SOMPOリスクマネジメント株式会社が2023年10月に実施した『我が国における認証情報の漏洩実態調査』によると、国内企業500社のうち5分の1以上にあたる110社で認証情報の流出が検知されたといいます。認証情報の流出を完全に防ぐことは難しく、より現実に即したゼロトラストなアプローチが求められています。
そこで、導入が進んでいるのが「MFA(多要素認証)」です。本記事では、MFAがなぜ重要なのか、どのように実現するのか、何に注意すべきなのかといったポイントについて分かりやすく解説します。
MFA(多要素認証)とは、セキュリティを強化するために、二つ以上の異なる要素を使用してユーザーの身元を確認する認証方法です。具体的には、下記の3要素のうち二つ以上を組み合わせることでMFAは実現されます。
MFAの利点として、単一要素認証(例:パスワードのみを使用する認証)に比べて、不正アクセスのリスクを著しく低減することが挙げられます。パスワードが流出・盗難にあったとしても、攻撃者がユーザーのスマートフォンや生体情報を同時に入手することは容易ではありません。このようにMFAは多層的なセキュリティを提供し、アカウントの安全性を大幅に向上させることができます。
そんな効果の高さから業界を問わずMFAの導入は推進されており、Okta Japan株式会社が2023年6月に発表したプレスリリースによると、北米、APAC(アジア太平洋)、EMEA(ヨーロッパ、中東及びアフリカ)での導入率は平均64%に達しています。日本は54%で全世界の平均に比べて後れを取っていることも押さえておきましょう。
2022年2月にはCRMやSFA大手として知られるSalesforce製品においてMFAの導入が義務付けられ、その普及率はさらに高まりました。Amazon Web Services(AWS)も2024年半ばより全ての特権アカウントにMFAを義務付ける方針を示しており、今後MFAのデフォルト化はさらに進んでいくでしょう。
MFAの有用性は分かったがいったいどのように実現すればいいのでしょうか。 その方法としては、「サービスのMFA機能を利用する方法」「MFAツールを使う方法」の二つが存在します。
AWS、GCP、Azureの3大クラウドやSalesforce、Google WorkSpace、Microsoft 365など業務で用いられる代表的なクラウドサービスの多くはMFA設定が可能な仕組みを備えています。それらの多くは管理画面から設定を変更する、あるいはベンダーが開発したアクセス管理システムを利用することでMFAを実現することが可能になります。また、デフォルトで多要素認証や2段階認証が設定されているケースもあります。
例えば、各クラウドサービスにおいてMFAの実現に用いることができるシステムとしては以下のようなものが挙げられます。
なお、Google WorkSpaceなど「2 段階認証プロセス」を設定することで、多要素認証(2要素認証)を実現できる場合もあります。2段階認証はその名の通り認証を2段階に分けることでセキュリティを高める仕組みですが、「ID・パスワード」と「秘密の質問」のように一種類の要素(この場合知識要素だけ)が用いられる場合も含む点に注意が必要です。
MFAの実現に特化したツールをMFAツールと言います。また、セキュリティソフトやID管理ツールにMFA機能が搭載されている場合も多くあります。これらのツール(やソフトウエア)はそれぞれ対応している認証機能が異なります。
すでに利用しているクラウドサービスにMFA機能が搭載されている場合や、スポット的にMFAをシステムに組み込みたい場合など、状況や動機によって適切なMFAの導入プロセスは異なります。
多くの場合、MFAのみならずアクセス制御や特権ID管理といった認証セキュリティについて総合的に判断した上で、ツールの導入に踏み切ることになるはずです。
最後に、MFAを導入・運用するにあたって注意すべきポイントについて押さえておきましょう。
MFAの運用においては、セキュリティとユーザー体験のバランスが非常に重要です。認証プロセスが複雑すぎると、ユーザーに不満や抵抗感が生じ、結果として生産性の低下やセキュリティを危険にさらすような行動につながる場合があります。そのため、実際の業務フローやユーザーの作業効率を考慮し、一度の認証で複数のシステムにログイン可能な「シングルサインオン(SSO)」や状況に応じてセキュリティを強化する「適応型認証」を導入するなど、柔軟な認証ステップを設定することが推奨されます。また、ユーザー教育を徹底し、MFAの利用方法やその重要性を理解してもらうことも、スムーズな運用には不可欠です。
MFAは認証セキュリティにおいて大きな効果を発揮しますが、導入すれば必ず安全が保障されるわけではありません。継続的な監視を通して、不正アクセスがあった場合の追跡や脆弱性の早期発見に努めることが企業には求められます。MFAシステムの定期的な更新と運用方針の見直しを行うことはもちろん、端末の紛失やID・パスワードの流出など一要素の認証情報が危機にさらされた場合に、「MFA疲労攻撃」(誤って、あるいは混乱して生体情報や所持情報でユーザーがログインしてしまうことを狙う攻撃)などを防ぐための教育と速やかな再設定のガイドラインを用意しておきましょう。
義務化が進められているクラウドサービスも多く、認証セキュリティのスタンダードとなりつつあるMFAについて解説してまいりました。今後、ID・パスワードといった知識要素のみで認証情報を保護するのはリスクが高いという認識はどんどん広まっていくはずです。今のうちに自社の認証にMFAを導入することを検討しましょう。