多要素認証(MFA)の必要性・メリットについて

多要素認証(MFA)は、ユーザーの身元証明に2つ以上の要素を提示することを求めるIT認証の手法です。

多要素認証(MFA)の必要性

サイバー犯罪者は、150億を超える窃取された資格情報を利用できます。資格情報を使用することで、犯罪者は銀行口座、医療記録、企業機密などを乗っ取ることができます。

多要素認証が重要なのは、平均的な犯罪者にとって情報の窃取が困難になるためです。データを容易に入手できなければ、窃取のターゲットとなる可能性が低くなります。

「多要素」の名前が示すとおり、MFAは少なくとも2つの個別の要素を組み合わせて使用します。1つ目の要素は、一般的にユーザー名とパスワードで、これはユーザーが知っていることです。もう1つの要素としては、以下のようなものが使用されます。

  • ユーザーが所持するもの:携帯電話、キーカード、USBは、いずれもユーザーの身元を確認するものとなります。
  • ユーザー自身であるもの:指紋や虹彩などの生体データは、ユーザーが本人の主張どおりの人物であることを証明します。

この第2の要素をユーザー名/パスワードに追加することで、プライバシーが保護されます。また、ほとんどの人にとって、これはセットアップが非常に簡単です。

パスワードは十分なセキュリティを提供するか? パスワードの脆弱性

誰もが、メールシステム、業務用データベース、銀行口座などへのアクセスにパスワードを使用しています。通常は、安全性を若干向上するために、組み合わせを定期的に変更させられます。しかし、実際のところ、パスワードだけでは適切なレベルのセキュリティを提供できなくなっています。

たとえば、Googleの場合、1つのパスワードだけで以下にアクセスできます。

  • メール:送信したメッセージ、受信したメッセージ、会話した相手のアカウントは、すべてシステムに保存され、パスワードのみで保護されます。
  • カレンダー:誰と会ったか、どこにいたか、何をしたかといった情報は、すべてパスワードにリンクされています。
  • YouTube:パスワードを使用すると、視聴の履歴、アップロード、および視聴した動画に関する記録が保存されます。
  • その他のWebアプリ:HootsuiteやSalesforceなど、他のオンラインリソースに接続するためにGoogleアカウントを使用すると、パスワードから大量のデータが明らかになる可能性があります。

2017年、Googleは、毎週25万件近くのWebログイン情報がハッカーに窃取されていることを認めました。その数は、現在さらに大きなものとなっている可能性があります。そして、それぞれのインシデントは非常に危険です。

データ侵害に関しては、往々にして銀行口座や金銭的損害に目が向けられます。近年では、医療業界もハッカーにとって一般的なターゲットとなっています。不正アクセスにより、医療記録を改ざんして詐欺組織に請求し、利益を得ることができます。改ざんされた記録を変更することは非常に困難です。そして、その後の医療や信用に影響を与える可能性があります。

企業は、このようなリスクを認識して対処しています。55%以上の企業がMFAを使用してセキュリティを保護しており、その数は毎年増加しています。この手法をまだ検討していないのであれば、今すぐに着手する必要があります。

多要素認証(MFA)の仕組みと機能

ほとんどのMFAシステムは、ユーザー名とパスワードを排除しません。代わりに、別の検証方法を追加し、適切なユーザーがアクセスでき、不正アクセスが阻止されるようにします。

一般的なMFAプロセスは、以下のとおりです。

  • 登録:ユーザーが携帯電話やキーフォブなどのアイテムをシステムにリンクし、それを自分のものであると主張します。
  • ログイン:ユーザーがセキュアなシステムにユーザー名とパスワードを入力します。
  • 検証:システムが登録済みアイテムに接続します。検証コードによる電話での確認やキーフォブの点灯などがあります。
  • 反応:ユーザーが検証済みアイテムによりプロセスを完了します。一般的な次のステップとして、確認コードを入力したり、キーフォブのボタンを押したりします。

一部のシステムでは、この検証がログインごとに必要ですが、デバイスを記憶する認証システムもあります。その場合、常に同じ電話やコンピュータを使用してログインする限りは、アクセスのたびに検証する必要がありません。一方で、新しいコンピュータを使用する場合や、時間帯が普通ではない場合には、検証が必要になることがあります。

MFAは単純なものに見えるかもしれませんが、非常に効果的です。たとえば、Microsoftは、MFAによってアカウントのハッキングの100%近くをブロックできると述べています。この小さな多要素認証のステップを導入することで、セキュリティを大幅に強化できます。

多要素認証(MFA)のメリット

セキュリティと規制をめぐる今日の状況を反映して、非常に多くの組織がMFAを採用しています。

GDPRNISTなどのコンプライアンス標準で高度なセキュリティポリシーが求められていることを受け、MFAの導入は今後もさらに拡大していくと見られます。使いやすさと保護のレベルを考えると、従業員にもITチームにもメリットしかありません。

MFAの普及を後押ししている要因は何でしょうか。今日の企業でMFAが広く導入されているメリットはいくつかあります。

MFAにより強力な認証を実現

組織にとってはリスク低減が重要課題であることから、多要素認証は飛躍的に増加しています。クレデンシャルハーベスティングが絶え間ない脅威となり、ハッキング関連の侵害の80%以上がパスワードの窃取や脆弱なパスワード使用によって引き起こされている現状では、この種の強力な認証ソリューションが不可欠です。

MFAは、重み付けされた複数の要素に基づいてアクセスを付与して、パスワードが侵害されるリスクを軽減します。これにより、痛手が大きく莫大なコストを発生させかねない、あらゆる種類の攻撃からの保護レイヤーが追加されます。

ユーザーのパスワードが脆弱であるために発生するセキュリティ侵害は、企業にも、企業を信頼する顧客にも、大きな影響を及ぼす可能性があります。

MFAは変化する職場に適応する

職場が変化し、オフィスの外で働く従業員が増えるにつれて、企業はアクセス要求の複雑化に対処するため、より高度なMFAソリューションを必要としています。そこで効果的な解決策となるのが、アダプティブMFAの導入です。

多要素認証は複数の保護レイヤーを提供しますが、アダプティブ多要素認証は、ユーザーがツールや情報へのアクセスを要求するたびに、ユーザーのデバイスや場所などの詳細を調べてコンテキストを考慮し、ユーザーのアクセスに伴うリスクを評価します。

たとえば、ある従業員が社内からログインするときには、信頼できる場所にいることから、追加のセキュリティ要素の入力を求められない場合があります。しかし、コーヒーショップからログインする、私用の携帯電話を使用して業務メールを確認する、セキュリティで保護されていないWiFiネットワーク経由で接続するといった状況では、同じ従業員であっても信頼できない場所/デバイス/接続を使用しているため、追加の要素による検証を求められることがあります。

アダプティブMFAによって、動的なポリシー変更とステップアップ認証も可能になり、重要データの保護において強力な制御が可能になります。たとえば、Salesforceの顧客データなどの機密度が非常に高い情報にアクセスする前には、確認を強化するために第2要素を(場合によっては第3要素も)要求されることがあります。

MFAはユーザーエクスペリエンスを損なわずにセキュリティを提供する

パスワードは、記憶する必要がある点が厄介です。ユーザーが覚える必要があるパスワードが増えるほど、パスワード使用の慣行が脆弱なものになっていきます。さらに、企業を保護するためにパスワードポリシーを厳格化した後に、パスワードリセットの負荷がITチームに重くのしかからないようにする必要があります。

MFAは、面倒なリセットや複雑なポリシーを必要とせずに、環境、環境内のユーザー、ユーザーが使用するデバイスを保護できるメリットがあります。さらに、ユーザーがさまざまな要素から選択できるようにしたり、必要なときにのみ追加の要素を要求したりすることで、利便性を高めることができます。

MFAのシンプルな展開と管理、幅広いアプリケーションとの統合により、ITチームは負担を減らして、より戦略的なタスクに集中できます。

Oktaの無償トライアル

Oktaのシングルサインオンでは、すべてのお客様にセキュリティが標準で提供されます。Okta Verifyワンタイムパスワードによる保護も、これに含まれるようになりました。

今日の組織は、アダプティブMFAを導入すべきです。Oktaのトライアルは30日間無償でご利用いただけます。

参考文献

New Dark Web Audit Reveals 15 Billion Stolen Logins From 100,000 Breaches(2020年7月、Forbes)

Google Says Hackers Steal Almost 250,000 Web Logins Each Week(2017年11月、CNN)

You've Been Breached: Hackers Stole Nearly Half a Billion Personal Records in 2018(2019年2月、NBC)

More Enterprises Use Multi-Factor Authentication to Secure Passwords(2019年10月、Security)

Back to Basics: Multi-Factor Authentication (MFA)(2019年12月、National Institute of Standards and Technology)

Microsoft: Using Multi-Factor Authentication Blocks 99% of Account Hacks(2019年8月、ZD Net)

Oktaの無償トライアル

Oktaのシングルサインオンでは、すべてのお客様にセキュリティが標準で提供されます。Okta Verifyワンタイムパスワードによる保護も、これに含まれるようになりました。今日の組織は、アダプティブMFAを導入すべきです。Oktaのトライアルは30日間無償でご利用いただけます。