近年、オンラインサービスの利便性が向上する一方で、サイバー攻撃をはじめとする不正アクセスなどの件数も比例して増加しています。そんな中で社内のセキュリティ対策に困っているシステム担当者も多いのではないでしょうか。
この記事では、今現在セキュリティを強化するために注目を集めている「MFA(多要素認証)」がどのようなものなのか、その概要に加え、MFA 認証を導入運用するメリットを詳しく解説いたします。システム担当者はぜひ参考にしてください。
MFA 認証の基礎知識
ここでは、MFA 認証(多要素認証)の基礎知識とともに概要を解説します。
MFA と聞くと難しく感じるかもしれませんが、普段から銀行 ATM でキャッシュカード(所持情報)と暗証番号(知識情報)で MFA 認証を使っているので、当てはめて考えると理解しやすいかもしれません。
MFA 認証とは
MFA 認証とは、インターネット上のメールサービスに SNS、ショッピングサイトや金融機関などのオンラインサービスにログインする際、ユーザーが本人であることを証明するために複数の要素によって本人確認をおこなう認証行為のことを指しています。
これら2つ以上の検証要素を組み込むことで、サイバー攻撃が成功する可能性を小さくできます。
MFA 認証の仕組み
MFA 認証は、大きく3つの「要素」に分かれています。
MFA 認証の3要素
- 知識情報(知っているもの)
- 所持情報(持っているもの)
- 生体情報(その人の体の一部)
異なる要素の情報から本人であることを証明するため、MFA 認証では1つの認証方式を用いる場合(単要素認証)に比べて、本人確認を正確に行うことが可能です。
MFA 認証の重要性
MFA 認証は、フィッシングやソーシャルエンジニアリングが主要なサイバー攻撃手法になったときに導入され始めました。悪意あるリンクが貼られ、認証情報(知識情報)を要求するフィッシングメールやキーロガーは、企業や個人にとって深刻な問題です。
そのため、「知識情報」に加えスマートフォンの認証アプリ等「所持情報」を使った複数の要素を利用して本人を正確に認証できる MFA は、さまざまなサイバー攻撃から個人情報などを守るための方法として求められているのです。
2段階認証との違い
2段階認証は第2パスワードのように知識情報&知識情報といった同一の認証要素を2回経て認証を行うものも含まれます。その場合、フィッシング攻撃などで盗まれると容易に攻撃者のログインを許してしまいます。そのため、複数の異なる認証要素を求める MFA 認証とは定義が異なります。
言い換えると、2段階認証を厳格化したのが MFA 認証というように考えることができるのです。
MFA は認証3要素のうち2つ以上(3つの場合もある)の認証要素を使う認証方式のことで、2要素認証は認証3要素のうち2つのみを用いた認証方式のことを指します。
MFA の3つの認証要素
ここでは、MFA における3つの認証要素を詳しく解説します。
知識情報(知っているもの)
知的認証要素とは、秘密の質問や合言葉などのような「ユーザーだけがわかる情報」を活用する認証要素のことを指します。
主な知的認証要素
- パスワード
- 属性情報
- 秘密の質問
個人しか知り得ない情報であるため、強固なセキュリティを図ることができますが、盗まれると誰でもどこからでも使えてしまうリスクがあります。
所持情報(持っているもの)
所有認証要素は、ユーザー個人が所有している物理デバイスを活用する認証要素のことを指します。
所有認証を行う主な物理デバイス
- スマートフォン
- IC チップ搭載カード
- 物理トークン(USB メモリ)
- マトリックスカード
- 会社が配布した PC
知的認証要素と同じように、個人しか持ち得ないデバイスであれば強固なセキュリティを確保することが可能です。
生体情報(その人の体の一部)
生体認証要素は、ユーザー個々人の身体的特徴を活用する認証要素のことを指します。
主な生体認証要素
- 指紋
- 静脈
- 顔
- 声
- 虹彩
個人そのものがセキュリティトークンとして機能するため、個人を表す情報としてはこれ以上のものは無いでしょう。しかし、誤認識の可能性があるため、企業においては他の要素と併せて使うことが多いです。
MFA 認証技術の種類
ここでは、MFA 認証に用いられている技術の種類を解説します。一般的には知識情報とこれらを組み合わせて MFA 認証を実現します。
ハードウェア認証装置
ハードウェア認証装置は、USB メモリなどの外部メディアや、デバイストークンによって認証を行う方式のことを指します。
主なハードウェア認証装置
- USB メモリー
- スマートフォン
物理キーを使うことで、単一デバイス内でも複数のアプリケーションを保護することができるので、強固なセキュリティーが必要な銀行や、アプリケーションプロバイダーなどのセキュリティに主に使用されています。
アプリケーション
一般的な方法としては、各個人のデバイス内に専用の認証アプリケーションを配布し、本人確認を行う方式が挙げられます。
この場合、利用者はインストールしたアプリケーションを起動し、ランダムに生成された認証コードを入力すると認証が完了します。
バイオメトリクス技術
バイオメトリクス技術は、人間の身体的または行動的特徴を利用して個人認証する技術です。
主なバイオメトリクス技術の一例
- 指紋
- 虹彩
- 静脈
- 顔
- 声
また、生体的な情報以外にも、筆跡や物理デバイスの操作など、個人の癖や習性を認証に使用することもバイオメトリクス技術の一つです。
MFA 認証を導入するメリット
ここでは、MFA 認証を社内で導入するメリットを解説します。
セキュリティ向上
近年増加しているセキュリティ被害には、安易なパスワードを設定したために起きたハッキング被害も含まれています。また、企業が利用するクラウドサービスの巧妙なフィッシングサイトを使って気づかぬうちに認証情報が漏れているということもあり得ます。
そのため、これからのセキュリティ対策には、仮に認証情報を盗まれてもすぐには情報漏えいせずに漏えいに気づける管理方式が必要不可欠だとされているのです。銀行 ATM に例えると、暗証番号を書いたメモを落としてもキャッシュカードが手元にあれば被害がある前に変更できます。情報システムでは、不審なログイン失敗の痕跡などからろうえいに気づくこともできます。
クラウドサービスの不安解消
ここ数年で多くのクラウドサービスが国内にも普及しました。加えて、今までオンプレミスで稼働していたような業務システムについても、クラウドサービスへの移行が進められています。
しかし、社内システムをクラウド移行することは誰でも認証基盤に対してアクセスできる可能性があります。そのため、MFA 認証を導入して強固なセキュリティを構築すれば、インターネットを介してやり取りすることの不安解消にもつながります。その結果、クラウドサービスの使用で業務を安全に遂行できるようになるでしょう。
コンプライアンス遵守
国や業界によっては、MFA 認証を前提とした法規制やコンプライアンス、ガイドラインがあります。MFA 認証を導入すればそれを遵守することが可能です。
企業によっては、海外に支社があることはもちろん、海外との取引を主にしている現場もあるでしょう。その場合は、日本の法律だけではなく、海外の法律にも対応した業務運営を行っていかなければなりません。
MFA 認証であれば、そのような場合でもセキュリティポリシーを高く維持することで、グローバルで活動する企業は各種コンプライアンス遵守に対応することが可能です。
MFA 認証はユーザー負担が大きいか?
MFA 認証はユーザーに手間が増えるため導入を躊躇することがあるかもしれません。サービスによって多少の差異はありますが、毎回 MFA 認証を要求しない方法があります。
状態や AI による再認証
状態とはアクセス元の IP アドレス(場所)、アクセス元の端末情報やブラウザ情報を認証システム側で記録しておき、通常と異なる場合に再認証を求めるものです。再認証ルールは MFA 認証を提供する側で予め設定されています(管理者での設定は不要)。AI で異常検知ルールを持っておりリスクスコアを設定するような MFA 認証サービスもあります。
期間による再認証要求
MFA 認証で一度認証されると設定した期間2要素目の認証を求めないような機能があります。これば、状態や AI による再認証と組み合わせてリスクがあると判断した場合に再度 MFA 認証の要求をすることができます。
MFA 認証があれば安全か?
MFA 認証は導入の容易さと比べてセキュリティ効果が高い対策です。しかし、万能なセキュリティ対策はありません。攻撃が複雑になるため被害は多くないですが MFA 認証をかわす攻撃もあります。そのため、MFA 認証も他のセキュリティ対策と組み合わせることが重要です。
認証情報を盗む攻撃
Web システムの MFA 認証では、ユーザーが認証済みの場合、認証情報をブラウザの Cookie に保存して、その Cookie 情報を元に毎回再認証をせずにアクセスを許可している場合があります。こうしたシステムの場合、攻撃者はその Cookie 自体を盗むことで認証自体を回避してシステムにアクセスしてしまいます。
MFA 認証を回避する脆弱性
OS やアプリケーションの脆弱性によっては MFA 認証や認証自体をバイパスできてしまう危険な脆弱性もあります。そのため、これまで同様脅威情報の収集を行い、多層セキュリティの実施、そして侵害に早期に気づく仕組みというのは引き続き求められることになります。
まとめ
MFA 認証は、クラウド化が進む現代の中では、もはや必須の技術と言っても過言ではありません。この MFA 認証はクラウドのセキュリティ対策の主要なフレームワークであるゼロトラストセキュリティにおいても重要な要素となっています。
もし、自社内のセキュリティ対策にお困りの場合は、SBテクノロジーにお任せください。弊社が提供する「Microsoft 365 E5 Security」では、Active Directory 認証基盤の検知の強化をはじめ、侵入を前提として被害を最小限に留める設計のもとにセキュリティ対策を行うことが可能です。
ゼロトラストについてさらに詳しく知りたい場合は、次の記事を参考にしてください。