多要素認証とは何か? 多要素認証を導入・運用する際の注意点や必要となる技術について

INDEX

    多要素認証は、外部からのサイバー攻撃と内部不正の対策として高いセキュリティ効果があります。どのような仕組みであるかを理解し、適切に導入・運用できるようになれば、セキュリティインシデントの発生を防ぐとともに、セキュリティに関するリスクを低減することにつながるでしょう。
    今回は多要素認証に関する基礎知識、そして多要素認証を導入・運用する際の注意点と必要となる技術についてお話します。


    多要素認証に関する基礎知識

    はじめに多要素認証に関する基礎知識について簡単に説明します。

    多要素認証とは

    多要素認証とは、ひとつの情報だけで本人確認を行うのではなく、複数の情報で確認し、認証する仕組みを指します。例えば、IDとパスワードのみによる認証の場合、両方を知られてしまえば本人でなくてもログインできてしまいます。多要素認証であればIDとパスワードだけではログインできず、不正アクセス、不正ログイン、不正操作の抑止力になるということです。

    ・SMSおよびメール認証
    ・認証アプリによる認証
    ・顔認証
    ・指紋認証
    ・セキュリティキーによる認証
    ・誕生日は本人のみが知る情報による認証

    上記は多要素認証の一例ですが、いずれかひとつ、もしくは複数を組み合わせることで認証を強化します。その他にもオンラインバンクでは、文字や数字の表が記載されたセキュリティカードを発行することで、物理的に本人しかわからない情報を組み合わせるような形で認証する仕組みもあります。
    ただし、詳しくは後述しますが、多要素認証も絶対ではありません。注意点を押さえながら、IDやパスワードを盗まれないのと同じように運用しなければならないということを覚えておきましょう。

    多要素認証が必要とされる理由や背景

    多要素認証が必要とされるのは、サイバー攻撃や悪意のある第三者の攻撃手法が高度になったことが理由として挙げられます。IDとパスワードのみであれば、ツールを利用することで突破される可能性もありますし、SMSやメール認証だとしても、突破する詐欺的手法が存在するためです。
    IDとパスワードの組み合わせだけではセキュリティが保てないということ、サービスを利用する顧客やユーザーだけでなく、従業員が安心・安全に働ける環境が維持できないということです。
    セキュリティが保てない、安心・安全な環境ではないということは、何らかの被害を受ける恐れがあるということでもあり、多要素認証も含めて、セキュリティの強化をする必要があります。


    多要素認証を導入・運用する際の注意点

    次に多要素認証を導入・運用する際の注意点をご紹介します。

    使いまわしができるような状況にしておかない

    IDとパスワードの組み合わせと同様に、多要素認証のキーとなる情報や物理的なデバイスを使いまわしできるような状況にしてはいけません。例えば、何らかの登録や処理を部下にやらせるために、管理職自身のセキュリティーキーを預けたり、もう一つの情報をメモしておいたりしてはダメということです。
    多要素認証の弱点でもある「利便性に欠ける」という部分が原因ではありますが、手間や労力があるからこそセキュリティ性が確保できるということを忘れてはいけません。同様に従業員自身がパスワードを設定する場合、どこか別のサービスで利用しているパスワードと同じにさせないこと、定期的に変更させることなども徹底しておきましょう。

    ログイン状態が維持されるような仕組みは排除する

    OSやアプリケーションによっては、一定の期間、もしくは永続的にログイン状態が維持できることがあります。例えば、ブラウザであればクッキーを利用してログイン状態を維持しつづけて、ブラウザを開いて、URLにアクセスすればログインしたままのような形にできます。
    ログイン状態が維持されているような状況ですと、デバイス自体を乗っ取られた場合に被害が拡大する可能性が高いです。せっかくの多要素認証が意味をなさず、システムやネットワークにログインされ、サイバー攻撃から身を守ることができなくなります。
    必ず、ログイン状態が維持されないようにすること、デバイスのシャットダウンやシステムの利用の終わりにはログアウトされるような仕組みにしておきましょう。
    その他、シングルサインオンのような技術はとても利便性が高く、導入したい気持ちになりますが、セキュリティ性が確保できるのか、セキュリティホールにならないかを検討した上で導入の可否を決めることをおすすめします。

    多要素認証以外のセキュリティ対策を怠らない

    多要素認証以外のセキュリティ対策とは、サイバー攻撃への対策、内部不正対策、なりすましや乗っ取りへの対策、マルウェア対策などセキュリティ対策全般を指します。多要素認証を導入すれば、攻撃を受けないということはありません。攻撃をされても突破されにくくなっているだけです。
    そのため、何らかの形で多要素認証を突破された場合に被害が大きくなる可能性が高くなってしまいます。ゼロトラストの考えに基づいて、一回の認証で終わらせないこと、都度認証や権限の適切な割り当て、監視や管理を行うなど、セキュリティ対策全般を怠らないようにしましょう。

    office-desk-gd6ddca8ce_1920.jpg

    多要素認証を導入・運用するために必要となる技術

    次に多要素認証を導入・運用するために必要となる技術をご紹介します。

    セキュリティキーや指紋認証、顔認証など

    多要素認証を導入するためには、セキュリティーキーや指紋認証、顔認証など、認証できる技術を増やす必要があります。SMSやメールによる認証など、どの認証方法であれば利便性を損ねず、かつスムーズに認証できるか検討しましょう。
    また、物理的なキーは紛失や盗難、忘れてしまうなどの恐れがあること、本人だけが知る情報やメール、SMSでの認証も突破される可能性があることを忘れず、多要素認証を利用することで発生するデメリットやリスクも把握しておくべきです。

    多要素認証に対応したシステム、ネットワーク、デバイス

    多要素認証を導入するためには、対応したシステム、ネットワーク、デバイスも必須です。なるべくならログインやアクセスのタイミングごと、都度認証を行うこと、多要素認証以外のアクセス制御を行うことをおすすめします。
    その上で基幹システムにアクセスするパソコンへのログイン時に認証、ネットワークのログイン時に認証、データへのアクセスや基幹システムの利用時に認証など、多要素認証を突破されたとしても他の部分で防御できるようにしておくとさらに安心です。

    デバイスの特定や監視、管理ができる技術も必須

    多要素認証のみでセキュリティを強化するのではなく、多要素認証で入り口を強化、もし内部に入られたとしても、IPアドレスやMACアドレスで判断し、遮断するなど、システム面とネットワーク面の両方の防御を強化すると良いでしょう。そのためにもデバイスが特定できる仕組みとともに監視による管理ができる技術を導入すべきです。
    また、振る舞い検知のような不審な操作や不正なアクセスを検知する仕組みを導入するのもおすすめです。乗っ取りやなりすましによる不正を防ぐとともに、内部不正への防止・抑止力にも効果があります。
    多段的、多層的な対策を行うこと、多要素認証で強化しつつも、他の技術でも強化することが大切です。


    まとめ:多要素認証とともにセキュリティ全体の強化を怠らないようにしよう!

    今回は多要素認証に関する基礎知識、そして多要素認証を導入・運用する際の注意点と必要となる技術についてお話しました。
    多要素認証を導入したからといって過信しないこと、他のセキュリティ対策も怠らないことで、企業や組織におけるセキュリティ性を確保できます。導入や運用のタイミングで他のセキュリティ対策へのコストを削減しないように注意し、セキュリティ全体の強化を怠らないことをおすすめします。
    当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、VPN接続時の多要素認証が導入できるとともに、デバイス管理やシステム管理も実現できます。セキュリティ全体の強化が期待できますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • ネットワーク帯域不足でも大丈夫!業務に支障をあたえないWindowsパッチ配布

      オンライン配信

      9/30(金)17:00~17:20

      ネットワーク帯域不足でも大丈夫!
      業務に支障をあたえないWindowsパッチ配布

      トレンド

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

      トレンド

    • わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      アーカイブ配信

      常時開催

      わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      トレンド

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

      トレンド

    • 【初級編】AssetView 使い方レクチャー

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【初級編】AssetView 使い方レクチャー~AssetView運用開始編~

      運用支援

    • テレワーク運用における困りごと3つを解決!

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      テレワーク運用における困りごと3つを解決!

      運用支援

    • 【初級編】活用セミナー~Windows更新管理編(P)~

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【初級編】AssetView 活用セミナー~Windows更新管理編(P)~

      運用支援

    • 【初級編】活用セミナー~アプリケーション配布編(D)~

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【初級編】AssetView 活用セミナー~アプリケーション配布編(D)~

      運用支援

    • 【初級編】活用セミナー~デバイス管理編(G)~

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【初級編】AssetView 活用セミナー~デバイス管理編(G)~

      運用支援

    • 【中級編】機能別ワンポイント~Windows更新管理編(P)~

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【中級編】機能別ワンポイントセミナー~Windows更新管理編(P)~

      運用支援

    • 【中級編】機能別ワンポイント~アプリケーション配布編(D)~

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【中級編】機能別ワンポイントセミナー~アプリケーション配布編(D)~

      運用支援

    • 【応用編】運用ワンポイント~AssetViewサーバー監視編~

      アーカイブ配信

      12/8(水)~2022/9/30(金)

      【応用編】運用ワンポイントセミナー~AssetViewサーバー監視編~

      運用支援

    ハンモックのプロダクト

    • AssetsView
      IT統合管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化

    資料一覧はこちら