目次
多要素認証とは、「知識情報」「所持情報」「生体情報」の2つ以上を組み合わせた認証方法です。
Webサイトのマイページにログインするときに、IDとパスワードに加えて、スマートフォンを利用したSMS認証を行う場合は多要素認証に該当します。
ゼロトラストでは「何も信頼しない」を前提にセキュリティ対策を行う必要があるので、多要素認証を導入すると安全性の高い認証ができることが大きなメリットです。
実際にゼロトラストを推進している企業の52%が多要素認証を導入済み、導入予定を含めると75%に達することからも、多要素認証はゼロトラスト推進時に検討したい方法だと言えるでしょう。
※2023年対象企業の結果
ただし、多要素認証はセキュリティの強化と社員の利便性の双方を意識して導入しないと、長期的な運用が難しくなる可能性があります。
ゼロトラストを実現するためにも、導入方法や導入ポイントを押さえておくことが欠かせません。
そこで本記事では、多要素認証の概要や例を理解したうえで、ゼロトラストを実現するために導入したほうが良い理由や具体的な導入方法をご紹介します。
とくに、後半では多要素認証を導入する時に知っておきたいポイントにも触れているので必見です。
本記事を最後まで読めば、ゼロトラストを実現するために多要素認証を導入するべきか判断できます。
多要素認証はゼロトラストの実現に向けて導入を検討したい方法なので、ぜひ参考にしてみてください。
1. ゼロトラストで導入したほうが良い多要素認証とは
冒頭でも触れたように、多要素認証(MFA)とは、「知識情報」「所持情報」「生体情報」の2つ以上を組み合わせた認証方法です。
ゼロトラストでは、パソコンやサーバー、クラウドサービスなどへのログイン時に多要素認証の活用が検討できます。
※具体的な例は「多要素認証の具体例」で解説しています
従来はID・パスワードのみでログインする方法が主流でしたが、IDやパスワードを盗まれた際に機密情報が漏えいするリスクがありました。また、一つの方法だけではセキュリティと利便性の双方を高めることが難しい傾向もあります。
そこで、多要素認証では本人しか知り得ない情報を複雑に組み合わせて、どのような環境下でも安全性の高いログインができる状態を目指しています。
例えば、クラウドサービスの利用時に、自身が設定したID・パスワード(知識情報)の入力後に、指紋認証(生体情報)をしてログインする方法が該当します。
多要素認証を理解するには、「知識情報」「所持情報」「生体情報」について正しく知る必要があります。
| 多要素認証の3つの認証方法 | |
|
知識情報
|
本人しか知り得えない知識で認証する方法 ・ID ・パスワード ・暗証番号 ・秘密の質問 など |
|
所持情報
|
本人の所持品を使って認証する方法 ・スマートフォンを使ったSMS認証 ・社員証 ・身分証明書 ・電子証明書 など |
|
生体情報
|
本人の生体に関する情報で認証する方法 ・指紋認証 ・顔認証 ・声紋認証 ・静脈認証 など |
1-1. 知識情報|パスワード・秘密の質問
本記事では、セキュリティ監視について、以下の内容を解説します。
| 知識情報 | ||
| 概要 | 本人しか知り得ない | |
| メリット | 普及している方法なので利用しやすい | |
| デメリット | ・第三者に情報漏えいすると大きなトラブルに発展する可能性がある ・IDやパスワードを使い回さないなど設定者のリテラシーが必要 |
|
知識情報とは、本人しか知り得ない知識で認証する方法です。本人が設定したパスワードや、秘密の質問などが該当します。
|
【知識情報の例】 ・ID |
例えば、クラウドサービスのログイン時に、IDとパスワードを入力する場合は「知識情報」を使用しています。
知識情報での認証は最も普及している方法なので、利用者側の抵抗がなく利用しやすい点がメリットです。
一方で、IDやパスワードの管理、作成は、利用者のリテラシーに依存します。
2023年にトレンドマイクロ株式会社が実施した「パスワードの利用実態調査2023」によると、83.8%がパスワードを使い回していることが分かっています。
IDやパスワードの使い回しは第三者に漏えいするリスクが上昇するため、適切な管理が必要でしょう。
また知識情報は、ID、ランダムなパスワードを組み合わせてログインを試みるサイバー攻撃の対象にもなりやすいです。
サイバー攻撃の標的になると、機密情報などが漏えいする危険性があります。
このように、知識情報は利用者が使いやすいものの、セキュリティリスクを考えると知識情報だけでは守り切れなくなっていることが分かるでしょう。
1-2. 所持情報|スマートフォン・社員証
| 所持情報 | ||
| 概要 | 本人の所持品を使って認証する方法 | |
| メリット | 他の認証方法と組み合わせることでセキュリティを強化できる | |
| デメリット | ・認証対象の所持品を紛失すると情報漏えいリスクがある ・認証対象の所持品を忘れると認証できない |
|
所持情報は、本人の所持品を使って認証する方法です。スマートフォンのSMS認証や身分証明書でのログインなどが該当します。
|
【所持情報の例】 ・スマートフォンを使ったSMS認証 |
例えば、パソコンを利用してクラウドサービスにログインする時に、スマートフォンに送られてきた認証コードを使ってログインする場合は「所持情報」を使用しています。
所持情報のみで認証することは少なく、他の認証方法と組み合わせることでセキュリティを強化できる点がメリットです。
一方で、認証対象となる所持品を紛失する、忘れるなどすると、ログインができずに業務に支障が出る可能性があります。
例えば、社内システムのログイン時にスマートフォンに認証コードを送信する場合、スマートフォンを忘れると認証できません。
どのような所持情報であれば利便性と安全性を両立できそうか検討しながら、導入する必要があるでしょう。
1-3. 生体情報|指紋・声
| 生体情報 | ||
| 概要 | 本人の生体に関する情報で認証する方法 | |
| メリット | 複製やなりすましが難しくセキュリティを強化できる | |
| デメリット | ・生態情報を認識する機能が必要になる ・認証の精度が周辺環境に左右される可能性がある ・しっかりと生態情報を選別できる精度の高い機能が必要になる |
|
生体情報とは、本人の生体に関する情報で認証する方法です。指紋認証や顔認証などが該当します。
|
【生体情報の例】 ・指紋認証 |
例えば、スマートフォンをログインする時に指紋をあてて認証する場合は「生体情報」を使用しています。
生体情報は個別性が高く複製やなりすましが難しいので、セキュリティを強化できる点が大きなメリットです。
一方で、生体認証をするには指紋や声紋など、対象となる生体を認識する機器や機能が必要です。
機能の精度によりセキュリティの度合いも左右されるため、しっかりと生態情報の判断ができる機能を導入しなければなりません。
また、顔認証や声紋認証は、周辺環境により正しく認証できない可能性があります。
例えば、暗い環境では顔認証がなかなかできずに、煩わしさを感じるかもしれません。
このように、生体情報は認証する機器や認証する環境によって、向き不向きがあることを理解しておきましょう。
2. 多要素認証の具体例
多要素認証の概要が分かったところで、実際にどのように活用できるのか具体的な例をご紹介します。
多要素認証の組み合わせ方は多種多様なので、一つの例として確認してみてください。
| 多要素認証の具体例 | |
| ・知識情報×所持情報の例 ・生体情報×知識情報の例 |
2-1. 知識情報×所持情報の例
まずは、知識情報と所持情報の多要素認証の例です。
今回はパソコンで社内システムにログインするケースを想定しています。
|
【多要素認証の手順】 1.パソコンのログイン画面に本人が設定したID(知識情報)とパスワードを入力します。 |
この事例では、IDとパスワードの知識情報と、所有しているスマートフォンを使った所持情報を組み合わせています。
今回はスマートフォンに一度しか使用できないワンタイムパスワードが届く事例でしたが、スマートフォンアプリを活用する方法や社員証やICカードをカードリーダーに差し込む方法、電子証明書を活用した方法なども検討できます。
2-2. 生体情報×知識情報の例
続いて、生体情報と知識情報の多要素認証の例です。
スマートフォンやタブレットから、業務で使用するクラウドサービスにログインするケースを想定しています。
|
【多要素認証の手順】 1.指紋認証(生体情報)でクラウドサービスにログインします。 |
この事例では、指紋認証の生体情報と、IDとパスワードの知識情報を組み合わせています。
生体情報を認証できる機能や機器がある場合は、顔認証や声紋認証などと組み合わせることも可能です。
|
【多要素認証と二段階認証は大きく異なる】 多要素認証を検討するときに「二段階認証」という言葉を耳にするかと思いますが、多要素認証と二段階認証は仕組みが異なります。 |
3. 多要素認証はゼロトラスト実現のために導入したほうが良い
ここまで、多要素認証の基礎知識について解説してきました。
多要素認証はパソコンやクラウドサービス、サーバーなどにログインする際にセキュリティを強化する方法として有効です。
ゼロトラストの実現においても、多要素認証は導入したほうが良いでしょう。
ゼロトラストのガイドライン「NIST SP800-207」でも提示されているように「厳格な認証」は重要なポイントになるからです。
|
【NIST SP800-207で提示されているゼロトラストの基本的な7つの考え方】 1.すべてのデータソースとコンピューティングサービスをリソースとみなす |
参考:独立行政法人情報処理推進機構「ゼロトラスト移⾏のすゝめ」
また、フォーティネットが公表している「ゼロトラストに関する現状レポート」を見ると、ゼロトラストに取り組んでいる企業の52%が多要素認証を実装済みです。
実装予定の企業を合わせると75%に達することからも、ゼロトラスト実現に向けて多要素認証を実装したほうが良いと考えられるでしょう。
※2023年対象企業の結果
ここでは、ゼロトラスト実現のために多要素認証を実装したほうが良い理由をより詳しく解説していきます。
ゼロトラストの導入時に多要素認証を導入するべきか判断するためにも、参考にしてみてください。
| ゼロトラストの実現のために多要素認証を導入したほうが良い理由 | |
| ・ゼロトラスト実現に向けてセキュリティを強化できる ・多様な働き方に対応できる |
▼ゼロトラストの概要については、下記の記事で詳しく解説しています。
3-1. 理由1:ゼロトラスト実現に向けてセキュリティを強化できる
多要素認証の最大のメリットは、ゼロトラスト実現に向けてセキュリティを強化できることです。
そもそもゼロトラストは「何も信頼しない」を前提としたセキュリティの考え方を指します。
従来の認証方法では、内部不正や外部不正など様々なリスクがありました。
| 従来の認証のリスク | ||
| 社内 | ・社内でIDやパスワードを使い回してしまうリスクがある ・社内で保管していたIDやパスワードが社外に流出するリスクがある |
|
| 社外 | ・リスト型攻撃(何らかの理由でIDとパスワードがセットで出回り攻撃を受ける)により情報漏えいするリスクがある ・端末の盗難、紛失などによりログイン情報が盗まれるリスクがある |
|
例えば、IDとパスワードの認証だけでは社内での不正、社外でのサイバー攻撃の標的になるリスクがあるでしょう。
このリスクを抱えたままゼロトラスト実現に向けてIT基盤の改善やクラウド移行を進めても、十分なセキュリティ強化が実現できないと考えられます。
一方で、多要素認証はログインする当事者しか持ち合わせていない要素を組み合わせるため、セキュリティを強化できます。
例えIDやパスワードを不正入手し知識情報をクリアできたとしても、次の段階の所持情報や生体情報を突破することは難しいでしょう。
実際にMicrosoftが実施した調査では、多要素認証を導入するとアカウントが侵害されるリスクは99%以上低下すると言われています。
ゼロトラスト実現に向けて、情報漏えいやサイバー攻撃のリスクを軽減するためには、多要素認証を導入したほうがいいでしょう。
参考:Microsoft公式サイト「多要素認証登録ポリシーを構成する」
3-2. 理由2:多様な働き方に対応できる
ゼロトラスト導入を進める目的に、テレワークなど時代に応じた働き方のへの対応を掲げている企業は多いです。
多様な働き方を実現するには、場所を問わず安全性を確保して必要な情報にアクセスすることが求められます。
社内外問わず安全にアクセスできるネットワーク、クラウドサービスの整備も必要ですが、併せて認証方法の見直しも欠かせません。
テレワーク時は社内環境とは異なり、周囲の目がありません。
そのため、セキュリティ意識が薄れてしまい、下記のようなトラブルが起きる可能性があります。
|
【多様な働き方での認証リスク例】 ・IDとパスワードを記載したメモを置き忘れてしまう |
多要素認証を導入していれば、社外の環境であっても一定のセキュリティを担保しながらパソコンやクラウドサービスなどにアクセスできます。
万が一、紛失や盗難に遭っても第三者にログインされにくく、多様な働き方に適応しやすくなるでしょう。
|
【業務パソコンが紛失した事例】 社員が電車移動中に、業務用のパソコンを置き忘れてしまいました。紛失届を出したところ業務用のパソコンは無事に発見。 |
それぞれの課題についての詳細や具体的な対策を解説していきます。
|
【テレワークでは多要素認証が推奨されている】 総務省が公表している「テレワークセキュリティガイドライン」では、アカウント・認証管理の方法として、多要素認証を推奨しています。 |
4. ゼロトラスト実現に向けて多要素認証を実装する手順
ここまで読み、ゼロトラストの実現に向けて多要素認証を導入しようと思った方も多いでしょう。
第4章では、ゼロトラストの実現に向けて多要素認証を導入するステップをご紹介します。
どのような点に注意しながら導入を進めるべきか分かるので、参考にしてみてください。
4-1. 多要素認証が必要な範囲を決める
まずは、多要素認証が必要な範囲を決めましょう。
多要素認証を設定する範囲としては、下記のようなものが考えられます。
|
【多要素認証の範囲】 ・パソコンやタブレットのログイン時 |
あらゆるログイン時、アクセス時に多要素認証を設けると社員の負担になるため、下記のポイントを参考にして範囲を検討すると良いでしょう。
|
【多要素認証の範囲を決めるポイント】 ・セキュリティを高める必要性のある範囲から導入する |
例えば、機密情報を保存しているサービスから多要素認証に対応するなど、優先度の高い範囲から段階的に移行することが検討できます。
また、より多くの情報にアクセスできる権限を持つユーザーのみ多要素認証を導入する、クレジットカードの情報を入力する度に多要素認証を設けるなどの細かな設定も可能です。
4-2. 多要素認証を実装する
多要素認証を導入する範囲が決まったら、多要素認証を実装します。
現状によって2通りの実装方法があるので、どちらに該当するのか確認したうえで進めてみてください。
4-2-1. 多要素認証を使える場合は設定をする
多要素認証に対応しているツールやソリューションを導入している場合は、多要素認証が使えるように設定します。
既に利用しているツールやソリューションにより多要素認証の設定方法は異なるため、設定手順を参考にしながら実装しましょう。
例えば「Microsoft 365」のサインインは多要素認証に対応しているので、多要素認証ができる設定をすれば他のツールがなくても実装できます。
|
【多要素認証は組み合わせも大切】 多要素認証は、どの認証方法を組み合わせるのか組み合わせが大切です。 |
4-2-2. 多要素認証ツールを導入する
多要素認証に対応しているツールを利用していない場合は、多要素認証ツールを導入します。
実装する環境や認証方法、投資できる費用により選ぶべきツールが大きく変わるため、下記を参考にツールを選定してみてください。
|
【多要素認証ツールの選び方】 ・実装する環境に対応しているか(社内の環境、社外の環境など) |
現在使用している社内システムと多要素認証ツールを連携させて使う場合は、問題なく連携できるか確認する必要があります。
また、生体情報を使う場合は、指紋認証リーダーなど付随するシステムも必要となる場合があります。
導入コストやランニングコストを考えながら、自社のゼロトラストの目的やゴールに合うツールを選びましょう。
| 多要素認証ツール選びにお悩みの場合は「クエスト」にご相談ください | |
| 自社のゼロトラストの実現に応じた多要素認証ツール選びは、ゼロトラストの知識と幅広いツールに関する知識が必要です。 「どのツールなら問題なく導入できるのか」「どのツールが自社の目指すゼロトラストと相性が良いのか」お悩みの場合は、私たち「クエスト」にご相談ください。 お客様企業の現状や課題に応じた多要素認証ツールの提案やゼロトラスト導入支援をさせていただきます。 |
4-3. 社員に周知して多要素認証を定着させる
多要素認証ができる環境が整ったら、社員に周知して多要素認証を定着させましょう。
せっかく多要素認証を導入しても、社員が利用を避けていたら多要素認証のメリットを活用できません。
具体的には、下記のような取り組みをして、社員が問題なく多要素認証が使えるようにサポートすると良いでしょう。
|
【多要素認証を浸透させる施策例】 ・多要素認証の導入経緯や必要性を説明する |
とくに、多要素認証の導入時は設定や操作方法に迷うケースがあります。
事前に説明会を実施したり相談窓口を設置したりして、社員が問題なく使用できる状態にすると浸透しやすくなるでしょう。
5. ゼロトラストの実現に向けて、多要素認証を導入する時の注意点
ゼロトラストの実現に向けて多要素認証を導入したほうが良い理由が把握できたところで、多要素認証を導入する時の注意点も気になるところでしょう。
第5章では、事前に知っておきたい多要素認証を導入するときの注意点をご紹介します。
多要素認証の注意点を知っていれば対策をしながら導入できるため、参考にしてみてください。
| ゼロトラストの実現に向けて多要素認証を導入する時の注意点 | |
| ・社員の負担が増えないように配慮する ・導入コストやランニングコストがかかる |
5-1. 社員の負担が増えないように配慮する
ゼロトラストの実現に向けて多要素認証を導入するときは、社員の負担が増えないように注意しましょう。
多要素認証はパスワードID認証と比較すると社員がやるべき工程が増えるため「認証に時間がかかる」「面倒だと感じる」など、負担に不満を抱く声があることも事実です。
セキュリティ強化を意識するあまり社員の負担感が大きくなると社内に定着しにくいので、利便性と安全性のバランスを考えて導入すると良いでしょう。
社員の負担を軽減する対策法は「社員の負担を減らす多要素認証の導入がポイント」で詳しく解説しているので参考にしてみてください。
5-2. 導入コストやランニングコストがかかる
現在多要素認証に対応しているツールを導入していない限りは、多要素認証に対応するためのツールや機器を導入しなければなりません。
多要素認証ツールのコストは機能や実装する環境、導入範囲により大きく異なるため一概には言えませんが、生体情報やUCカードなどの所持情報を使う場合はコストが高くなる傾向があります。
導入を検討している多要素認証ツールの導入コストとランニングコストを踏まえて、運用できそうか検討することが重要でしょう。
ただし、忘れてはいけないのは、コストだけを見て多要素認証の導入を判断しないことです。
そもそも、多要素認証を含むゼロトラストは、起こり得るリスクを未然に防ぐための投資です。
十分なセキュリティ対策を怠ると、情報漏えいやウイルス感染などが起こり、企業にとって大きなダメージを与える可能性があります。
場合によっては、下記の事例のように一定期間営業ができない、企業の信用を損ねるなど「セキュリティ対策さえしていれば」と後悔することが考えられます。
|
【ID・パスワードが原因の一つになったインシデント事例】 O病院ではサイバー攻撃により、電子カルテを含めた総合情報システムが使えなくなり業務に大きな支障が出ました。 |
ゼロトラストを推奨するためにコストは課題になりがちですが、企業として必要な投資であることを忘れずに考えることが大切です。
6. 社員の負担を減らす多要素認証の導入がポイント
ゼロトラストの実現に向けて多要素認証を導入するときは、セキュリティを強化するのはもちろんのこと社員の負担軽減に着目することがポイントです。
いくらセキュリティを強化できる多要素認証ツールであっても社内で運用できなければ、長期的に使用できないからです。
そこでここでは、社員の負担を減らす多要素認証の導入のポイントを2つご紹介します。
少しでも社員の負担を減らす導入のヒントとして、参考にしてみてください。
本記事では、セキュリティ監視について、以下の内容を解説します。
| 社員の負担を減らす多要素認証の導入ポイント | |
| ・多要素認証が必要なシーンを調整する ・シングルサインオンの導入を検討する |
6-1. 多要素認証が必要なシーンを調整する
1つ目は、多要素認証が必要なシーンを調整することです。
パソコンやクラウドサービスへのログイン時、リモートアクセスのログイン時など優先度の高いシーンは省くことはできませんが、下記のように細かく多要素認証が必要なシーンを調整すると社員の負担を少しでも減らせます。
|
【多要素認証が必要なシーン例】 ・2回目以降は普段と異なる環境でのアクセスがある度に多要素認証を行う |
※細かな設定の範囲はツールにより異なります
例えば、一度パソコンにログインしたら、同じ日であれば普段と異なる環境でのアクセス時にのみ多要素認証を追加すると認証回数を減らせるでしょう。
また、使用するサービスによっては一定の工程まで進んだ時に多要素認証を実施すれば、多要素認証をしなくても利用できる社員を増やせます。
もちろんセキュリティ強化の視点を忘れてはいけませんが、多要素認証が必要なシーンを絞り込み負担を減らす検討をしてみましょう。
6-2. シングルサインオンの導入を検討する
2つ目は、シングルサインオンの導入を検討することです。
シングルサインオンとは、一度の認証で他のアプリケーションやクラウドサービスなどにログインできる仕組みです。
認証基盤で一度多要素認証を済ませてしまえば、その後に利用するクラウドサービスやアプリケーションでの認証を省略でき、多要素認証の負担を軽減できます。
シングルサインオンを使用するにはツールが必要ですが、多要素認証とシングルサインオンの双方に対応しているツールもあります。
ゼロトラストを実現するために多要素認証を実装するすると認証が必要なシーンが増えて複雑化しがちですが、シングルサインオンの導入を前提に認証フローを考えれば、シンプルにまとめることができるでしょう。
7. 多要素認証を含めた総合的なゼロトラスト対策に迷った場合は「クエスト」にご相談ください
ここまで、解説してきたように、安全性の高い認証を実現する多要素認証はゼロトラスト推進に向けて導入を検討したい要素です。
とは言え、多要素認証を実装するには自社の環境に合うツール選定や運用計画が必要になり、ハードルの高さを感じる担当者も多いでしょう。
私たち「クエスト」は、お客様のゼロトラストセキュリティの実現を支援しています。
1965年の設立以降50年以上に渡り、IT技術を駆使して多種多様なサービス・ソリューションを提供してきた実績があります。
ゼロトラストに関しても多要素認証を始め、多様なソリューションの導入支援を行っています。
|
【クエストが提供しているソリューション】 ・エンドポイント(端末)セキュリティ |
ゼロトラストは多要素認証を含む他のソリューションを踏まえて、計画的に進めることが重要です。
「ゼロトラストを実現するために多要素認証を導入したいけれどツール選定が難しい」「多要素認証を含むゼロトラスト全体の計画に悩んでいる」などゼロトラストに関するお悩みは、当社にご相談ください。
8. まとめ
この記事では、ゼロトラストを実現する時に知っておきたい多要素認証の概要や導入方法、導入のポイントなどをまとめて解説しました。
最後に、この記事の内容を簡単に振り返ってみましょう。
○多要素認証とは「知識情報」「所持情報」「生体情報」の2つ以上を組み合わせた認証方法
| 多要素認証の3つの認証方法 | ||
| 知識情報 | 本人しか知り得えない知識で認証する方法 ・ID ・パスワード ・暗証番号 ・秘密の質問 など |
|
| 所持情報 | 本人の所持品を使って認証する方法 ・スマートフォンを使ったSMS認証 ・社員証 ・身分証明書 ・電子証明書 など |
|
| 生体情報 | 本人の生体に関する情報で認証する方法 ・指紋認証 ・顔認証 ・声紋認証 ・静脈認証 など |
|
○ゼロトラストの実現のために多要素認証を導入したほうが良い理由は次の2つ
1.ゼロトラスト実現に向けてセキュリティを強化できる
2.多様な働き方に対応できる
○ゼロトラストを実現するために多要素認証を導入する時の3ステップ
ステップ1:多要素認証が必要な範囲を決める
ステップ2:多要素認証を実装する
ステップ3:社員に周知して多要素認証を定着させる
○ゼロトラストの実現に向けて多要素認証を導入するときの注意点は次の2つ
1.社員の負担が増えないように配慮する
2.導入コストやランニングコストがかかる
○社員の負担を減らす多要素認証の導入ポイントは次の2つ
1.多要素認証が必要なシーンを調整する
2.シングルサインオンの導入を検討する
ゼロトラストを実現するためにセキュリティを強化できる多要素認証は、導入を検討したいツールです。
導入方法や導入ツールの選定など多要素認証の導入に悩む場合は、当社にご相談ください。