多要素認証(MFA)ソリューションの要件
従来のパスワードベースの認証は、企業システムへのアクセスを許可するために、ユーザのログイン資格情報(ユーザ名とパスワード)のみに依存しています。この「単一要素」認証方式では、攻撃者が簡単にパスワードを盗み、または漏洩させて、承認済みユーザのアカウントやデバイスに不正にアクセスすることができるため、安全ではなく信頼性もありません。そして、フィッシング、資格情報スタッフィング、ブルートフォース攻撃、辞書攻撃、キーロガー、中間者(MITM)攻撃など、さまざまな種類の攻撃を仕掛けることができます。
では、このような攻撃者からどのように組織を保護できるのでしょうか。
パスワードベースのセキュリティに代わる最良の方法の1つが多要素認証(MFA)です。
MFAでは、ユーザ���資格情報だけを使用して認証を行いません。代わりに、本人確認のために少なくとももう1つの認証要素を提示するようユーザに求めます。システムがすべての要素を確認できたとき、初めてユーザにシステムへのアクセスを許可します。このように、MFAはユーザが本当に本人であることを確認するのに役立ちます。また、パスワードのみのシステムに比べ、サイバー脅威に対してより強力で信頼性の高いセキュリティを実現します。
しかし、世の中には多くのMFAソリューションがあります。御社に適したソリューションはどのように選べばよいのでしょうか。
以下のリストを、お客様の研究と投資の参考にしてください。
#1.認証方法
最近のほとんどのMFAシステムでは、3つの異なるカテゴリのうち、少なくとも2つの認証要素をユーザが使用する必要があります。
- ユーザが「知っている」もの(知識)
- ユーザが「持っている」もの(所有)
- ユーザの「特性」(内在性)
MFAソリューションによって、企業のソリューションに対するユーザのアクセスが困難になってはなりません。そのためには、知識ベース、所有ベース、内在性ベースのいずれであっても、ユーザが既に慣れ親しんでいる要素を使えるようにすることが不可欠です。
ここでは、いくつかの認証方法について説明します。
プッシュ型のネイティブ・モバイル・ワンタイムパスワード(OTP)認証機能
プッシュ型のネイティブ・モバイル・ワンタイムパスワード(OTP)認証システムは、アカウントやアプリケーションへのアクセスが許可される前にユーザが入力しなければならない数字コードをテキストメッセージで送信します。
利点
OTPは「1回のみ有効」な認証要素です。一度しか使用できないため、ユーザが既に使用した場合、攻撃者はそれを再利用できません。この結果、キュリティが向上し、個人アカウントへの敵の侵入が困難になります。さらに、特別なソフトウェアをインストールする必要もなく、ほとんどのユーザは既にテキストメッセージに慣れているため、便利でユーザフレンドリーな認証メカニズムとなっています。
欠点
モバイルベースのOTPの欠点は、デバイスが盗難された場合、攻撃者がOTPパスワードを傍受してアカウントを侵害できることです。SMSメッセージのプライバシーとセキュリティはモバイルネットワーク事業者によって保証されていないため、攻撃者は悪意のある目的のために傍受することができます。さらに、特にユーザがオープンネットワークやセキュリティ保護されていないネットワーク経由でデバイスにアクセスしている場合、攻撃者はマルウェアをユーザのデバイスにインストールすることでOTPメッセージを傍受することもできます。
オフライン時間ベース検証コード(TOTP)
時間ベース検証コード(TOTP)はOTP認証の一種であり、現在の時刻を認証要素として使用し、一時的なパスコードを生成します。このパスコードは設定された時間が経過すると失効し、権限のないユーザによって傍受されたとしても再利用はできません。
利点
TOTPの導入はかなり簡単でコスト効率に優れ、必ずしも新しいハードウェアを必要としません。ユーザに必要なのはデバイス上の認証アプリだけです。
欠点
もちろん、このシステムは完璧ではありません。ユーザがデバイスを紛失したり置き忘れたりした場合、またはデバイスのバッテリーが切れたりした場合は、TOTPコードを受信することはできません。また、認証アプリとサーバは秘密鍵を共有します。攻撃者がこのキーのクローン作成に成功すれば、新たに有効なTOTPコードを生成し、承認済みユーザのアカウントを侵害することができます。TOTPシステムの中には、ログイン試行回数が多すぎるとユーザをロックアウトするものもあります。これはコードの有効期限が短いからです。
ハードウェアトークン
ハードウェアトークンは、特定のアカウントやアプリケーションへのユーザのアクセスを可能にする小型の物理的なデバイスです。Yubico YubiKeyは、さまざまなアプリやオンラインサービスで強力な認証セキュリティを実現するハードウェアトークンの一種です。この鍵型フォブをユーザのデバイスに差し込み、ユーザがパスワードを入力した後に認証を完了します。その他のハードウェアトークンには、USBトークン、Bluetoothトークン、スマートカードなどがあります。
利点
ほとんどのトークンは、ハードウェアベースの認証と公開鍵の暗号を組み合わせているため、侵害が困難になっています。システムに侵入するには、攻撃者はトークンを物理的に盗み出さなければなりませんが、これはユーザが気を付けていれば必ずしも簡単ではありません。多くのハードトークンはインターネット接続がなくても機能するため、インターネットを利用した攻撃の可能性は排除されます。
ハードウェアトークンはリモート攻撃を防ぐことができ、ネットワークからの分離が必要な高セキュリティシステムが必要な場合に適しています。また、ユーザの利便性を高めるためにパスワードマネージャーをサポートしているものもあります。また、不正使用を防ぐため、ユーザはトークンをアカウントからリンク解除することができます。
欠点
考えられる1つの欠点は、トークンは紛失したり盗まれたりする可能性があるため、交換する必要があることです。これが組織のコストを増加させる可能性があります。また、トークンがデータ漏洩に使用された場合、ユーザが同じトークンを使用して複数のアカウントにアクセスすると、データ漏洩自体が非常に深刻になる可能性があります。
ソフトウェアトークン
ソフトウェアトークンはデジタル認証キーです。スマートフォンなどの物理的なデバイスにアプリやソフトウェアをインストールする必要があります。ワンタイム認証コードをデバイスに送信したり、指紋スキャンや顔認証のようなバイオメトリックデータを認証に使用したりすることもできます。
利点
ハードトークンと同様に、ソフトトークンもセキュリティを高め、不正アクセスの可能性を制限します。また、使いやすくメンテナンスが簡単で、ハードウェアトークンよりも安価です。さらに、多くは無料で使用できます。
欠点
しかし、ソフトウェアトークンにはデメリットもあります。1つは、インターネット接続とソフトウェアに依存しているため、遠隔地からのサイバー攻撃を受けやすいことです。接続が侵害された場合、トークンが保存または送信される際に漏洩する可能性があります。しかし、このような欠点があるにもかかわらず、ソフトトークンはパスワードのみのシステムに比べて、セキュリティ面で大きなアップグレードとなります。
MFA方式を選択する前に、上記の特徴、利点、欠点をすべて考慮するようにしてください。理想的なのは、OneLogin MFAのように、柔軟性を高めるために複数の認証要素を利用するシステムを探すことです。
- OTP
- Eメール
- SMS
- 音声
- 生体認証のためのWebAuthn
- Google Authenticator、Yubico、Duo Security、RSA SecurIDなどのサードパーティ製オプション
#2.企業アクセス
MFAソリューションは、すべてのネットワーク・アクセス・システムでシームレスに動作しなければなりません。例えば、仮想プライベートネットワーク(VPN)を使用してデータを暗号化し、リモートユーザにインターネット経由のセキュアな接続を提供する場合、このソリューションはVPNと連動する必要があります。また、データ漏洩を防ぐためにVPNを「強化」し、承認されたユーザだけがアクセスできるようにする必要があります。
同様に、リモートのLinuxシステムにアクセスするためにSecure Socket Shell(SSH)を使用したり、他のコンピュータにリモート接続するためにリモート・デスクトップ・プロトコル(RDP)を使用したりする場合、これらのシステムでMFAソリューションを使用できなければなりません。さらに、ソリューションは、これらのシステムに対するアカウント乗っ取り攻撃を防止できなければなりません。
また、VPNソリューションがRADIUS(Remote Authentication Dial-In User Service)と統合されているかどうか、また標準のRADIUSプロトコルを使用してMFAソリューションと直接通信するかどうかも確認してください。
MFAソリューションは、現在(または将来)のネットワーク・アクセス・システムをサポートしますか?
- VPNアクセス
- Wi-Fiアクセス
- SSH/RDPアクセス
- RADIUSの統合
#3.アプリケーションの統合
組織にLDAP(Lightweight Directory Access Protocol)ディレクトリがある場合、MFAソリューションは、ローカルネットワークにインストールされたソフトウェアエージェントとして、あるいはLDAPS(LDAP over SSL)経由でLDAPディレクトリを統合する必要があります。また、他のセキュリティ製品やIDソリューションと緊密に連携してユーザを認証し、ネットワークセキュリティ管理を簡素化するソリューションが理想的です。
さらに、オンプレミスとクラウドの両方でアプリケーションやサービスとのカスタム統合をサポートするソリューションを探してください。他のソリューションを完全に置き換える必要がなく、APIを介してこれらのアプリと統合できなければなりません。
MFAソリューションは、すべてのビジネスクリティカルなアプリで機能しますか?
- クラウドアプリケーションとの統合
- オンプレミスアプリケーションとの統合
- 人事管理システム(HRMS)との統合
- Active Directory(AD)やLDAPなどのディレクトリの統合
- パスワードマネージャーやエンドポイントセキュリティなど、他のアイデンティティソリューションとの統合
#4.柔軟な認証ポリシー
ユーザ単位、アプリケーション単位、グループ単位、さらにはグローバル単位など、さまざまなレベルできめ細かなポリシーを設定できるMFAソリューションを導入します。
アプリケーションおよびグループレベルのポリシーは、機密性の高いアプリケーションやリスクの高いユーザに対して特定の保護ポリシーを設定できるため、重要です。グローバルポリシーを使用すると、企業全体に必要なセキュリティしきい値またはベースラインを適用できます。
また、可能な管理コントロールについても確認してください。このソリューションは、特にZero Trustセキュリティ環境において、管理者が企業システム、アプリケーション、データへのアクセスをより適切に制御するために役立つはずです。
MFAソリューションによって、きめ細かいレベルで柔軟かつ高度な認証ポリシーを実現できますか?
- 異なるID、アプリ、デバイス、ブラウザ、コミュニティ、コンテキストに対応するきめ細かいポリシー
- IDの確認に使用できる要素の定義が可能
- カスタマイズ可能な認証フロー
- 直感的でユーザフレンドリーな管理コンソール
- リスクベースのフロー
- ポリシー設定に関する文書を含む
#5.オープンスタンダードのサポート
MFAソリューションは、承認と認証のための最新のオープンスタンダードをサポートしていなければなりません。例えば、SAML(Security Assertion Markup Language)により、ユーザは1組のログイン資格情報を使用して複数のWebアプリケーションにアクセスできます。また、異なるデバイス間でMFAを設定するためにこれを使用することもできます。SAMLと連携して、承認済みユーザに追加の認証手段を提供するソリューションを選択します。
同様に、OAuth 2.0(Open Authorization)標準は認証プロセスを提供するため、ユーザはサービス間をシームレスに移動できます。また、ユーザのログイン資格情報も保護します。しかし、これはユーザの承認のみを規制するもので、認証は規制しないため、パスワードのみのシステムは依然としてサイバー攻撃に対して脆弱です。MFAは、1つまたは複数の認証要素を追加して、アクセスを許可する前にユーザのIDを確認し、攻撃の脅威を最小限に抑えます。
MFAソリューションは、Webアプリケーションへのセキュアな接続のために、一般的な最新の規格をサポートしていますか?
- SAML
- OpenID Connect
- OAuth 2.0
#6.開発者のサポート
お客様の組織で既存のアプリをMFAと密接に統合する必要がある場合、ソリューションは、API(アプリケーション・プログラミング・インターフェイス)やSDK(Software Development Kit)などの必要な開発者向けツールを提供しなければなりません。
MFAソリューションは、これをカスタマイズし、カスタムアプリケーションやサードパーティシステムと統合するための開発者向けツールを提供しますか?
- MFA登録およびライフサイクル管理向けAPI
- 主要なすべてのプラットフォームおよび言語向けSDK
- コマンドラインによるMFA登録とプッシュ通知の処理
- MFAページのルック・アンド・フィールをカスタマイズするクライアントライブラリ
- 非本番稼働環境でMFAを安全にテストするSandbox環境
- 開発者ガイドなどのドキュメント
#7.ユーザコミュニティのサポート
MFAソリューションは、日常業務における労力を最小限に抑えながら、すべての承認済みユーザが簡単に使えるものでなければなりません。ここには、従業員(オフィス内およびリモート)のような内部ユーザと、サードパーティベンダー、フリーランサー、サプライヤーなどの外部ユーザの両方が含まれます。
このソリューションは、障がい、スマートデバイスの不足、携帯電話ネットワークの貧弱さなど、ユーザに制限があっても適切に機能しなければなりません。ユーザ自身でシステムに登録し、好みの認証オプションを選ぶことができなければなりません。最後に、ユーザのオンボーディングが簡単で、ユーザが感じる抵抗感が最小限でなければなりません。
MFAソリューションは、システムやデータにアクセスするすべての承認済みユーザをサポートしていますか?
- 従業員
- IT管理者
- サードパーティベンダー
- パートナー顧客
また、ユーザが使用する可能性のあるすべてのデバイスをサポートしていますか?
- デスクトップ
- ノートパソコン
- モバイルデバイス
- オンサイトおよびリモート機器
- 個人所有デバイス(BYOD)
#8.レポート作成
堅牢なレポート作成および分析機能を備えたMFAソリューションを探すことが極めて重要です。レポートは、セキュリティ態勢を監視し、ギャップを特定して改善策を講じるために役立ちます。レポートは監査やコンプライアンスの証明にも重要です。
脅威データに基づいてセキュリティを強化し、コンプライアンス要件も満たすためのレポートをMFAソリューションは提供しますか?
- 認証イベントのサードパーティSIEMソリューションへの外部化
- 管理コンソールから簡単にアクセス可能
- スケジュール、生成、エクスポートが簡単
- すぐに利用でき、カスタマイズ可能なレポート
- 詳細な認証ログと監査証跡
- 承認イベントに基づいてシステム変更を有効化する機能
- 失敗した/悪意のあるログイン試行、セキュリティイベント、セキュリティ保護されていない/侵害されたデバイスなどに関するリアルタイムの情報
#9.高度な要件
MFAソリューションは、上記の基本的な要件をすべて満たすものでなければなりません。しかし、多くのソリューションはこれらすべての機能を備えています。その中から最適なソリューションを選ぶには、以下に示す高度な要件に基づいて比較するのが最適です。
行動分析
MFAソリューションは行動分析を使用してインテリジェントに適応しますか? また、異なる認証要素を必要としますか?
- 精通度のシグナル
- 攻撃のシグナル
- 異常(ユーザの行動およびコンテキストシグナル)
- 連続認証
デバイスの信頼
ソリューションは、使用されている認証デバイスを考慮していますか?
- バージョン、改ざん、ロック、暗号化、ブラウザのプラグインなどを含むデバイスの正常性
- デバイスの評判
- X.509ベースの証明書
- モバイルデバイス管理(MDM)との統合
一般的な考慮事項
将来のニーズをサポートするために拡張可能なソリューションを選択し、可用性が高いことを確認します。また、価格を比較する際には、初期設定やオンボーディングのコストの低さに振り回されず、最終的な選択をしてください。代わりに、カスタム統合、管理制御、ユースケース、サポートコストなどによって変わる総所有コスト(TCO)を考慮します。管理/オーバーヘッドコストを最小限に抑えることができ、明確な価格設定モデルがあるソリューションを探してください。