初期コストがかからず、ITシステムの運用負荷を抑えられるというメリットから、クラウドサービスを採用するケースが増加しています。その一方で、利用するクラウドサービスの数が増えて、セキュリティが脅かされているのも事実です。このため、クラウドサービスへログインする際、ID・パスワードに頼った本人認証ではなく、使い勝手が良く、高セキュリティを担保できる多要素認証(MFA:Multi-Factor Authentication)が注目を集めています。
そこで注目を集めているのが、多要素認証です。多要素認証とは、「知識情報」、「所持情報」、「生体情報」の3つの要素のうち、2つ以上の異なる要素を使う認証方法です。利用者本人であることを確認するためにこれらの要素を組み合わせて認証します。一つ目の認証要素と二つ目以降の認証要素はそれぞれ違うものを使います。
「知識情報」としては、ID、パスワード、暗証番号(PIN番号)、秘密の質問などがあり、「所持情報」としては、1回切りのパスワードを通知するワンタイムパスワードや、ICチップ、USBドングル、クライアント証明書認証などがあります。「生体情報」は、指紋認証や顔認証、静脈認証などで、「知識情報」や「所持情報」に比べると盗まれにくく、パソコンやスマートフォンのログインなどにも採用が広がっています。
ゼロトラストセキュリティを実現するには、利用ごとに厳格な本人確認を行うことが不可欠です。高度なセキュリティ技術を用いたID認証を行い、正規の利用者であることや、デバイスのトラフィックや利用場所が正しいかなどを確認します。このため、ゼロトラストセキュリティでは、多要素認証による本人認証は重要な役割の一つです。
例えば、「Microsoft 365」では、IDとパスワードに加え、Microsoft Authenticatorというスマートフォンアプリによる多要素認証の使用が必須になりました。Microsoft 365はメールやOneDriveなど重要な情報を多く扱うケースが多いためです。また、Microsoft Azureでは、IDとパスワードに加え、Microsoft Authenticationアプリや、OATHハードウェアトークン、OATHソフトウェアトークン、SMSなどによって認証を行います。
また、クラウドベースのアクセス管理サービスであるMicrosoft Entra ID (旧称 Azure AD)を使用すれば、社内のシステムだけでなく、AdobeやDropboxなどのサードパーティが提供しているクラウドサービスへのシングルサインオン(SSO:一度の認証処理によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能のこと)が可能です。Azureの多要素認証であるAzure AD Multi-Factor Authenticationを使用することで、より安全な認証が可能になります。
Salesforceでは、IDとパスワードに加え、Salesforce Authenticator(セールスフォース オーセンティケイター)のほか、サードパーティによるワンタイムパスワード認証アプリケーションやFIDOセキュリティキーなどによって認証を行います。このほか、AWS(アマゾン ウェブ サービス)では従来のログイン認証を行なった後、AWSでサポートされている仮想MFAデバイスなどの第二の認証要素を使用します。
■Saleseforceの多要素認証(MFA)に利用可能なセキュリティデバイス
■Microsoft Entra ID (旧称 Azure AD)の多要素認証(MFA)に利用可能なセキュリティデバイス
*「Google」「Google Authenticator」は Google LLCの登録商標または商標です。
**「Microsoft」「Microsoft Authenticator」はMicrosoft Corporationの米国およびその他の国における登録商標または商標です。
***「Salesforce」「Salesforce Authenticator」はsalesforce.com,Inc.の登録商標または商標です。
****その他の商品名、会社名、団体名は、各社の登録商標または商標です。
ID・パスワードだけに頼らない多要素認証でセキュリティ強化
利用者がID・パスワードを使って本人認証する場合、利用するクラウドサービスが多岐にわたると、パスワードを覚えておくことが大変になります。だからと言って、同じパスワードを使い回していると、ハッキングなどの不正アクセスを許す原因となってしまいます。そこで注目を集めているのが、多要素認証です。多要素認証とは、「知識情報」、「所持情報」、「生体情報」の3つの要素のうち、2つ以上の異なる要素を使う認証方法です。利用者本人であることを確認するためにこれらの要素を組み合わせて認証します。一つ目の認証要素と二つ目以降の認証要素はそれぞれ違うものを使います。
「知識情報」としては、ID、パスワード、暗証番号(PIN番号)、秘密の質問などがあり、「所持情報」としては、1回切りのパスワードを通知するワンタイムパスワードや、ICチップ、USBドングル、クライアント証明書認証などがあります。「生体情報」は、指紋認証や顔認証、静脈認証などで、「知識情報」や「所持情報」に比べると盗まれにくく、パソコンやスマートフォンのログインなどにも採用が広がっています。
ゼロトラストセキュリティに重要な役割を果たす多要素認証
企業にクラウドサービスの利用が普及していることに対応するためには、クラウドサービスのセキュリティ対策について把握することは非常に重要です。オンプレミスでデータを管理する場合には、自社の閉じたネットワーク内でデータを監視・管理できる安心感があります。これに対し、クラウドサービスを利用している場合は、クラウドサービスがサイバー攻撃に遭った場合、情報漏えいに備えた対応やサービス停止による業務への影響などを考えておくことが必要です。 従来型のセキュリティ対策は、ファイアウォールなどを利用してLANとWANの境界線で防御するネットワーク境界型でした。しかし、クラウドサービスの普及に伴い、ネットワーク境界型セキュリティだけでは難しくなっています。ネットワークの内外を区別しないで、いかなるアクセスも信頼しない「ゼロトラストセキュリティ」の考え方を重視することが求められています。ゼロトラストセキュリティを実現するには、利用ごとに厳格な本人確認を行うことが不可欠です。高度なセキュリティ技術を用いたID認証を行い、正規の利用者であることや、デバイスのトラフィックや利用場所が正しいかなどを確認します。このため、ゼロトラストセキュリティでは、多要素認証による本人認証は重要な役割の一つです。
Microsoft Entra ID (旧称 Azure AD)やSalesforceでも、多要素認証が必須に
最近は、Microsoftをはじめ、さまざまなクラウドサービスが普及しています。こうしたサービスを利用する際のセキュリティ対策としては、多要素認証が要求されるケースが増えています。その背景には、ハッキングによる不正アクセスは、「知識情報」としてのパスワードが原因と指摘されているケースが多いことがあります。不正アクセスを防ぐために、「所持情報」や「生体情報」を含めた多要素認証によるセキュリティ強化を必須にしているサービスが増えています。例えば、「Microsoft 365」では、IDとパスワードに加え、Microsoft Authenticatorというスマートフォンアプリによる多要素認証の使用が必須になりました。Microsoft 365はメールやOneDriveなど重要な情報を多く扱うケースが多いためです。また、Microsoft Azureでは、IDとパスワードに加え、Microsoft Authenticationアプリや、OATHハードウェアトークン、OATHソフトウェアトークン、SMSなどによって認証を行います。
また、クラウドベースのアクセス管理サービスであるMicrosoft Entra ID (旧称 Azure AD)を使用すれば、社内のシステムだけでなく、AdobeやDropboxなどのサードパーティが提供しているクラウドサービスへのシングルサインオン(SSO:一度の認証処理によって、独立した複数のソフトウェアシステム上のリソースが利用可能になる機能のこと)が可能です。Azureの多要素認証であるAzure AD Multi-Factor Authenticationを使用することで、より安全な認証が可能になります。
Salesforceでは、IDとパスワードに加え、Salesforce Authenticator(セールスフォース オーセンティケイター)のほか、サードパーティによるワンタイムパスワード認証アプリケーションやFIDOセキュリティキーなどによって認証を行います。このほか、AWS(アマゾン ウェブ サービス)では従来のログイン認証を行なった後、AWSでサポートされている仮想MFAデバイスなどの第二の認証要素を使用します。
■Saleseforceの多要素認証(MFA)に利用可能なセキュリティデバイス
■Microsoft Entra ID (旧称 Azure AD)の多要素認証(MFA)に利用可能なセキュリティデバイス
*「Google」「Google Authenticator」は Google LLCの登録商標または商標です。
**「Microsoft」「Microsoft Authenticator」はMicrosoft Corporationの米国およびその他の国における登録商標または商標です。
***「Salesforce」「Salesforce Authenticator」はsalesforce.com,Inc.の登録商標または商標です。
****その他の商品名、会社名、団体名は、各社の登録商標または商標です。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて
●Amazon Web Services(AWS)MFAを必須化
●PCI DSS v4.0への更新で重要性増す多要素認証(MFA)