目次
多要素認証(MFA=Multi Factor Authentication)とは
多要素認証とは、2つ以上の異なる要素を用いて、オンラインサービスやプラットフォームでのアクセス許可を与えるというセキュリティ対策の一種です。英語ではMulti Factor Authenticationと称されていることから、MFAと略称で呼ばれます。
多要素認証のポイントは、2つ以上の異なる「要素」を使用することです。多要素認証には「知識情報」「所持情報」「生体情報」の3つの要素があります。この3つの要素のうち、少なくとも2つ以上の要素を組み合わせて認証を行うことで、セキュリティレベルを高めることができます。
例えば、まずID・パスワードを入力させ、次に秘密の質問を入力させるという場合、これは、認証の回数を2回にしていますが、使われている情報は2つとも「知識情報」といわれる単一の要素です。現在では、このように、複数段階であっても、単一要素による認証では、十分なセキュリティを保証するものではないといわれています。現に、知識情報のみの二段階認証を突破されて、個人情報が漏洩してしまったというインシデントが数多く発生しています。
IDaaSについて
多要素認証を導入する上では、従来のIDやパスワードの管理だけでなく、多様化する認証方法への対応が求められることはもちろん、管理すべき情報もIDとパスワードだけにとどまりません。そのため、こうした情報管理を円滑に進めるために、積極的なIDaaSの活用が求められます。
IDaaSとは、Identity as a Serviceの略で、様々な認証・認可機能や管理ツールを提供するクラウド型サービスです。一般にIDaaSでは、SSO(Single Sign On=シングルサインオン)機能や、MFA(Multi-Factor Authentication=多要素認証)機能、ユーザー管理、アクセス管理など提供しており、認証情報やアプリ・サービスへのアクセス制限を一元管理することでセキュリティを強化します。 IDaaSについては別記事でも詳しく解説しております。
IDaaSの必要性
コロナ禍以降、社内外での多様なクラウドサービスの利用や、社内のデータへのリモートアクセスが増えています。そのため、クラウドサービスごとにIDやパスワードを設定したり、アクセスのたびにID・パスワードを入力したりする手間がかかっていました。
しかし、IDaaSを活用することで、SSO(シングルサインオン)により、一度認証すれば、連携しているクラウドサービスを自由に利用できるという利便性につながります。このため、効率的で円滑な多要素認証の実現のためには、IDaaSの活用が不可欠です。ただし、現在ではIDaaSのサービス自体が多様化しており、自社に適したIDaaSを選択する必要があります。
例えば、認証方法の豊富さも重要な選定基準となります。マトリックス認証のような認証方法に対応していたり、ハードウェアトークンの活用がスムーズに行えるIDaaSのサービスなどもあります。また、連携しているクラウドサービスの幅広さなども、重要な選定基準の1つとなります。
3つの認証要素
多要素認証を実現するにあたり、どの要素を選択すべきかを検討する必要があります。ここでは知識情報・所持情報・生体情報の3つそれぞれについて確認しておきましょう。
知識情報
知識情報とは、文字通り、知識として頭の中に入れておける情報です。例えば、暗証番号やPINコード、登録時に設定する秘密の質問などは知識情報にあたります。暗証番号と秘密の質問の組み合わせで本人認証をする場合は、1つの要素による二段階認証となるため、多要素認証にはあたりません。
所持情報
所持情報とは、物理的なものを所持していることで、本人であると推定できるの情報のことです。クレジットカード、キャッシュカード、スマートフォンなどが、これにあたります。
生体情報
近年、利用シーンが増えているのが生体情報です。指紋、声紋、静脈など、その人固有の生体情報を本人確認情報として利用します。 最近では、キャッシュカードと静脈認証で本人確認を行う金融機関もあり、こちらは所持情報と生体情報を利用した二要素認証のケースに該当します。
二要素認証と二段階認証は違う
二要素認証は、上記の3つの要素の中から2つ以上の異なる要素を使って組み合わせることで本人認証をします。これに対して、二段階認証とは、同じ要素にあたる2つの情報で本人確認・認証を行うことを指しています。
二要素認証も二段階認証も、ともに2回の情報に基づいて認証している点では同じです。しかし、異なる要素を用いて認証する二要素認証の方が、同じ要素で2つの情報を用いる二段階認証よりも、圧倒的にセキュリティレベルが高まります。
多要素認証が普及している背景
近年、多要素認証が普及している背景には、サイバー攻撃などによる情報漏洩等のインシデントが多発しているという状況が関係しています。 マイクロソフト社の発表によれば、同社のクラウドサービスへの不正なサインインは、毎日3億件超だといわれています。このようなアカウント侵害攻撃に対しては、多要素認証を導入することによって、「99.9%以上を防ぐことが可能になる」として、マイクロソフト社では多要素認証の積極的な導入を推奨しています。
このように、多要素認証を導入する最大のメリットは、セキュリティレベルの向上という点にあります。
一方で、セキュリティレベルが向上する半面、ユーザー側の手間が増えることがデメリットに挙げられることもあります。単純な二段階認証なら、IDとパスワード程度の知識情報があれば、携帯電話やハードウェアトークンなどの機器を持つ必要もなく、認証手続きも簡単です。しかし、セキュリティ面で脆弱な認証方法によって不正アクセスをされてしまうようでは本末転倒です。そこでいかにして「なるべく簡単に多要素認証を行えるか」といった点もIDaaSソリューションを選ぶ基準として考えるとよいでしょう。
IDaaSソリューション「SafeNet Trusted Access (STA)」
セキュリティレベルの向上には多要素認証が不可欠ですが、いざ導入するとなると管理者の業務負荷が増える可能性があります。丸紅情報システムズが提供するTHALES社製IDaaSソリューション「SafeNet Trusted Access(以降、STA)」は、効率的に多要素認証に対応でき、かつSSO(シングルサインオン)やユーザー管理、アクセス管理に柔軟に対応可能です。
THALES社について
世界的なセキュリティ技術企業として60か国以上に拠点をもちます。Thales Groupは1893年に設立しており、日本法人設立から50年以上になります。THALES社ではこれまで情報漏洩インシデントを起こした実績はなく、SLAは99.99%でサービス提供をしています。
様々な認証方法に対応
IDaaSソリューションとして唯一、マトリックス認証を実装しており、ハードウェアトークンが標準ライセンスに付随しているなど、多様な認証方法に対応しています。1つのライセンスで3つまでの認証方法を選択可能となるため、環境に合わせて柔軟な認証方法を選択可能です。
豊富なSSO連携
Microsoft 365をはじめとする各種サービスともSSO連携が可能で、その数は800サービスを超えており(2023/6/7時点)、SAML認証をはじめ、RADIUS認証、OPENID認証をサポートしています。
柔軟な設定とログ管理
サービスのログインIDに対して、STAの属性値をマッピングすることで様々なID形態に柔軟に対応です。例えば、社内アクセスはパスワード認証のみ、自宅からのアクセスは複数のセキュリティキーを要求する、といったことが可能です。
また、ログ管理も充実しており、ダッシュボード画面から50種類以上のログレポートを出力可能で、いつ、誰が、どんなグローバルIPから接続し、どんな認証方法で接続しているかといったことを可視化します。
サイバー攻撃などによるセキュリティリスクがより高まっていく今日において、多要素認証の導入は不可欠で、1日でも早く導入することが望まれます。そして、管理業務の負荷を軽減し、効率的に多要素認証を運用するのなら、SafeNet Trusted Access (STA)が強力な武器になることでしょう。
また、丸紅情報システムズではクラウド環境でのID管理に特化したIDaaSソリューション「Okta」も提供していますので、環境に合わせた多要素認証の運用を提供しています。