IDおよびアクセス管理における二要素認証とは
二要素認証(2FA)とは、ユーザアカウント、アプリケーション、ネットワークにセキュリティの追加レイヤを提供する認証方式で、二段階認証とも呼ばれています。
ユーザにユーザ名とパスワードのみを求める単一要素やパスワードベースのシステムとは異なり、2FAでは、ユーザがアカウントやシステムにログインするために1つ以上の検証要素を提供する必要があります。これは、以下のことが目的です。
- ユーザが本当に本人であることを確認する
- 不正アクセスの危険を減らす
- データ漏洩とサイバー攻撃を防ぐ
2FAの仕組み
認証には以下の要素を組み合わせることができます。
知識要素(本人が知っていること)
パスワード
PINコード
SMS、Eメール、音声通話経由で送信されるOTPコード
セキュリティ質問に対する答え
所有要素(本人が持っているもの)
スマートカード
USBキー
ハードウェアトークンやキーフォブ
ソフトウェアトークン
PKI(パブリック・キー・インフラストラクチャ)証明書
生体要素(本人の特徴)これには通常、以下のような生体情報が用いられます。
指紋
虹彩
声紋
タイピングの癖
パスワードのみのシステムより2FAの方がセキュアな理由
世界中の企業はこれまで長年、自社のシステムのセキュリティ確保とデータ保護にパスワードを用いてきました。ところが、パスワードだけではもうセキュリティを確保しきれなくなっています。実際、最近行われたある調査では、回答者の95 %がパスワード関連のリスクによって深刻なセキュリティ問題が生じていると回答しています。
ハッカーが簡単にパスワードの盗用や解読ができてしまうのは、ユーザがパスワードを他のユーザと共有したり、セキュリティ確保されていない場所や安全でない場所に書き留めたりすることが多いためです。また、米国では1人の持つアカウントの数が平均で130というデータがあり、パスワードの使い回しもよくある問題となっています。
2FAは、こうした問題を防ぐための対策です。2FAを導入したシステムでは、ユーザは2つの認証要素を使用してIDを確認する必要があります。認証要素を追加することで、犯罪者は盗んだパスワードの他に2つ目の認証要素も手に入れる必要が出てくるため、企業のシステムに侵入しにくくなります。
また、攻撃者が2つの認証要素をなりすましで使おうとすると、セキュリティイベントが発動し、管理者の元に不審なログイン動作に関する通知が送られるため、管理者がすぐに対応して被害の拡大を防ぐことができます。
2FAのメリットとは
2FAには、従来のパスワードベースのシステムに比べて多くのメリットがあります。
パスワードの脆弱性から資産とデータを保護
パスワードはさまざまな方法で解読ができてしまいます。例えば、「123456」や「iloveyou」、「password」など覚えやすいものを設定する人も多いですが、こうしたパスワードは、悪意のある者がキーロガーソフトウェアを使ったり、総当たり攻撃や辞書攻撃、レインボー攻撃を仕掛けたりすれば、すぐに見破られてしまいます。見破られてしまうと、ユーザになりすましてアカウントにログインされ、資産やデータが侵害されかねません。また、複数のアプリケーションやアカウントでパスワードを使い回していると、攻撃者にパスワードを盗まれた場合に、同じパスワードを使用しているすべてのアカウントの情報が一気に漏洩してしまうおそれがあります。
2020年に起きたサイバー侵害の80 %以上はパスワードの盗用が原因で、12 %は権限の不正利用に伴うものでした。2FAを導入すれば、攻撃者によるアカウントやアカウント内のデータへの侵入が難しくなるため、データ漏洩や、パスワード関連のその他のサイバー犯罪を防ぐことができます。
データ漏洩を防ぐことで損害を軽減
データ漏洩1件あたりの平均損害額は、2020年は386万ドルでしたが、2021年は424万ドルに増加しています。資格情報の解読によるデータ漏洩の損害額はさらに大きく、437万ドルとなっています。2FAを導入すれば、データ漏洩を防ぎ、組織がお金を節約するのに役立ちます。
パスワードリセット要求の回数を減らせるため、さらなるコスト削減にもなります。ヘルプデスクへの問い合わせのうち、平均20~50 %がパスワードリセット要求です。リセット要求の費用は1回当たり70ドルですが、要求を繰り返していくうちに合計額は膨れ上がってしまいます。2FAを導入すれば、従業員は、セルフサービス式のパスワードリセットの手順で本人確認する追加の認証要素を使用することで、自分のパスワードの安全なリセットが可能になります。セルフサービス式のパスワードリセットの手順を導入することで、リセット要求の回数が減り、長期的に見て組織のコスト削減になります。
フィッシング攻撃を弱体化
2020年に発生したデータ漏洩の36 %はフィッシング攻撃によるものでした。しかも、この攻撃は年々巧妙になっています。Eメールの中に悪質なリンクや添付ファイルを忍ばせる手法も依然見られますが、現在は、ポリモーフィック型の詐欺や悪質なHTTPSサイト、中間者フィッシング攻撃、PhaaS(Phishing-as-a-Service)など、新たな手法も用いられるようになっています。
2FAを導入すれば、こうしたフィッシング攻撃を弱体化することができます。仮に、偽のEメールからパスワードを盗まれてしまったとしても、携帯電話に送られてくるワンタイムパスワード(OTP)など、Eメールをベースとしない別の認証要素が盗まれることはないため、アカウントの情報漏洩を防ぐことができます。
攻撃に余裕を持って対処
パスワードが漏洩してしまうと、社内ネットワークのハッキングを防ぐ時間はほとんどありません。ですが、2FAを導入すれば、ユーザがモバイルデバイスなどの2つ目の認証要素を紛失してしまっても、攻撃者から甚大な攻撃を受ける前に、セキュリティチームがある程度の余裕を持って問題に対処することができます。
リモート環境におけるユーザの生産性とセキュリティを向上
現在、新型コロナウイルス感染症が世界的に大流行していますが、多くの従業員が在宅勤務を行うことで、企業は事業継続性を維持できています。ただ、これに伴ってセキュリティ上の欠陥も生じています。セキュリティの確保されていないデバイスやフリーWiFiネットワークを使って社内のリソースにアクセスしている従業員が多いため、特にパスワード方式の認証の場合には、攻撃者がリソースにアクセスできてしまうのです。
2FAを導入すれば、実質的にどのデバイスや場所からでも、社内のネットワークやアプリケーション、ドキュメント、データなどのリソースに安全にアクセスすることができるため、企業は自社のセキュリティをリスクにさらすことなく、従業員の生産性を向上させることができます。
お客様の期待に応える
お客様にとってオンラインのアカウントやデータの保護は重要です。銀行やeコマースのWebサイトなど、金銭の取引を行うアカウントについては特にです。そのため、Webサイトに2FAが導入されることを期待しており、2FAを導入している企業とそうでない企業であれば、まず前者を選ぶでしょう。よって、エンドユーザにサービス提供する組織にとって2FAは必要不可欠と言えます。
Zero Trustセキュリティにとって2FAが重要な理由
2FAは、ユーザを「デフォルトで安全」なものとして受け入れていないため、Zero Trustの不可欠な要素となります。アクセス権を付与する前に、アカウントやデータにアクセスしようとしているユーザが本当に本人であることを確認します。そのため、2FAを社内のアプリケーションに導入することで、アカウントやデータの情報漏洩の阻止が可能になります。
OneLoginで2FAをシンプルに
OneLoginでは、クラウドベースの分かりやすい2FAサービスを提供しています。このサービスでは、まずユーザ名とパスワードでユーザ認証を行ったのち、OneLoginがユーザを検索して資格情報を確認します。追加の認証要素が必要な場合は、ログインページでユーザによる情報の入力が求められます。
ユーザはYubiKeyボタンを押すだけです。ボタンを押すと、生成されたOTPがブラウザの入力フィールドに直接送られるため、面倒で間違いやすい入力を行う必要がなくなります。次にOneLoginは次の点について確認を行います。
- YubiKeyが、アカウントにアクセスしようとしている認証ユーザのものであること
- 入力されたコードが以前に使用されたものでないこと
2FAとMFAの違い
まとめ
中には、強力な認証要素をさらに増やしてセキュリティの一層の強化を図ろうと、MFAの採用を希望している企業もあります。OneLoginなどの最新のMFAシステムは、「適応型ポリシーベースのMFA」として不正アクセスを防ぎ、企業のIAMプログラムを支えています。
悪意のある者から企業の資産を保護する際、2FAとMFAのどちらを選んでも構いません。どちらを選んでも、単一要素/パスワードベースのシステムよりも強固で信頼性の高いセキュリティを実現することができます。