Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
情報システム担当者 1,000人に聞いた!
“IT資産管理ツールのクラウド移行”実態調査
8割以上のユーザーが「クラウドIT資産管理ツール」の導入を検討していると回答しています。
様々なクラウドサービスやシステムを業務に活用する現代では、アカウント情報の漏洩が大きなセキュリティインシデントに繋がるケースも珍しくありません。
情報セキュリティの基本となるアカウント管理ですが、単一要素の認証方式ではセキュリティが万全とは言えません。
そのリスクを軽減するための仕組みとして、「多要素認証」が存在します。
重要な情報へアクセスする場合は多要素認証の活用がすでに一般的になっていますが、なぜ単一要素の認証ではいけないのでしょうか。
この記事では、単一要素認証の課題と多要素認証の基礎知識について解説します。
多要素認証とは
単一要素認証の課題を解決するのが、「多要素認証」と呼ばれる方式です。
多要素認証ではアカウント情報だけではなく、許可された人物しか持っていないデバイスや、生体情報を認証に利用します。
万が一アカウント情報が流出してしまっても、認証に必要な別の要素が守られていれば第三者によるアカウントの利用を防ぐことが可能です。
多要素認証は、「知識情報」「所持情報」「生体情報」の3要素を組み合わせて実現します。
知識情報
パスワードや秘密の質問など、アカウントの所有者だけが知っている知識を認証に用います。
基本的な認証方式であり手軽に利用できますが、セキュリティの強度としては心許ないケースも少なくありません。
パスワードが流出してしまえばそれだけで第三者によるアクセスが可能になってしまうほか、パスワードの使い回しによる被害拡大、総当たり攻撃※1や辞書攻撃※2にも晒される危険があります。
※1 総当たり攻撃:考えられるパスワードの文字列パターンを全て試行し、正しいパスワードを探る方法
※2 辞書攻撃:辞書からパスワードに利用されやすいと考えられる文字列を抽出し、正しいパスワードを探る方法
所持情報
スマートフォンやICカードなど、アカウントの所有者しか所持していないモノを認証に用います。
物理的なモノを利用するため紛失のリスクはありますが、情報として流出してしまうリスクが少ないため知識情報と組み合わせて利用することでセキュリティの向上を見込めます。
生体情報
指紋や虹彩、顔など、アカウントの所有者の身体の情報を用いた認証方式です。
基本的に情報漏洩や紛失のリスクがないため、前述の二要素と比較して堅牢な認証方式と言えます。
文字列の入力が不要なため、認証に手間がかからないこともメリットです。
多要素認証は不正アクセスの防止に大きな効果を発揮し、クラウドサービスや機密性の高いシステムへアクセスする際に多く利用されています。
多要素認証が増えている背景
多要素認証が増えている背景として、クラウドサービスの利用者の増加が挙げられます。
サーバー構築や保守が不要でインターネットを通じてどこからでもアクセスできるクラウドサービスは、テレワークとの相性も良く多くの組織で活用が広がっています。
クラウドサービス自体は強固なセキュリティ環境で稼働しており、適切な設定・運用を行なっていれば大きなセキュリティリスクの発生は少ないでしょう。
ただし、「どこからでもアクセスできる」という利便性には注意が必要です。
単一要素認証の場合、パスワードが流出すると、第三者によるサービスへの侵入や、情報の破壊・奪取が容易に行なわれてしまうためです。
多要素認証を利用していれば、万が一パスワードが流出してもサービスに不正アクセスされる事態は避けることができます。
クラウドサービスの活用シーンが増えるにつれて、多要素認証の重要性は高まっています。
多要素認証はクラウドサービスを利用するのであれば情報漏洩防止対策として必須と言ってもよいほど重要となります。
単一要素による認証の課題
システムやサービスを利用する時は、ほとんどの場合に認証作業を行なうでしょう。
不正アクセスの防止に必須とも言える認証作業ですが、前述したようにIDとパスワードしか利用しないなどの単一要素の認証ではセキュリティに不安が残ります。
本来、認証の目的は「サービスへアクセスしている人物やデバイスが、正規の権限を与えられているか?」を確認することですが、IDとパスワードの組み合わせのような単一要素認証の場合は、「IDとパスワードを知っているか?」の確認にとどまってしまうためです。
アカウント情報を知っていれば誰でもサービスへログインできてしまい、悪意を持った人物にアカウント情報を盗まれると甚大な被害に繋がるリスクが高まります。
情報漏洩のリスクに関してはこちらで解説していますので、併せてご覧ください。
二段階認証、二要素認証との違い
多要素認証とよく似た言葉に、「二段階認証」と「二要素認証」があります。
二段階認証
IDとパスワードによる認証を行なった後、もう一度認証を行なう方式です。
使用する認証情報に決まりはなく、認証フェーズが2回あれば二段階認証となります。
秘密の質問に回答するなど、パスワードとは別の文字情報を利用するケースがあります。
二要素認証
前述した多要素認証に用いる3要素のうち、2つの要素を用いて認証を行なう方式です。
多要素認証を行なうサービスでは、この二要素認証を採用しているケースが多いようです。
二段階認証は知識情報を2段階で行ないますが、二要素認証は「異なる要素」を用いることがポイントです。
認証方式の違いを理解することは、セキュリティ強度を加味しながらサービスの選定を行なうことにも繋がります。
本来的な認証の目的を実現することでセキュリティ環境を強化する
多要素認証は、アカウント乗っ取りや不正アクセスに対する有効な防御策といえます。
クラウド移行が一般的に行なわれ、テレワークが広がる現代では、機密情報であっても複数の場所に保管される傾向にあります。
新しいビジネス環境に対応しながらセキュリティを維持するためには、多要素認証を導入して情報を守ることが有効なアプローチと言えるでしょう。
自社が利用している認証方式を確認し、必要であれば多要素認証を導入することでセキュリティ環境の向上を見込めます。
情報漏洩が発生する理由や基本的な対策については、こちらの記事で解説しています。
関連する記事