クラウドセキュリティ

ここだけは押さえて!クラウドサービスの設定ポイント 多要素認証(MFA)編

Written by 前田 誉彦

2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。

ここだけは押さえて!クラウドサービスの設定ポイント 多要素認証(MFA)編

目 次

最近のクラウドサービスの認証不備によるインシデント
多要素認証の診断結果(弊社調べ)
多要素認証(MFA)とは
まとめ

3分でわかる!クラウドセキュリティ診断

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

近年、テレワークの急速な普及を背景に、AWSやMicrosoft Azure、Microsoft 365などのクラウドサービスを活用してビジネスを行うことがスタンダードになっています。
しかしこれに伴い、クラウドサービスに関するセキュリティの脅威も顕著になっており、不正なログインやデータの漏洩などの被害も多発しています。

本コラムでは、 計3回のシリーズにて、クラウドサービスを利用するにあたり、管理者として「ここだけは押さえておきたい!」といえる設定のポイントを紹介していきます。

まず第1回目は、特にインシデントに繋がりやすい、多要素認証(MFA)について解説します。
本コラムが皆様のセキュリティインシデントの未然防止に少しでも寄与できれば幸いです。

最近のクラウドサービスの認証不備によるインシデント

昨今、クラウドサービスの認証設定の不備を突いたインシデントが増加しています。ニュースになるものは大手企業のインシデントが多いですが、弊社にご相談頂くお客様のお話を聞いている限り、大手だけではなく中小企業も含めて幅広い業種・業界で被害が出ているのではないかと想定しています。下記は、昨年12月に某大学で発生したMicrosoft365の不正アクセスによるインシデントです。

個人情報が多数流出するという被害となり、このようなケースは、多要素認証を設定していれば防げた可能性が高い事故となっています。

多要素認証の診断結果 (弊社調べ)

では、多要素認証を設定している企業・組織の割合はいったいどれくらいなのでしょうか。
弊社では、企業で契約されているクラウドサービスの設定状況をチェックする、クラウセキュリティ診断を提供しているのですが、ここで過去2年間の結果データを見てみましょう。

上記は、弊社にてお客様のAWS・Microsoft365・Azureの設定状況を診断した際、ユーザーに対して多要素認証が設定されていたお客様の割合です。こちらをみるとAWSでは20%、Azureでは13%、Microsoft365では20%しか設定がされておらず、多要素認証はまだまだしっかり普及しているとは言えない状況です。

多要素認証(MFA)とは

ここで、多要素認証について解説します。
多要素認証とは、アカウントにログインする際に、複数の要素を組み合わせて認証を行う認証方式です。

主には、以下の要素で構成されます。

・知識
 本人だけが知っている知識。代表的なのはパスワードやスマホのPINのようなもの。
 秘密の質問などで出てくる出身地・卒業した小学校、母親の旧姓などもここに含まれます。

・所有物
 本人が所有している物理的なデバイスなど。代表的なのはスマホや物理キー、ICカードなど。
 クライアント証明書などもここに含まれます。

・生体
 本人固有の生体情報。指紋や静脈、顔認証など。

これらには、例えばパスワードはユーザーが簡単なパスワードを設定してしまい、推測されやすいなどの弱点があり、所有物は盗難のリスクがあります。
このように、単一での認証にはリスクがあるため、そのようなリスクをカバーする方法として多要素認証があります。
多要素認証は、上記の認証の要素のうち、2つ以上の異なる要素を用いて認証を行います。
下記の図のように、2つ以上の要素を用いることで、万が一、片方の要素が漏えいした場合でも、不正なアクセスを防ぐことができます。

まとめ

本コラムでは、クラウドサービスの設定で特に注意すべき点の1つとして、多要素認証を解説しました。
多要素認証は、アカウントにログインする際に、2つ以上の認証方法を組み合わせることで、より強固なセキュリティ対策を実現できます。最近のクラウドサービスにおけるインシデントや事故からも、クラウドサービスを利用する際には、適切なセキュリティ対策が必要であると言えます。
多要素認証を適切に設定することで、不正ログインやデータ漏洩などのリスクを低減し、安全にクラウドサービスを運用していきましょう。

本内容は2023年4月時点での情報です。
AWSやMicrosoft 365に代表されるクラウドサービスは、提供者側が、提供する設定画面や仕様などを変更することが可能な形態であることに留意してください。

MOTEXでは、多要素認証(MFA)の設定も含めて、クラウドサービスのセキュリティに関わる管理設定などを、最新の情報で、網羅的に確認できる「クラウドセキュリティ診断」を提供しています。是非ご覧ください。

3分でわかる!クラウドセキュリティ診断

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

関連する記事