近年、インターネット上でのサービスの利用がますます盛んになり、それに伴い、個人情報の流出や不正アクセスのリスクも高まっています。
このような脅威から貴重な情報資産を守るためには、強固なセキュリティ対策が不可欠です。
なかでも、多要素認証(MFA)は、セキュリティレベルを大幅に向上させるための非常に重要な手段となっています。
本コラムでは、多要素認証(MFA)の概要やツールを選ぶポイント、具体的な製品をご紹介いたします。
多要素認証(MFA)とは
多要素認証(MFA)とは、システムやアプリケーションなどにログインする際に、2つ以上の要素で認証を行うことをいいます。
認証に使う要素とは
認証に使う要素には、「記憶情報(知識情報)」「所持情報」「生体情報」があります。
記憶情報(知識情報)
記憶情報(知識情報)とは、認証を行う人物が記憶した認証情報のことです。
たとえば、暗証番号やパスワードなどが記憶情報(知識情報)に当たります。
所持情報
所持情報とは、認証を行う人物が所有しているモノのことです。
たとえば、あらかじめ登録した携帯電話でのSMSへワンタイムパスワードを送るなどが所持情報に当たります。
生体情報
生体情報とは、認証を行う人の身体的特徴のことです。
たとえば、指紋や網膜、顔などが生体情報に当たります。
多要素認証(MFA)では、これらの3つの要素のうち、異なる2つ以上の要素を使って認証を行います。
多要素認証(MFA)ツールを比較する際のポイント
実際に多要素認証(MFA)を実現するには、ツールが必要です。
そのツールを選ぶ際には、次の5つの点を比較することが重要です。
目的に合った認証方法へ対応していること
たとえば、大人数の社員全員が利用するシステムの認証を強化したい場合、スマートフォンのSMSを活用したワンタイムパスワードなど、比較的手間のかからない方法を採用するのが最適です。
一方、一部の社員のみが利用する機密情報へのアクセスに対しては生体認証を採用するなど、目的に合った認証方法に対応しているものを選ぶ必要があります。
多要素認証(MFA)の一般的な認証方法として、ワンタイムパスワードやプッシュ通知承認などがあります。これらに対応したツールは多いですが、静脈認証やマイナンバーカードなど、やや特殊な認証方法を利用したい場合は、目的の認証方法に対応しているかどうかを確認しましょう。
対応しているシステムやサービス
社内の既存システムはもちろん、従業員が業務に利用しているクラウドサービスなど、多要素認証(MFA)を適用したいシステムやサービスに対応したツールを選ぶ必要があります。
導入後に新たなシステムやサービスに対応させる可能性もあるため、対応先が多いものを選ぶというのも一つの方法です。
認証の実施タイミングの制御ができるか
多要素認証(MFA)には、対象のシステムへのログイン時に一律で多要素認証(MFA)をかけるだけでなく、機密度の高い情報へアクセスしたり、リスクの高い操作をしたりするタイミングのみに行うといった活用方法もあります。
このようにタイミングの制御ができるものを選ぶと活用幅が広がるでしょう。
使いやすさ
同じ認証方法に対応したツールであっても、認証画面や認証にかかる時間などは異なります。
無料トライアルなどを利用して実際に使いやすさを確認してから導入すると、失敗しにくいです。
サポート体制
多要素認証(MFA)ツールの利用中に、不具合が出たり、疑問が出たりした場合にすぐに解消できるようなサポート体制があるかどうかを確認しましょう。
特に、多要素認証(MFA)ツールの導入が初めてだったり、知見が少ない場合は手厚いサポート体制が必要でしょう。
また、海外製のツールの場合は、日本語でのサポートの有無も確認しておきましょう。
多要素認証(MFA)ツールのおすすめ製品6選
最後に、多要素認証(MFA)ツールのおすすめ製品を6点ご紹介いたします。
Okta
https://www.ctc-saas.com/service/okta.html
Oktaは、クラウドベースのアイデンティティ管理とアクセス管理のソリューションで、中核機能の一つに多要素認証(MFA)があります。
多種多様な認証要素に対応しており、ユーザーの利用環境やセキュリティポリシーに合わせて柔軟に選択・組み合わせることが可能です。
また、ユーザーグループやアクセス対象のアプリケーションごとにMFAを適用するかどうか、またどの認証要素を組み合わせるのかをきめ細かく設定できる、柔軟なポリシー設定も特徴の一つです。
CyberArk
CyberArkは特権アクセス管理の分野で世界的に認知されています。
CyberArkのMFA機能は、特権アクセス管理と組み合わせることで、より強固なセキュリティ体制を構築できます。
CyberArkのMFAも、Oktaと同様に多様な認証方式や柔軟なポリシー設定が可能な点が強みで、さらに、既存システムとの連携性も高いのが特長です。
たとえば、ActiveDirectoryと連携することでユーザーアカウントを一元管理し、CyberArkのMFAを適用することが可能です。
Microsoft Entra ID
Microsoft Entra IDは、Microsoft 社が提供する統合セキュリティソリューションで、主にIDおよびアクセス管理サービスとなっています。
Microsoft製品との高い互換性を持ち、既存のMicrosoft環境にスムーズに統合できます。 なお、利用に際しては、Microsoft365のライセンスが必要となります。
多様な認証方法を搭載しており、USBキーなどの物理的なデバイスを用いたハードウェアトークンや、登録した電話番号に送信されるワンタイムパスコード、音声通話による認証、登録済みのメールアドレスにパスコードを送信し認証する方法などを利用可能です。
HPE IceWall
HPE IceWallは、日本ヒューレット・パッカード合同会社が提供する、特権ID管理ソリューションで、日本市場向けに特化されています。このため、日本企業のニーズに合わせた機能が豊富に用意されています。
日本のWebシングルサインオンパッケージの市場シェアでNo.1(2022年度の実績)です。
知識ベース認証、所有物ベース認証、生体認証に対応しており、これらを組み合わせてセキュアな認証を行うことができます。具体的には、以下のようなさまざまな認証方式が用意されています。
・FIDO準拠の認証デバイス
・パスキー認証
・ワンタイムパスワード (OATH準拠)
・統合Windows認証
オンプレミスでのみ利用可能です。
Cisco Duo
Cisco Duoは、多要素認証(MFA)を中心としたゼロトラストアプローチの特権ID管理ソリューションです。
Cisco DuoではID/パスワードの漏えいによる情報漏えいを防ぐためにパスワード以外の認証方法を推奨しており、ゼロトラストに基づいたMFAを提供しています。
MFA特化型であるため、IAM(Identity and Access Management/アイデンティティおよびアクセス管理)に寄っていない点が特徴的です。 また、シンプルで迅速な導入が可能な点もメリットです。
Ciscoのネットワーク製品との親和性も高く、統合的なセキュリティソリューションとして活用できます。
Exgen Extic
Exgen Exticは、エクスジェン・ネットワークス株式会社が提供する国産の多要素認証(MFA)ツールです。
高度なアクセス管理機能を持ち、特に大規模な企業環境、学校、研究機関での利用に適しています。
ゼロトラストに基づき、多要素認証(MFA)だけでなく、ファイアウォールやVPN、侵入検知・防御システム(IDS/IPS)などの機能を統合的に提供しています。
MFAでは、ローカル認証、RADIUS認証、LDAP認証などの認証方法が用意されており、ワンタイムパスワード、証明書認証などを組み合わせることで、セキュリティレベルを柔軟に調整できます。
まとめ
多要素認証とは、複数の異なる認証要素を組み合わせることで、本人確認の精度を高める認証方式です。記憶情報(知識情報)、所持情報、生体情報のうち、異なる複数の要素を用いて認証することで、情報セキュリティを強化できます。
業務におけるクラウドサービスの利用などが増加し、サイバー攻撃の高度化・巧妙化が進む昨今、情報セキュリティを強化する手段として、多要素認証(MFA)は有効です。
多要素認証(MFA)ツールを選定する際は、認証方法が導入目的に合っているか、対応しているシステムやサービスが多いか、認証の実施タイミングの制御ができるかなどをチェックし、自社のニーズに合ったものを選びましょう。