「多要素認証」の導入は簡単ではない。エンドユーザーは時として、何層もの認証が課されることに対して拒否反応を示すからだ。セキュリティと利便性を両立させる策はあるのか。
知識要素や所有要素といった複数の認証要素を組み合わせる「多要素認証」(MFA)を利用するIT部門は、会社のデータの安全性と、エンドユーザーにとっての利便性との間でバランスを取る必要に迫られる。
多くのIT部門にとって、社内データへのアクセスに対してMFAを導入したいと考える理由は、エンドユーザーが通過しなければならない認証の層が多いほど、データのセキュリティ対策を強化できるからだ。だがエンドユーザーは、仕事をするために多くの手順を踏むことを好まない。こうした中でIT部門は、一度のログインで複数のシステムが利用できる「シングルサインオン」(SSO)のような技術を通じて、部分的にエンドユーザーのニーズに応えることで、この困難な課題を克服しようとしている。
「MFAは必須であり、これを不要にする簡単な方法はない」。そう指摘するのはITサービス事業者PossibleNOWの最高技術責任者(CTO)、クリス・フーバー氏だ。「可能なのは、SSOを使ってエンドユーザーが1回ログインすると、全てにアクセスできるようにすることだ」(フーバー氏)
PossibleNOWは、Microsoftのクラウドサービス群「Office 365」のアプリケーションとドキュメント全てに2要素認証を使っている。SSOを利用することで、エンドユーザーは2種類の要素による認証を1度だけ通過した後は、それぞれのアプリケーションやドキュメントへアクセスするごとにログオンせずに済む。
フーバー氏が米シカゴで開かれた認証関連イベント「Cloud Identity Summit」で語ったところによると、エンドユーザーを満足させる鍵は、2要素認証の2要素目を短く単純なものとすることにある。PossibleNOWでは、エンドユーザーが1要素目の認証でユーザー名とパスワードを入力し、2要素目で会社のスマートカードをタッチするとアクセスできるようにしている。
他社でもMFAに対して同様のアプローチを取っている。例えば米中西部にある金融取引機関では、認証ベンダーDuo Securityのシステムを利用して、会社の全アプリケーションに対して2要素認証経由でエンドユーザーのアクセスを許可している。エンドユーザーは、クライアントPCから業務アプリケーションへアクセスする際、自分のユーザー名とパスワードを入力する。するとDuo Securityのシステムがエンドユーザーのスマートフォンへ通知を送付し、アプリケーションへアクセスしようとしていることを確認または否定するよう求める。以後はSSOにより、再度のログインを求めることなく全アプリケーションへのアクセスを許可する。
この金融取引機関の筆頭ID管理エンジニア、エリック・スールゴット氏は「われわれはエンドユーザー中心のアプローチを採用している」と話す。
別の戦略として、データの取り扱いに注意を要するアプリケーションやドキュメントのみにMFAを導入する方法もある。この方法はエンドユーザーにとって、特定の重要データへアクセスするために複数のハードルを設ける理由を理解しやすい。
自社のID管理戦略を統括する米アトランタのIT管理者は、エンドユーザーまたはそのデータに関連するリスクの程度に応じて、認証条件を設定している。「全エンドユーザーや全アプリケーションがMFAを必要とするわけではない」と同氏は説明する。同社は重要なデータを大量に扱う従業員であればMFAを適用し、そうでなければそのままアクセスさせている。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
