多要素認証導入ガイド

コンピューターやスマートデバイスが手軽な価格で入手できるようになった昨今、スマートフォン、ノートPC、タブレット、ウェアラブルマイクロデバイスなど、さまざまな端末を個人で所有できます。ポータビリティは、仕事とプライベートな生活の両面で求められます。エンタープライズサーバをクラウドに移行する傾向もあり、安全なユーザー認証はますます不可欠に、そして難しくなっています。そこで登場したのが多要素認証です。ここでは、多要素認証の概要と導入方法について説明します。

多要素認証とは

多要素認証の目的は、知っていること（パスワード）、持っているもの（セキュリティトークン）、ユーザー自身（生体照合）という複数の異なる認証情報で多層の防御を作成することにあります。

連続するそれぞれの層が他の層の弱点をカバーするため、ユーザーの認証に複数要素の提示を求めることで、コンピューター、モバイルデバイス、物理的な場所、ネットワーク、データベースへの未承認者のアクセスを困難にすることができます。

実際にMicrosoftによれば、多要素認証により、自動化された攻撃の99.9%はブロックできるといわれています。特に金融業界では多要素認証は一般的になっており、技術向上によって網膜と指紋のスキャンや音声認識、顔認識までもが用いられるようになっています。

多要素認証はセキュリティ上のメリットをどのようにもたらすか

100%正確でハッキングされない単一の認証方法を開発できるのであれば、多要素認証は必要ありません。しかし、パスワードは盗み見られ、盗聴され、推測され、または迂回される心配があり、トークンは紛失や盗難の危険があり、生体認識システムは一卵性双生児や写真によって悪用されてしまうかもしれません。

そのために、アカウントセキュリティには多要素認証が重要になります。多要素認証を使ったセキュリティの概念は、1つの認証要素に弱点（たとえば、盗まれたパスワードやPIN）があったとしても、第2、第3の要素がそれを補い、アクセスのための適切な承認を提供するというものです。

モバイルデバイスで利用できる多要素認証オプション

ワンタイムパスワード
過去にセキュリティトークンが機能したのと同様の方法でワンタイムパスワードを生成するアプリケーションがあります。

生成されたワンタイムパスワードは、時間ベースのSMSを使ってモバイルデバイスに送信されます。スマートフォンやタブレットを使用する場合、ユーザーはトークンを追跡し続ける必要がなくなり、企業は紛失したトークンの交換、新規従業員のトークンの有効化、退職従業員のトークンの無効化の手間を省くことができます。

生体認証
スマートフォンの主要メーカーは、セキュリティに対する顧客の懸念が増大していることを理解しており、デバイスへのアクセスが承認済みユーザーに限定されるように、生体認証の提供を開始しました。これらの技法は、それぞれに一長一短があります。

クラウドでの多要素認証の実装方法

データ、通信、トレーニング、ストレージ、サーバインフラストラクチャなどがクラウドへと移行する中、IT管理者は、従来のオンプレミスサーバの場所より先へと進むリスクに対応する必要があります。

クラウド内のデータを保護するには、ユーザーアクセスの多要素ランダム認証が欠かせません。Microsoft、Google、Amazon Web Services、Facebook、Twitterなどはいずれも、それぞれのクラウドサービスへのアクセス用に二要素認証を用意しており、一部は多要素認証戦略へと拡張しています。

Microsoft 365の多要素認証

Microsoft 365では、PC、Mac、モバイルデバイス上のアプリケーションへのアクセス時にパスワードが求められます。Microsoft 365の管理ツールは、ユーザーがサインインに使用する16文字のランダムトークンを自動的に発行します。サインインしたユーザーには、その他の認証の設定が求められます。

ユーザーの携帯電話への通話（Call My Mobile Phone）：確認のための電話を受けたユーザーは、電話の#ボタンを押してログインします。
職場の電話への通話（Call My Office Phone）：これは、携帯への電話と同様ですが、デスク電話などの個別回線あてに確認の電話がかけられます。
ユーザーの携帯電話へのテキストコードの送信（Text Code to My Mobile Phone）：Microsoft 365のログインフォームに入力するコードがSMSテキストメッセージでユーザーの携帯電話に送信されます。
アプリからの通知（Notify Me through App）：Microsoftのスマートフォンアプリを使って通知を受信、確認できます。このアプリは、Windows Phone、iPhone、Androidに対応しています。
アプリでのワンタイムコードの表示（Show One-Time Code in App）：通知の受信と同じアプリを使用して、Microsoft 365のログイン画面に入力する6桁のワンタイムコードを受信します。

Microsoft Azure Active Directoryを使ったMicrosoft 365の多要素認証

Microsoft 365 with Microsoft Azure Active Directoryは、エンタープライズレベルのソリューションであり、サインインするユーザーはパスワードを正しく入力した上で、認証のために各自のスマートフォンで通話、テキストメッセージ、またはアプリ通知を認識する必要があります。