多要素認証でサイバー攻撃のリスクを低減する
2021年4月23日 | Lucie Lawrence | セキュリティとコンプライアンス
ほとんどの企業では、従業員が基幹アプリケーションにログインする際、多要素認証(MFA)の使用を義務付けているのでしょうか?
答えは「イエス」です。実際、テクノロジーリーダーを対象とした最近の調査によると、79%の回答者が仕事でMFAの使用を義務付けられており、義務付けられていないのはわずか21%でした。
MFAとは、強力なアイデンティティとアクセス管理(IAM)ポリシーの中核をなすものなので、これは朗報です。MFAは、アプリケーション、オンラインアカウント、VPNなどのリソースにアクセスしようとするユーザーに、2つ以上の検証要素の提供を要求する認証方法です。MFAでは、単にユーザー名とパスワードを要求するのではなく、追加で1つ以上の検証要素を要求することで、サイバー攻撃の成功率を低下させます。
MFAの主な利点は、ブルートフォース攻撃に弱く、サイバー犯罪者に盗まれる可能性のあるユーザー名とパスワードだけでなく、ユーザーに追加の情報を要求することで、組織のセキュリティを強化できる点です。親指の指紋や物理的なハードウェアキーといったMFA要素の使用を義務付けることで、犯罪者から守られていると実感できることでしょう。
MFAは、追加の検証情報(要素)を要求することで機能します。ユーザーにとって最も一般的なMFA要素の1つが、ワンタイムパスワード(OTP)です。OTPは4~8桁のコードで、多くの場合、電子メールやSMS、モバイルアプリなどで受け取ります。OTPでは、定期的に、あるいは認証要求が送信されるたびに、新しいコードが生成されます。コードの生成は、初回登録時にユーザーに割り当てられたシード値と、その他の要素(インクリメントされるカウンターや時間値など)にもとづいて行われます。
ほとんどのMFA認証方法は、次の3種類の追加情報のいずれかにもとづいています。
- ユーザーが知っていること(知識情報) 例:パスワード、PIN
- ユーザーが持っているもの(所持情報) 例:バッジ、スマートフォン
- ユーザー自身の特徴(生体情報) 例:指紋や音声認識をはじめとする生体認証
MFAに機械学習や人工知能(AI)が統合されると、認証方法は以下のように高度化していきます。
位置情報ベースの認証。位置情報を利用したMFAでは通常、ユーザーのIPアドレスと、可能であれば地理的な位置情報を確認します。
適応型認証、もしくはリスクベース認証。MFAのもう1つのサブセットが適応型認証です。これは、リスクベース認証とも呼ばれています。リスクベース認証は、認証の際にコンテキストや動作を考慮して追加の要因を分析します。多くの場合、これらの値を使ってログイン試行に関連するリスクのレベルを割り当てます。
たとえば、以下のようなものです。
- どこから情報にアクセスしようとしているユーザーは来ているのか?
- いつ会社の情報にアクセスしようとしているのか?通常の業務時間なのか、それとも時間外なのか?
- どのようなデバイスが使用されているのか?昨日使用されたものと同じデバイスか?
- 接続はプライベートネットワーク経由なのか、パブリックネットワーク経由なのか?
これらの質問への回答にもとづいてリスクレベルが計算され、ユーザーに追加の認証要素を求めるかどうか、あるいはログインを許可するかどうかを決定します。
リスクベース認証を導入した場合、深夜にカフェからログインするという普段とは異なるアクティビティをしたユーザーは、ユーザー名とパスワードの入力に加えて、携帯電話に送信されてきたコードを入力する必要があります。一方、毎日午前9時にオフィスからログインするユーザーに求められるのは、ユーザー名とパスワードの入力だけです。
サイバーセキュリティにおいては、最良の攻撃は最良の防御です。そして、効果的に実施されるMFA戦略は、サイバー犯罪者に対する最初の防衛線となります。すべてのリスクを完全に排除することはできませんが、社内で深刻な問題が発生するのを未然に防ぐことはできます。