「多要素認証」（MFA）を導入しても社員の猛反発を受けない方法とは？：シングルサインオン（SSO）の併用が選択肢

「多要素認証」の導入は簡単ではない。エンドユーザーは時として、何層もの認証が課されることに対して拒否反応を示すからだ。セキュリティと利便性を両立させる策はあるのか。

[Ramin Edmond，TechTarget]

MFAの導入には考慮すべき課題も

　知識要素や所有要素といった複数の認証要素を組み合わせる「多要素認証」（MFA）を利用するIT部門は、会社のデータの安全性と、エンドユーザーにとっての利便性との間でバランスを取る必要に迫られる。

　多くのIT部門にとって、社内データへのアクセスに対してMFAを導入したいと考える理由は、エンドユーザーが通過しなければならない認証の層が多いほど、データのセキュリティ対策を強化できるからだ。だがエンドユーザーは、仕事をするために多くの手順を踏むことを好まない。こうした中でIT部門は、一度のログインで複数のシステムが利用できる「シングルサインオン」（SSO）のような技術を通じて、部分的にエンドユーザーのニーズに応えることで、この困難な課題を克服しようとしている。

　「MFAは必須であり、これを不要にする簡単な方法はない」。そう指摘するのはITサービス事業者PossibleNOWの最高技術責任者（CTO）、クリス・フーバー氏だ。「可能なのは、SSOを使ってエンドユーザーが1回ログインすると、全てにアクセスできるようにすることだ」（フーバー氏）

エンドユーザーにアクセスさせる

　PossibleNOWは、Microsoftのクラウドサービス群「Office 365」のアプリケーションとドキュメント全てに2要素認証を使っている。SSOを利用することで、エンドユーザーは2種類の要素による認証を1度だけ通過した後は、それぞれのアプリケーションやドキュメントへアクセスするごとにログオンせずに済む。

　フーバー氏が米シカゴで開かれた認証関連イベント「Cloud Identity Summit」で語ったところによると、エンドユーザーを満足させる鍵は、2要素認証の2要素目を短く単純なものとすることにある。PossibleNOWでは、エンドユーザーが1要素目の認証でユーザー名とパスワードを入力し、2要素目で会社のスマートカードをタッチするとアクセスできるようにしている。

　他社でもMFAに対して同様のアプローチを取っている。例えば米中西部にある金融取引機関では、認証ベンダーDuo Securityのシステムを利用して、会社の全アプリケーションに対して2要素認証経由でエンドユーザーのアクセスを許可している。エンドユーザーは、クライアントPCから業務アプリケーションへアクセスする際、自分のユーザー名とパスワードを入力する。するとDuo Securityのシステムがエンドユーザーのスマートフォンへ通知を送付し、アプリケーションへアクセスしようとしていることを確認または否定するよう求める。以後はSSOにより、再度のログインを求めることなく全アプリケーションへのアクセスを許可する。

　この金融取引機関の筆頭ID管理エンジニア、エリック・スールゴット氏は「われわれはエンドユーザー中心のアプローチを採用している」と話す。

　別の戦略として、データの取り扱いに注意を要するアプリケーションやドキュメントのみにMFAを導入する方法もある。この方法はエンドユーザーにとって、特定の重要データへアクセスするために複数のハードルを設ける理由を理解しやすい。

　自社のID管理戦略を統括する米アトランタのIT管理者は、エンドユーザーまたはそのデータに関連するリスクの程度に応じて、認証条件を設定している。「全エンドユーザーや全アプリケーションがMFAを必要とするわけではない」と同氏は説明する。同社は重要なデータを大量に扱う従業員であればMFAを適用し、そうでなければそのままアクセスさせている。

併せて読みたいお薦め記事

「多要素認証」についてもっと詳しく

• パスワードだけでは不安な人に贈る「多要素認証製品」8選
• パスワードだけでは危険過ぎる、「2要素認証」利用のススメ

“パスワードのない世界”は実現するのか

• “パスワードがない世界”が目前でも「パスワード使い回し」が大問題になる理由
• “パスワード認証の悪夢”から解放する「フェデレーション」の底力
• 「IDaaS」は“パスワード認証の悪夢”から逃れるための救世主となるか？

どちらへ傾くか