近年では、クラウドサービスや SNS など、Web サービスの利用が増えるにつれ、悪意のある第三者による不正アクセスや情報漏えいなどの被害も増えています。そのような状況の中、有効な方法とされているのが「MFA 認証(多要素認証)」です。
MFA 認証とは、Web サービスなどにログインする際に、複数の異なる認証要件を要求することにより、セキュリティレベルを高める方法を指します。本記事では、Microsoft Azure の認証サービスであるクラウド型 Azure AD の MFA 認証について解説します。
Azure AD とは?
ここでは、Azure AD の概要と MFA 認証の必要性について説明します。
Azure AD の概要
Azure AD はクラウド上にある Active Directory ですが、オンプレミスの Active Directory(以下オンプレ AD)とは根本的に異なります。オンプレ AD はユーザーの ID/パスワードを管理し、端末のポリシー制御が行える認証サーバーです。オンプレミスのアプリケーションと連携して Kerbros 認証を利用してシングルサインオン(SSO)を実現します。一方、Azure AD はクラウドのアプリケーションに対して SAML や OAuth を使って SSO を提供する仕組みです。
オンプレ AD と Azure AD を連携することで、クラウドサービスであってもオンプレと SSO を統合することができます。これによってユーザーは社内へログインするだけでクラウドサービスも追加ログインなしで利用できるようになります。
Azure AD の認証にパスワード以外のセキュリティが必要な理由
Azure AD に限らず、クラウドサービスの認証はオンプレミスのシステムとは異なり、誰でも認証画面に到達できてしまうため、サイバー攻撃者にとって都合がいい仕組みです。オンプレ環境であればファイアウォールなどの境界があり、仮にサイバー攻撃者が何らかの方法で認証情報を入手してもネットワーク内に侵入しないと組織内へ侵入できなかったものが、クラウド環境だとフィッシングやダークウェブで ID とパスワード(以下認証情報)を入手してしまえば、組織にログインされてしまうということです。そのため、認証に対してセキュリティの強化が必要であり、そのための MFA 認証を提供しています。
多要素認証(MFA)とは
ここでは、多要素認証とはどのようなものかということを簡単に解説します。
複数の認証要素を使った認証方式
MFA 認証を一言で言うと、知識、所持、生体の3つの認証要素のうち2つ以上を使った認証のことです。要素とは”もの”のことです。知識要素は”知っているもの”、所持要素は”持っているもの”、生体要素は”その人の体の一部(として持っているもの)”を指します。このうち2つ以上使う認証を MFA 認証といいます。
銀行 ATM のキャッシュカード(持っているもの)と暗証番号(知っているもの)と考えるとイメージが沸きやすいでしょう。
マイクロソフト社によれば、多要素認証を使えば不正ログインのリスクを最大99.9%低下させることができると発表しています。
Azure AD で利用可能な MFA 認証要素
Azure AD ではパスワード認証に加えて、電話/SMS/アプリによる通知/ハードウェアトークンのコードが利用できます。アプリによる通知は Microsoft Authenticator、スマートフォンなどデバイスによっては生体認証を使うこともできます。
ここでは、Microsoft Azure で用いられる、主な多要素認証の方法について解説します。
Windows Hello for Business
「Windows Hello for business」は、パスワードを PIN や生体認証に置き換えてサインインする機能です。認証は、デバイスに関連付けられて、生体認証または PIN を使用する、新しい種類のユーザー資格情報で構成されます。会社貸与のPC(持っているもの)+PIN(知っているもの)の2要素での認証になります。PKI 基盤との連携や SSO にも対応可能です。
Microsoft Authenticator
「Microsoft Authenticator」は、Android/iOS 用の無料アプリです。アカウントを紐づけることで、アプリから PIN や生体認証を用いてサインインできます。アプリを持っていることを所持要素として Authenticator をパスワードレスにすることもできます。
また、モバイル デバイスに問題が発生した場合や PIN を忘れた場合は、SMS など他の要素でアカウントにサインインすることも可能です。
FIDO2 セキュリティキー
「FIDO2」は、USB デバイスや Bluetooth、NFC などへセキュリティキーを組み込み、それを認証要素として利用する認証方法です。パスワードレスで語られることが多いですが、パスワードと組み合わせて MFA 認証として利用することができます。
MFA 認証に電話を使用したくない組織や使用できない従業員がいる場合に最適なオプションになります。
SMS/音声
「SMS/音声」は、電話番号を入力することで、テキストメッセージや音声にて認証コードを受け取る認証方法です。テキストメッセージを使用した直接認証では、ユーザーが SMS ベースの認証を構成して有効にできます。
また、ユーザーは、Azure AD Multi-Factor Authentication またはセルフサービスパスワードリセット(SSPR)で使用される認証のセカンダリ形式として、携帯電話または会社の電話を使用して自身を確認することも可能です。
パスワード
パスワード認証は、従来から長く用いられている、ID/パスワードによる認証方法です。Azure には、パスワードの複雑さ、長さ、有効期間などの設定を定義するパスワードポリシーがあり、 また、ユーザー名に使用できる文字と長さを定義するポリシーもあります。
パスワードがポリシーの要件を満たしていない場合、ユーザーに再試行するように求めることも可能です。
条件付きアクセスと Identity Protection
MFA 認証は認証時に本人確認をする仕組みですが、仮に MFA 認証をサイバー攻撃者にバイパスされてしまったらどうでしょうか?仮に、侵入されていなくても認証情報を盗まれていることに気づくことは重要でしょう。MFA 認証と連携する Azure AD には条件付きアクセス(Contitional Access)と Identity Protection というセキュリティ機能があるのでご紹介します。
条件付きアクセス
Azure AD には条件付きアクセスという Azure AD への認証時に、条件(割り当て)に該当するユーザーを許可 or 拒否(追加アクションを要求)する事ができる機能があります。
条件は以下があります。
- ユーザーグループ
- 宛先アプリケーション
- 条件(IP アドレス範囲、場所、Intune 準拠、デバイスの種類とブラウザ、クライアントアプリ、Identity Protection のリスクスコア)
設定した条件に合致した場合にブロックするかパスワード変更、MFA 認証を要求できます。
例えば、デフォルトで同一デバイスの同一 IP からは3日間再認証は不要、ある日海外 IP アドレスからのアクセス条件に合致した場合は即座に MFA 認証を要求する(海外出張などあり得るため、直ちにブロックはしない)、といった使い方が考えられます。ポリシーは組織にあわせて作り分けられます。
Azure AD Identity Protection
Azure AD Identity Protection を利用するには有償の Azure AD Premium Plan2 が必要です。この機能は認証時にリスクのあるサインインかをチェックして知らせてくれます。リスクのあるサインインとは、例えば、匿名の IP アドレスからのアクセスや、離れた場所から短時間のうちにサインインが行われる、など複数のルールと機械学習に基づいたセキュリティ基準に違反したサインインのことです。
このリスク度を条件付きアクセスの条件に登録してアクションを要求することができるため、たとえ認証情報が漏えいしていても認証試行されたときにセキュリティ管理者は気づくことができます。
この Identity Protection は条件付きアクセスの条件にすることができます。不審なサインインがあったときに MFA 認証を要求したり、ブロックするポリシーが作成できます。
まとめ
この記事では、MFA 認証を使っての認証セキュリティを強化させるための方法について解説しました。Azure AD を用いれば、難しいと考えられがちな多要素認証を比較的容易に導入できます。非常に強力なセキュリティ対策ですので、ぜひ記事を参考に多要素認証を利用した強固なセキュリティを構築してください。
もしセキュリティ構築にお悩みであれば、SBテクノロジーにお任せください。弊社が提供している Microsoft 365 E5 Security では、MFA 認証を中心としたゼロトラストセキュリティを実現し、24時間365日セキュリティ監視をするマネージドセキュリティサービスも提供しています。
セキュリティ構築にお困りの場合は、是非お問い合わせください。
