「多要素認証」の導入は簡単ではない。エンドユーザーは時として、何層もの認証が課されることに対して拒否反応を示すからだ。セキュリティと利便性を両立させる策はあるのか。
知識要素や所有要素といった複数の認証要素を組み合わせる「多要素認証」(MFA)を利用するIT部門は、会社のデータの安全性と、エンドユーザーにとっての利便性との間でバランスを取る必要に迫られる。
多くのIT部門にとって、社内データへのアクセスに対してMFAを導入したいと考える理由は、エンドユーザーが通過しなければならない認証の層が多いほど、データのセキュリティ対策を強化できるからだ。だがエンドユーザーは、仕事をするために多くの手順を踏むことを好まない。こうした中でIT部門は、一度のログインで複数のシステムが利用できる「シングルサインオン」(SSO)のような技術を通じて、部分的にエンドユーザーのニーズに応えることで、この困難な課題を克服しようとしている。
「MFAは必須であり、これを不要にする簡単な方法はない」。そう指摘するのはITサービス事業者PossibleNOWの最高技術責任者(CTO)、クリス・フーバー氏だ。「可能なのは、SSOを使ってエンドユーザーが1回ログインすると、全てにアクセスできるようにすることだ」(フーバー氏)
PossibleNOWは、Microsoftのクラウドサービス群「Office 365」のアプリケーションとドキュメント全てに2要素認証を使っている。SSOを利用することで、エンドユーザーは2種類の要素による認証を1度だけ通過した後は、それぞれのアプリケーションやドキュメントへアクセスするごとにログオンせずに済む。
フーバー氏が米シカゴで開かれた認証関連イベント「Cloud Identity Summit」で語ったところによると、エンドユーザーを満足させる鍵は、2要素認証の2要素目を短く単純なものとすることにある。PossibleNOWでは、エンドユーザーが1要素目の認証でユーザー名とパスワードを入力し、2要素目で会社のスマートカードをタッチするとアクセスできるようにしている。
他社でもMFAに対して同様のアプローチを取っている。例えば米中西部にある金融取引機関では、認証ベンダーDuo Securityのシステムを利用して、会社の全アプリケーションに対して2要素認証経由でエンドユーザーのアクセスを許可している。エンドユーザーは、クライアントPCから業務アプリケーションへアクセスする際、自分のユーザー名とパスワードを入力する。するとDuo Securityのシステムがエンドユーザーのスマートフォンへ通知を送付し、アプリケーションへアクセスしようとしていることを確認または否定するよう求める。以後はSSOにより、再度のログインを求めることなく全アプリケーションへのアクセスを許可する。
この金融取引機関の筆頭ID管理エンジニア、エリック・スールゴット氏は「われわれはエンドユーザー中心のアプローチを採用している」と話す。
別の戦略として、データの取り扱いに注意を要するアプリケーションやドキュメントのみにMFAを導入する方法もある。この方法はエンドユーザーにとって、特定の重要データへアクセスするために複数のハードルを設ける理由を理解しやすい。
自社のID管理戦略を統括する米アトランタのIT管理者は、エンドユーザーまたはそのデータに関連するリスクの程度に応じて、認証条件を設定している。「全エンドユーザーや全アプリケーションがMFAを必要とするわけではない」と同氏は説明する。同社は重要なデータを大量に扱う従業員であればMFAを適用し、そうでなければそのままアクセスさせている。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。