多要素認証（MFA）の導入時に検討すべき7つのポイント

パスワードには独特の難しさがあります。セキュリティ要件が常に増加しているのはパスワードの安全を守るためですが、多くの場合それは逆効果になっていました。すべての要件を満たす複雑なパスワードは基本的に覚えにくいため、多くのサイトで使い回されます。ユーザーはパスワードを付箋などに書き付けたり、簡単に見破られるペットの名前、誕生日、電話番号などを使ったりもします。これではデータ保護にまったく役立ちません。幸いなことに企業は、データはハッカーにとってアクセス困難だが正当なユーザーからは簡単にアクセス可能とすべきという考えを理解したうえで、対応をし始めています。この考えを実現する最善の方法が、多要素認証（MFA）です。

→MFAとは？

多要素認証は、ユーザーのアプリやサービスを不正なアクセスから効果的に保護する方法です。ここでは、多要素認証の導入を計画する際に検討すべき事項を7つに分けてご説明します。

1. ユーザー教育の実施

ただ単に多要素認証を導入し、パスワードのみを使ったアクセスに伴うセキュリティリスクを減らそうとしても、ユーザーには不便と思われる可能性があります。このようなプロセス変更によって、他の業務に使えるはずの時間が奪い取られると心配の声が上がるかもしれません。

たとえそうであっても、経営陣からエンドユーザーまで全員に、多要素認証を導入する理由について共通の認識を持ってもらう必要があります。会社のセキュリティを守るために全員が確実に自分の役割を果たすことについて、組織全体から支持を得ることは大切です。追加の手順に実行することで、各ユーザーが全社のセキュリティ向上に貢献することが可能だと実感できるように、教育を実施してください。

2. 多要素認証ポリシーを検討する

多要素認証を導入する際には、煩雑さがユーザーの負担とならないよう、セキュリティと実用性のバランスを取る必要があります。そのために、多要素認証ポリシーの内容として追加の要素をいつどのように要求するかを慎重に検討します。

意外に思えるかもしれませんが、状況によっては、ユーザーに追加の認証情報を要求する場面（ステップアップ認証）を増やすのではなく、減らすことが鍵となります。リスクベースのポリシーをよく考えた上で展開すれば、必要な時にしかステップアップ認証を作動させない仕組みをつくれるのです。

たとえば、社外のネットワーク（IPアドレスの範囲で判別）または国外（GeoIPロケーション検索で判別）からサービスにログインする際にだけ二つ目の認証要素を要求する設定ができます。さまざまな機密データへのアクセス権を付与されたユーザーアカウントのグループがある場合は、それらのグループに対するポリシーを厳格に設定します。その場合、ユーザーが機密性の高いリソースにアクセスする際、二つ目の認証要素を要求しますが、会社のイベントカレンダーなどにアクセスする際には要求しない設定ができます。強いセキュリティを維持しながら優れたユーザーエクスペリエンスを実現する為に、追加の認証が要求される理由を出来る限りユーザーに提示することが鍵です。

3. 多様なアクセスニーズに対応する

インターネットには接続できるが、通話やSMSなどの携帯電話サービスについては、利用がほとんどまたは完全に不可という環境があります。たとえば、Wi-Fiが使える飛行機の中や電波の届かない奥地や、巨大なコンクリートビルの地階などです。このような環境では、プッシュまたはワンタイムパスワードで携帯電話のインターネット接続を暗号化できるOkta Verifyが有効です。

イベントベースのワンタイムパスワードまたは時間ベースのワンタイムパスワード（TOTP）を生成するハードウェアデバイスは、通信チャネルをまったく必要とせず、改ざんやコピーの防止効果も期待できます。ただし、配付の費用がかかるうえに、ユーザーが持ち歩くものが1つ増え、家に置き忘れや紛失する心配もあります。そのため、短期の外注先や、作業者の入れ替わりが激しい状況には適していません。

多要素認証の要素には非常に多くの選択肢があるので、さまざまなシナリオに合ったものを選ぶ必要があります。社内で考えられるシナリオごとに、最適な要素を選択します。1つのソリューションであらゆるシナリオに対応しようとせず（そのようなソリューションは実際にはまずありません）、必要に応じて多種多様なポリシーや要素を使い分けてください。

4. SMSを利用したワンタイムパスワードは慎重に検討する

SMSは使いやすく、携帯電話やタブレットの普及もあって、ほとんどどのような場所でも利用できます。そのため、ワンタイムパスワードを実装する通信チャネルとしてよく使われています。SMSはセキュリティ面でもこうした目的に資するには十分と一般に考えられてきました。しかし、その理由の一部となっているのは、大部分のインフラが独自のもので非公開であるということです。

研究によれば、SMSのセキュリティは十分ではありません。この問題は公開された脆弱性に限りません。SMSのセキュリティを担う通信会社がセキュリティのベストプラクティスを適切に運用していたとしても、なりすましやソーシャルエンジニアリングによるセキュリティ低下のリスクは常に考えられます。また、多くの場合、攻撃者が自分の制御するデバイスにユーザーの番号を取り込んで、ユーザーのSMSメッセージやワンタイムパスワードにアクセスするのは、技術的にそれほど難しくありません。

こうした理由で米国国立標準技術研究所はSMSの使用を推奨していませんが、最終的には各企業がユーザー、ユースケース、保護対象のデータに基づいて、独自のリスクアセスメントを実施する必要があります。いずれにしても、多要素認証をまったく使用しないよりも、SMSによる多要素認証を使用するほうが、まだ望ましいのです。

5. コンプライアンス要件を入念に確認する

PCI DSS、SOX、HIPAA など多くの IT コンプライアンス標準では強力なユーザー認証制御が要求されており、それが多要素認証を導入するきっかけになると考えられます。当然のことですが、そのような標準への適合を目標とするならば、標準ごとに設定やポリシーを細かく調整できるように、必ずコンプライアンス要件を詳細に理解してください。

たとえば、PCIおよびHIPAAは両方ともコンプライアンス要件として強力な認証を要求しており、知っているもの（パスワードなど）、持っているもの（トークンなど）、その人の属性（指紋など）の三つの認証方法のうち少なくとも二つが必要です。一方でSOXの場合は、テクノロジー面でそれほど厳しい要件はありません。それでも、監査に合格するには、自社の財務および会計データが安全であることを証明する必要があります。

ITコンプライアンスでは、適切な標準を実装するだけでなく、それらの標準に適合していることを証明する能力も必要です。監査に際して迅速かつ確実に標準への適合を証明できるように、自社の構成と実装を文書化してください。それは、必ず未来の自分、そしてあなたの会社のために役立ちます。

6. デバイスの紛失に対処する計画を用意する

一般に、多要素認証の導入における 二つ目の認証要素のタイプは、「持っているもの」です（一つつ目は「知っているもの」、三つつ目は「その人の属性」）。SMS、音声、またはOkta VerifyやGoogle Authenticatorのような認証アプリの場合は、自分の携帯電話です。YubiKey、RSAなどのセキュリティトークンの場合は、トークンです。しかし、持っているものは紛失する可能性があります。

デバイスの紛失に対処する手順は、総合 ITヘルプデスクのマニュアルに記載されているはずです。その手順を拡張して多要素認証に使用するデバイスも追加し、デバイスの紛失が報告された場合は以下の処理が確実に行われるようにしてください。

• 現在のセッションをすべて時間切れで終了させ、ユーザーに再認証を要求する

• そのデバイスとユーザーのアカウントおよびアクセス権との関連付けを解除する

• 必要に応じて、モバイルデバイス上の会社関連情報のリモートワイプを行う

デバイス紛失が発生した時点から現時点までのユーザーアカウントのアクティビティを監査して、異常なアクティビティがないかを確認することも重要です。疑わしいアクティビティがある場合は、漏えいの可能性を考慮し、必要に応じてエスカレーションを行います。

セキュリティ上の緊急の問題に対処したら、従業員が代替のデバイスかログイン方法で仕事に戻れるように注力してください。たとえば、ITヘルプデスクに電話してアイデンティティ要件を確認してもらうなどの代替プロセスを用意しておけば、代替手段が利用可能になるまでの間も従業員の生産性を維持できます。

7. レビューと改善の準備を整えておく

配備とポリシーを念入りに作り込んでも、最初から完璧に多要素認証（MFA）を導入し、運営することはできません。プロセスの変更はすべての従業員に影響する可能性があるため、多要素認証ソリューションの導入および利用と並行してその効果を追跡し、観察した結果に基づいて改善できるようにしておくことをお勧めします。

多要素認証導入プロセスの初期段階で監査機能に習熟しておくと、ポリシー構成のトラブルシューティングと調整を行う際に、非常に役立ちます。多要素認証のユーザーへの導入が完了したら、監査ツールを使った抜き取り検査で普及状況と使用状況をチェックします。ユーザーからフィードバックを受け取れる仕組みを用意するのも有用な考えです。

ユーザーが時間を取ってフィードバックを書いてくれるとは限りませんが、監査証跡があれば実際のユーザーエクスペリエンスをある程度は読み取れます。ユーザーがワンタイムパスワードの入力を3回も試行したり、ユーザーが入力を断念したりといった問題が発生している場合、設定の誤りやユーザー教育の不足が考えられます。または、最初の導入計画で想定されていなかったシナリオが発生しただけの可能性もあります。

監査ツールを使用し、従業員からのフィードバックを奨励すれば、システムが目的どおりに稼動していることと、新しいセキュリティポリシーが順調に適用されていることを、すべての関係者に保証できます。

追加情報: Okta アダプティブMFAの検討

これまでに述べたポイントは多要素認証導入において効果的な第一歩となります。さらに、ステップアップ多要素認証を導入すれば、多要素認証を適用するタイミングと方法をきめ細かく制御することもできます。ただし、構成には入念な検討が必要です。慎重に定義されたポリシーや条件が整備されていても、ユーザーやデバイスコンテキストの変更に応じて、その場で柔軟に意思決定したい状況もあります。

構成を動的に変更可能としたい場合、OktaのアダプティブMFA（適応型多要素認証）ソリューションをご検討ください。適応型多要素認証では、アクセスパターンに注目してユーザーまたはグループごとに関連するポリシーを調整していきます。

たとえば、頻繁に海外の出張先からメールをチェックしている従業員の場合、二つ目の認証要素は定期的に求めるだけかもしれませんが、出張することのない従業員が同じ操作を行った場合は即座に多要素認証を作動させます。権限のないプロキシ経由でリソースにアクセスした際にステップアップ認証を要求したり、既知の悪意あるIPからのアクセスを自動的にブロックしたりするリスクベースのポリシーを、不審なイベントが発生した場合にも作動するように構成できます。

Okta アダプティブMFAは、時間の経過に合わせて動的なポリシーを自動的に導き出せる強力なツールです、つまり、会社が必要とするレベルの厳格なセキュリティを維持すると同時に、各ユーザーを個人として柔軟に扱うツールなのです。