多要素認証(MFA)とは?
クラウドサービス別に徹底解説
はじめに
近年はクラウドサービスの普及で、Webサービスの利便性が高まり、様々な情報がWeb上で管理されるようになりました。それに伴い、情報漏洩のリスクも高くなりつつあります。かつての個人認証は、IDとパスワードのみというのが当たり前でしたが、Webサービスにおける情報の重要性に伴い、多要素認証が急速に重要視されるようになりました。本記事では多要素認証とは何か、なぜ多要素認証が必要なのか、クラウドサービス別の多要素認証について解説します。
多要素認証(MFA)とは?
システムやサービスを利用する際、利用者本人であることを確認する認証の一種で、多要素認証とは、知識情報(ユーザが知っている情報)、所持情報(ユーザが持っている情報)、生体情報(ユーザの身体の一部の情報)のうち、2要素以上を組み合わせて認証することを指します。
身近に利用されている多要素認証としてATMを利用する際の認証方法があります。キャッシュカード(所持情報)と暗証番号(知識情報)が必要とされ、3要素のうち2つの要素を認証に使うので、これは多要素認証の1つです。2つの要素だけで認証を行う場合は二要素認証とも呼ばれます。
他には、サービスやシステムにログインする際に、IDとパスワードの知識情報に加えてSMSに送信されるワンタイムパスワードで所持情報を入力したり、指紋の生体情報を使ったりすることで認証するログイン方法などがあります。
認証の種類
では、多要素認証で利用される情報について具体的にみてみましょう。知識情報(ユーザが知っている情報)、所持情報(ユーザが持っている情報)、生体情報(ユーザの身体の一部の情報)の3要素で使われるものとして以下のようなものがあります。
- 知識情報:ID、パスワード、PIN、秘密の質問、電話番号など
- 所持情報:ワンタイムパスワード、ICカード、キャッシュカード、トークン、認証アプリなど
- 生体情報:指紋、顔、虹彩、静脈、音声、網膜、耳介など
多要素認証の必要性とメリット
2021年8月23日に独立行政法人情報処理推進機構(IPA)が発表した「コンピュータウイルス・不正アクセスの届出事例」では、IDとパスワードでの認証を突破された不正アクセスが多かったと報告されています。その為、適切なIDとパスワード管理に加えて、多要素認証を取り入れることが対策として望ましいとされています。また、IPAの2020年度情報セキュリティに対する意識調査では、改善傾向にはあるものの、パスワードの使いまわしをしている人はパソコンでは44.3%、スマートデバイスでは52.3%と未だに多いことが判明しています。
参考:独立行政法人情報処理推進機構(IPA)、コンピュータウイルス・不正アクセスの届出事例 [2021年上半期(1月~6月)]
2020年度
情報セキュリティの倫理と脅威に対する意識調査【脅威編】報告書 頁19
▼パスワード設定における対策状況
出典:独立行政法人情報処理推進機構(IPA)、2020年度 情報セキュリティの倫理と脅威に対する意識調査 【脅威編】報告書、パスワード設定における対策状況「使い回しをしない」、19頁
パスワードの使いまわしの他にも、推測されやすいパスワードによる不正アクセスにより、情報漏洩につながるケースも多く報告されています。認証が必要なシステムやサービスが非常に多くなった昨今では、IDとパスワードだけでの認証はもはや不十分となってしまいました。そこでより強固な認証システムとして多要素認証が必要になり、近年急速に普及しつつあるのです。
多要素認証によって認証要素を増やすことで、セキュリティの強度が上がります。特に本人の身体にしかない情報である生体認証は、なりすまし防止策として有効であり、安全性が高いとされています。また、多要素認証で所持情報や身体情報を使用すれば、ユーザは複雑なパスワードに頼る必要がなく利便性も高まります。
クラウドサービス別の多要素認証
近年はクラウドサービスを利用する際、多要素認証を求められることが多くなったとお気づきの方も多いかと思います。本章では主なクラウドサービスの多要素認証についてみてみましょう。
Microsoft 365の多要素認証
Microsoft 365では、IDとパスワードに加え、第二認証要素として、次のいずれかを使用することで認証を行います。
- SMSメッセージ
- 電話呼び出し
- Microsoft Authenticator スマートフォンアプリ
これらの認証に対して、セキュリティの規定値を使用したり、条件付きのアクセスポリシーを使用したり、プランに応じて設定することができます。
また、2019年10月よりMicrosoft
AuthenticatorというスマートフォンアプリでMFAの使用が必須になりました。Microsoft
365はメールやOneDriveなど重要な情報を多く扱う可能性が高いため、MFAの設定には細心の注意が必要です。
Microsoft Azureの多要素認証
Microsoft Azureでは、IDとパスワードに加え、第二認証要素として、次のいずれかを使用することで認証を行います。
- Microsoft Authenticationアプリ
- OATHハードウェアトークン
- OATHソフトウェアトークン
- SMS
- 音声通話
Azure Active Directory(以下、Azure AD)というクラウドベースのアクセス管理サービスがあります。Azure ADを使用すれば、社内のシステムだけでなく、Microsoft社製品以外のAdobe、AWS、Dropbox、Salesforce、などの様々なクラウドサービスへのシングルサインオン(SSO)が可能です。Azureの多要素認証であるAzure AD Multi-Factor Authentication(MFA)を使用して、より安全で快適に認証できるようにしています。
Salesforceの多要素認証
Salesforceでは、IDとパスワードに加え、第二認証要素として、次のいずれかを使用することで認証を行います。
- Salesforce Authenticator(セールスフォース オーセンティケイター)
- サードパーティ製ワンタイムパスワード(TOTP)認証アプリケーション(Google Authenticator、Microsoft Authenticator、Authy)
- セキュリティキー(YubicoのYubiKey、GoogleのTitanセキュリティキーなど)
Salesforceでは、2022年2月1日より多要素認証が必須となります。Salesforceはセキュリティの強度とユーザの利便性のバランスを意識した多要素認証サービスを提供しています。
AWSの多要素認証
AWSでは従来のログイン認証後、第二認証要素として、AWSでサポートされている次のいずれかを使用することで認証を行います。
- 仮想MFAデバイス(スマホ・PCなどにインストールして利用できるアプリ)
- U2F(Universal 2nd Factor)セキュリティキー
- ハードウェアMFAデバイス
かつてはSMSテキストメッセージでの多要素認証方法もありましたが、すでに終了しています。また、2020年11月23日からWebAuthn(Web認証)をシングルサインオンで利用できるようになり、ノートパソコンやスマートフォンなどに組み込まれた認証システムで認証を行う事ができるようになりました。ノートパソコンの指紋認証や、スマートフォンの顔認証を利用してAWSの多要素認証を設定することができます。AWSでのシングルサインオン(SSO)は、Adobe、Dropbox、Office365、Salesforceなどに対応しています。
多要素認証の無効化
多要素認証はセキュリティを強化するために非常に有効な手段であり、当然の認証方法となりつつありますが、認証に利用する端末を忘れたなどの理由でサービスにアクセスできなくなることがあります。そういった場合、管理者は設定を行うことで無効化することができますので、ユーザにその旨や連絡手段などを事前に周知しておきましょう。
しかし、万が一紛失や盗難だった場合には第三者に悪用される可能性があるため、むやみに無効化することは非常に危険です。紛失や盗難にあった場合は、アカウントをロックし、パスワードをリセットするなどの方針を決めておく必要があります。
まとめ
本記事で解説したように、今後多要素認証は様々な場面で必要不可欠な認証方法となることは間違いないといえます。多要素認証はセキュリティ強度を高めるだけでなく、ユーザの利便性も向上させることができます。多要素認証の導入などで疑問やお悩みのことがあれば、是非セラクにご相談ください。
また、セラクは多要素認証システムに限らず、Microsoft
Azure、AWSなどのクラウドサービスを対象に、運用・保守・監視の全体を管理する充実したサービスを提供しております。専門性の高いセキュリティ技術者によるSOC(セキュリティ・オペレーション・センター)運用やセキュリティ診断などを通じて、お客様のIT資産を強固に守ります。
無料相談を行っておりますので、まずはお気軽にご相談ください。
24時間365日対応可能!
クラウド導入・運用は
セラクにおまかせください
その他の記事
