補い、安全性をより高めます。

Microsoft Azureにおいても、この多要素認証を利用したアカウントの保護が可能です。「本人だけが知っているもの:Something You Know (SYK) 」を要素とする通常のアカウント名とパスワードの認証に加えて、「本人がもっているもの:Something You Have (SYH)」を認証要素とする4つの方式を提供しています。

音声通話:登録されている本人の電話番号に、Azure 多要素認証プロバイダーから電話がかかります。電話に応答することで、本人であると認証します
SMS:登録されている本人の電話番号に、SMS (Short Message Service)通知が行われます。SMSに応答することで本人であると認証します
モバイルアプリ通知:本人のモバイルデバイスにAzure多要素認証アプリをインストールし、登録しておきます。認証時にボタンをタップすることで、本人であると認証します
アプリ確認コード:対応するアプリケーション(Outlookなど)を、あらかじめインストールし、登録しておきます。認証時、アプリにパスワードが表示されて、パスワードを入力することで本人であると認証します

あまり知られていませんが、Azure 管理者アカウントを対象とした二要素認証は、サブスクリプション契約の追加費用なしで利用できます。有償のAzure AD Premium(もしくはEnterprise Mobility Suite などの契約)を利用している場合は、より細かい制御も可能です。

サブスクリプション契約の機能として多要素認証を有効にする場合は、Microsoft Azure多要素認証を開いて有効化するだけで利用できます。

一方でAzure AD Premiumを利用している場合は、多要素認証管理から細かい設定が可能です。

二要素認証の導入は安全性と利便性のバランスを保つことがポイント

多要素認証は安全性を高め、不正ログオンによる被害リスクを大幅に軽減できます。一方で、多要素認証にかかる管理負担の増大や利用ユーザーにおける追加の手間など、運用コストが増える側面もあります。多要素認証を導入して運用を続けるためには、安全性と利便性のバランスが重要です。

多要素認証を導入するアカウントを絞る

そこで運用負担を軽減する策として、「すべてのアカウントに多要素認証を導入せず、アカウントが不正利用された場合の被害が、多要素認証を利用するコストよりも大きいアカウントに対してのみ導入する」というものがあります。

前回説明したように、サービス管理者や共同管理者アカウントは、サブスクリプション内のリソースをすべて管理する非常に強力な権限を持ちます。

特にサービス管理者は、サブスクリプション付属機能を利用すれば追加費用なしで多要素認証が使えるため、費用対効果が非常に高い対策といえます。一方でAzure AD Premiumの場合は、重要なサービスを運用しているリソースの管理者などに導入することをおすすめしています。

多要素認証の制限解除を活用する

多要素認証は、Azureを利用するたびに認証の手間が増え、ユーザーの利便性が落ちる課題があります。この利便性を損なわないために、Azureの多要素認証では特定条件下で認証が省略できます。その一例では、多要素認証を行った信頼済みのデバイスを登録すれば、最大60日間は再認証を行わないという設定が可能です。

また、Azure AD PremiumではIP アドレスのホワイトリストが作成できるため、ホワイトリストにある範囲のIPアドレスからAzureを利用する場合は、多要素認証が省略できます。組織のIPアドレスをホワイトリストに登録しておくことで、社内環境からAzureを利用する場合は多要素認証を省略し、社外にいる場合のみ、セキュリティを高めるために多要素認証を利用する、といった運用が可能です。