多要素認証は、外部からのサイバー攻撃と内部不正の対策として高いセキュリティ効果があります。どのような仕組みであるかを理解し、適切に導入・運用できるようになれば、セキュリティインシデントの発生を防ぐとともに、セキュリティに関するリスクを低減することにつながるでしょう。
今回は多要素認証に関する基礎知識、そして多要素認証を導入・運用する際の注意点と必要となる技術についてお話します。

多要素認証に関する基礎知識

はじめに多要素認証に関する基礎知識について簡単に説明します。

多要素認証とは

多要素認証とは、ひとつの情報だけで本人確認を行うのではなく、複数の情報で確認し、認証する仕組みを指します。例えば、IDとパスワードのみによる認証の場合、両方を知られてしまえば本人でなくてもログインできてしまいます。多要素認証であればIDとパスワードだけではログインできず、不正アクセス、不正ログイン、不正操作の抑止力になるということです。

・SMSおよびメール認証
・認証アプリによる認証
・顔認証
・指紋認証
・セキュリティキーによる認証
・誕生日は本人のみが知る情報による認証

上記は多要素認証の一例ですが、いずれかひとつ、もしくは複数を組み合わせることで認証を強化します。その他にもオンラインバンクでは、文字や数字の表が記載されたセキュリティカードを発行することで、物理的に本人しかわからない情報を組み合わせるような形で認証する仕組みもあります。
ただし、詳しくは後述しますが、多要素認証も絶対ではありません。注意点を押さえながら、IDやパスワードを盗まれないのと同じように運用しなければならないということを覚えておきましょう。

多要素認証が必要とされる理由や背景

多要素認証が必要とされるのは、サイバー攻撃や悪意のある第三者の攻撃手法が高度になったことが理由として挙げられます。IDとパスワードのみであれば、ツールを利用することで突破される可能性もありますし、SMSやメール認証だとしても、突破する詐欺的手法が存在するためです。
IDとパスワードの組み合わせだけではセキュリティが保てないということ、サービスを利用する顧客やユーザーだけでなく、従業員が安心・安全に働ける環境が維持できないということです。
セキュリティが保てない、安心・安全な環境ではないということは、何らかの被害を受ける恐れがあるということでもあり、多要素認証も含めて、セキュリティの強化をする必要があります。

多要素認証を導入・運用する際の注意点

次に多要素認証を導入・運用する際の注意点をご紹介します。

使いまわしができるような状況にしておかない

IDとパスワードの組み合わせと同様に、多要素認証のキーとなる情報や物理的なデバイスを使いまわしできるような状況にしてはいけません。例えば、何らかの登録や処理を部下にやらせるために、管理職自身のセキュリティーキーを預けたり、もう一つの情報をメモしておいたりしてはダメということです。
多要素認証の弱点でもある「利便性に欠ける」という部分が原因ではありますが、手間や労力があるからこそセキュリティ性が確保できるということを忘れてはいけません。同様に従業員自身がパスワードを設定する場合、どこか別のサービスで利用しているパスワードと同じにさせないこと、定期的に変更させることなども徹底しておきましょう。

ログイン状態が維持されるような仕組みは排除する

OSやアプリケーションによっては、一定の期間、もしくは永続的にログイン状態が維持できることがあります。例えば、ブラウザであればクッキーを利用してログイン状態を維持しつづけて、ブラウザを開いて、URLにアクセスすればログインしたままのような形にできます。
ログイン状態が維持されているような状況ですと、デバイス自体を乗っ取られた場合に被害が拡大する可能性が高いです。せっかくの多要素認証が意味をなさず、システムやネットワークにログインされ、サイバー攻撃から身を守ることができなくなります。
必ず、ログイン状態が維持されないようにすること、デバイスのシャットダウンやシステムの利用の終わりにはログアウトされるような仕組みにしておきましょう。
その他、シングルサインオンのような技術はとても利便性が高く、導入したい気持ちになりますが、セキュリティ性が確保できるのか、セキュリティホールにならないかを検討した上で導入の可否を決めることをおすすめします。

多要素認証以外のセキュリティ対策を怠らない

多要素認証以外のセキュリティ対策とは、サイバー攻撃への対策、内部不正対策、なりすましや乗っ取りへの対策、マルウェア対策などセキュリティ対策全般を指します。多要素認証を導入すれば、攻撃を受けないということはありません。攻撃をされても突破されにくくなっているだけです。
そのため、何らかの形で多要素認証を突破された場合に被害が大きくなる可能性が高くなってしまいます。ゼロトラストの考えに基づいて、一回の認証で終わらせないこと、都度認証や権限の適切な割り当て、監視や管理を行うなど、セキュリティ対策全般を怠らないようにしましょう。

多要素認証を導入・運用するために必要となる技術

次に多要素認証を導入・運用するために必要となる技術をご紹介します。

セキュリティキーや指紋認証、顔認証など

多要素認証を導入するためには、セキュリティーキーや指紋認証、顔認証など、認証できる技術を増やす必要があります。SMSやメールによる認証など、どの認証方法であれば利便性を損ねず、かつスムーズに認証できるか検討しましょう。
また、物理的なキーは紛失や盗難、忘れてしまうなどの恐れがあること、本人だけが知る情報やメール、SMSでの認証も突破される可能性があることを忘れず、多要素認証を利用することで発生するデメリットやリスクも把握しておくべきです。

多要素認証に対応したシステム、ネットワーク、デバイス

多要素認証を導入するためには、対応したシステム、ネットワーク、デバイスも必須です。なるべくならログインやアクセスのタイミングごと、都度認証を行うこと、多要素認証以外のアクセス制御を行うことをおすすめします。
その上で基幹システムにアクセスするパソコンへのログイン時に認証、ネットワークのログイン時に認証、データへのアクセスや基幹システムの利用時に認証など、多要素認証を突破されたとしても他の部分で防御できるようにしておくとさらに安心です。

デバイスの特定や監視、管理ができる技術も必須

多要素認証のみでセキュリティを強化するのではなく、多要素認証で入り口を強化、もし内部に入られたとしても、IPアドレスやMACアドレスで判断し、遮断するなど、システム面とネットワーク面の両方の防御を強化すると良いでしょう。そのためにもデバイスが特定できる仕組みとともに監視による管理ができる技術を導入すべきです。
また、振る舞い検知のような不審な操作や不正なアクセスを検知する仕組みを導入するのもおすすめです。乗っ取りやなりすましによる不正を防ぐとともに、内部不正への防止・抑止力にも効果があります。
多段的、多層的な対策を行うこと、多要素認証で強化しつつも、他の技術でも強化することが大切です。

まとめ：多要素認証とともにセキュリティ全体の強化を怠らないようにしよう！