この記事は機械翻訳されました。
安全なアプリケーションへのアクセスを許可する前にユーザーを認証することは、組織のデジタル資産を保護するために必要な重要なセキュリティの手続きです。ユーザー名とパスワードの組み合わせは、ユーザーを認証し、アイデンティティを証明するために長い間使用されてきた従来のメカニズムですが、パスワードのセキュリティには本質的な欠陥があります。複数のアプリケーションで同じパスワードを使い回したり、単純で推測可能なパスワードを選んだりするなど、ずさんなパスワード管理方法は、業務を危険にさらします。この脅威に対応するには、高度な認証手段を用いることが有効です。
二要素認証(2FA)とは、ユーザー名とパスワードだけでなく追加の認証要素を提出することをユーザーに求める、追加のセキュリティレイヤーです。この第2の認証要素として、一般的には、ユーザーが持っているもの(スマートカードまたはハードウェアトークン)、あるいはユーザーに固有のもの(指紋や虹彩のスキャン)が使用されます。このように、認証を多層化して徹底的に防御することで、単一のパスワード認証ソリューションで問題となる自動化された攻撃のリスクを軽減できます。
現在のところ、システムを保護するための2FAの使用は、すべての業界で必須となっているわけではありません。しかし、金融、医療、防衛、法執行機関、行政などの分野では、特定のパスワード制限を遵守する措置として2FAが必須になっています。
金融
金融業界では、以前から2FAテクノロジーが使われています。実際に、ATMでは2FAが使用され、暗証番号(知っているもの)とATMカード(持っているもの)の両方がないと銀行口座にアクセスできません。オンラインに移行する金融サービスが増える中、金融機関は顧客と顧客の資産を保護するために、このような追加のセキュリティレイヤーを必要としています。
カード決済情報を処理・保存する組織も、PCI-DSSに準拠する必要があります。そのためにさらに一歩進んで、3つ以上の認証要素を用意してセキュリティを確保しなければならないこともあります。PCI-DSSバージョン3.2以降、これらの組織は、カード保持者の情報にアクセスするすべてのユーザーについて、ベンダーが提供するデフォルトの資格情報と指定アカウントを変更する必要があります。
金融業界での2FAの実践例としては、2002年のSarbanes-Oxley(SOX)法があります。SOX法では、2FAがコンプライアンスの要件であるとは明示されていませんが、財務情報に対する厳格な内部統制が求められています。同様に、GLBA(Gramm-Leach-Bliley Act)でも、パスワードポリシーは定められていませんが、企業には顧客の財務情報を保護するための適切な手段を構築し、それに従うことが求められます。単一パスワードの認証ソリューションは、SOX法で要求される厳格な内部統制や、GLBAで要求されるセーフガードに準拠するには、安全性が不十分です。これらのポリシーには明示されていませんが、2FAを導入するのが賢明です。さまざまなデータ侵害の後、10億個以上のテキストパスワードがオンラインで入手可能になっています。どの組織も、データ侵害と全く無縁だと考えるべきではありませんが、2FA、できれば多要素認証(MFA)を使用することで、リスクを軽減できます。
ヘルスケア
HIPAA(Health Insurance Portability and Accountability Act)は、個人の医療情報のプライバシーを保護するために制定された法律です。HIPAAにより、医療機関はパスワードのセキュリティを強化するための対策を講じる必要があります。これは、2FAの導入を指示するものではありませんが、パスワードのセキュリティ対策に取り組むことを組織に要求しています。金融業界と同様に、2FAによって、医療機関は高水準のパスワードセキュリティを実現し、業界の規制に準拠していることを保証できます。
防衛
米軍は、Common Access Card(CAC)を介して2FAを使用しています。CACは、現役の制服組、選抜予備役、国防総省の文官、および資格のある請負業者に発行されます。このカードは、建物や管理された空間への物理的なアクセスを軍のユーザーに提供するとともに、国防総省のコンピュータネットワークやシステムへのアクセスを提供します。
法執行機関
FBIの刑事司法情報サービス(CJIS)部門を利用する米国の法執行機関は、全米犯罪情報センター(NCIC)にアクセスするために多要素認証(MFA)を必要とします。米国の法執行官がモバイル端末、ハンドヘルドデバイス、または安全でない場所からNCICにアクセスする場合は、2FAが必要です。この要件は、単一の要因認証システムでは重要なデータを安全に保つために必要なレベルのセキュリティを提供できない2FAの実際のアプリケーション(アプリケーション)をさらに示しています。
米国の行政機関
2FAは、数年前から、政府のWebサイトにアクセスする際の必須条件となっています。この行動計画は、非営利の官民パートナーシップであるNational Cyber Security Alliance(NCSA)に対し、Google、Facebook、Microsoftなどの大手テクノロジーベンダーと提携し、2FAの使用を促進するよう指示しています。このような米国政府の取り組みは、2FAが単一のパスワード認証システムに内在するリスクを緩和する真のソリューションであることを示しています。
世界的に求められる二要素認証
組織が、前述の規制や司法/行政上の要求に定められた条件を守る義務がない場合でも、2FAは非常に価値を持ちます。クレデンシャルスタッフィングやパスワードスプレーなどの自動化されたパスワード攻撃は、劣悪なパスワード慣行を利用します。2FAソリューションを導入することで、企業はシステム、データ、顧客情報のセキュリティを強化できます。パスワードが不正アクセスからシステムを守る唯一の防御手段となっているオンラインの世界では、2FAはもはや「あればいい」というものではなく、真に必要とされるものです。
Oktaは、アダプティブ多要素認証(AMFA)ソリューションで複数の2FAオプションを提供しています。AMFAは、ワンタイムのPINやバイオメトリクスなど、さまざまな要素から選択してシステムを保護できるだけではありません。コンテクスト認識機能により、アクセスを許可する前にユーザーのデバイスや位置情報などの要素を考慮し、セキュリティを強化します。
