「多要素認証だから安心」とは限らない? その“使いどころ”と実装時のこつ:MFA認証要素の違いと設計方法【後編】
「多要素認証(MFA)を導入すれば安心」というわけではない。MFAが有効なユースケースや、運用でのつまずきやすいポイントを理解しておこう。
生体情報やワンタイムパスワードを使用する「多要素認証」(MFA)は、導入すればそれで安全になるというわけではない。そのセキュリティ効果を発揮させるには、どのような点を考慮すればいいのか。MFAの主要な認証要素を解説した前編「本当に安全な『多要素認証』とは? MFA基本要素と巧妙化する攻撃への対抗手段」に続き、後編となる本稿はMFAが有効なユースケースや、MFA実装を成功させるために押さえておきたいポイントを解説する。
MFAの“使いどころ”と、実装を成功させるこつ
フィッシング攻撃をはじめ、認証情報が窃取されるリスクが高まる中、MFAが有効になるユースケースは拡大している。主なユースケースとしては、以下が挙げられる。
安全なリモートアクセスを提供する
早くから導入が進められてきたMFAのユースケースの一つが、「リモートアクセス」だ。特に、強固な物理的セキュリティが確保できない自宅や出張先などから社内システムにアクセスするユーザーにとって、MFAは不可欠なセキュリティ手段となっている。在宅勤務を実施するテレワーカーは、MFAによって自らのアカウントを保護しているケースが多い。
従業員による機密情報へのアクセスを制御する
MFAは、従業員が機密情報に安全にアクセスできるようにするための主要な手段として、広く活用されてきた。保護すべき情報には、従業員や顧客の個人データ、金融口座の情報、自社の知的財産や営業活用状の機密データなどが含まれる。銀行振込など機密性が高く、通常は職務分離が求められる操作にも、MFAによる厳格な認証が求められる。
顧客の機密情報を保護する
顧客向けサービスにおいても、MFAは重要なセキュリティ対策として普及しつつある。金融機関の顧客や医療機関の患者などは、自身のアカウントへの不正アクセスを防止する対策を当然のように期待している。その中にはフィッシング耐性のあるMFAの導入も含まれる。他人による金銭の不正引き出しや、個人情報の窃取といったインシデントを抑止する対策は極めて重要だ。
MFA実装のベストプラクティス
MFAを効果的に導入するには、事前にMFA実装の選択肢を慎重に評価することが欠かせない。CISO(最高情報セキュリティ責任者)やセキュリティチームは、全社的なMFAの本格展開に当たり、評価プロセスを通じて潜在的な課題を洗い出し、MFAのユースケースに適切に対応できるようにすることが望ましい。
安全かつ確実にMFAを実装するためのポイントは以下の通りだ。
フィッシング耐性のある認証方式を採用する
生体認証、ワンタイムパスワード(OTP)、暗号認証など、より強固な手法を検討する。例えば、従業員が既に社内で使用しているスマートカードをMFAにも活用できることも選択肢になる。
認証手段の紛失・忘失時の対応策を用意する
MFAでは、ユーザーが使用する認証手段を紛失したり忘れたりする事態が想定される。こうした場合に備え、代替手段や一時的なアクセス方法をあらかじめ設計しておくことが重要だ。
例えば、ユーザーが物理的なセキュリティキー「YubiKey」を自宅に忘れたまま海外出張に出てしまった場合などを想定し、代替手段や一時的なアクセス手続きなどを事前に設計しておくことが求められる。
MFA自体のセキュリティを確保する
攻撃者が認証サービスを乗っ取るなどしてMFA実装の侵害に成功したら甚大な被害につながる可能性がある。MFAの運用環境を多層的に保護し、監視体制を整備して、不審な挙動を早期に検知・対処できる体制を構築する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.