多要素認証を実装する最良の方法
多要素ツールを使用、サポートするには、保護されたログインが適切に機能するように、IT部門がエンタープライズインフラストラクチャを調整、構成する必要があります。ほとんどのツールには、VPN、SharePointサーバ、Outlook Webアプリ、データベースサーバを保護するための各種ソフトウェアエージェントが用意されています。
従来型のハードウェアベースのオンサイトサーバからクラウドへの移行が進んでいるため、ほとんどの多要素ソリューションベンダーがクラウドとオンプレミスのオプションを用意しています。クラウドで提供されるサポートと管理の柔軟性からオフサイト配備を選択する企業が増えています。目的の配備に関して各製品の微妙な違いを理解できるように、多要素認証製品を慎重に評価することが重要です。
すべてのベンダーがすべてのシナリオに等しく対応できるわけではないため、多くの場合はこれが製品選択の主な要因となります。次に、ビジネス用の多要素認証製品を検討する際に確認すべきいくつかの項目を紹介します。
1. どの程度の量のプライベート情報がネットワークで扱われるか?
ネットワークでプライベート情報がそれほど扱われていない、または重要データのストレージの拡張を計画しているのであれば、既存の認証方法を変える必要はないかもしれません。
2. 製品から生成されるレポートを誰が確認するか?
認証システムに何らかの異常があった場合に、誰がアラートを受信するかを決めることが重要です。一部の製品は、異常が生じるたびにアラートを送信しますが、ほとんどの企業では、不必要なアラートに経営者を巻き込むことは敬遠されます。
3. 配備の拡張性がビジネスに求められるか?
将来のライセンシングコストを検討することが重要です。ほとんどの多要素製品は、何万ものトークンとユーザーの処理に使用されますが、これらの製品は小規模なエンタープライズにも対応できます。
4. パイロットユーザーの初期グループに誰を入れるか?
これは、アプリの保護とユースケースの企業方針を決定づける場合があります。
5. 一部のコンシューマーサービスで利用できる二要素認証ツールを従業員がすでに利用しているか?
利用していない場合は、一般的なクラウドサービスの二要素オプションについて話題を広め、従業員に慣れさせる必要があります。これらのサービスにはすでに多要素認証が組み込まれており、それを試す短時間のトレーニング以外のコストはかかりません。
6. パスワードのリセットは多要素認証環境でどのように扱われるか?
理想的には、リセットまたは復元のいかなるプロセスも、多要素認証プロセス自体と同等以上の強度を持つ必要があります。ユーザーに回答を求める秘密の質問や、認識されたメールアドレスまたは電話番号へのSMSコードの送信などが必要となります。
多要素認証を実装する上での障害
多要素認証を導入するには、高度な計画が必要です。ITインフラストラクチャの異なる部分に異なる方法で適用できるテクノロジーのユースケースが数多く存在します。プロバイダーの選択時には、多要素認証の使用方法について事前に理解しておくことが有用です。 多要素認証ベンダーの選択を始める前に、配備の障害となりうる次の事項について慎重に検討してください。
Active Directoryが不正確であてにならない場合、多要素認証ソリューションの導入は困難になります。
現在も主にオンプレミスサーバを利用しているのであれば、Windows Serverに組み込まれているパスワード強化ポリシーを利用するか、少なくともそこから始めることが賢明です。これにより、パスワードの定期的な変更と、より複雑にすることに対するユーザーからの抵抗を評価することができます。
多数の都市に少人数ずつ地理的に分散したスタッフを抱えている企業では、ユーザーのトレーニングや物理的なキーフォブ(ハードウェア認証デバイス)の配布が難しい場合があります。このような場合は、代わりにソフトウェアトークンやソフトウェアアプリの使用を検討しても良いかもしれません。
多要素認証の将来
金融機関やコンシューマーと対面するその他のビジネスでは、多要素認証の活用が主流になりました。LastPassが2019年に実施した調査によれば、調査の対象となった企業の57パーセントが現在多要素認証を利用しており、2020年末には90パーセントの企業が多要素認証を利用するようになると予測されています。
パスワードの安全性が低下し続け、モバイルによるクラウドベースのコンピューティングの普及が拡大する中、企業内のあらゆる場所、特に個人情報が扱われる場面で多要素ツールが使用されるようになってきています。
LastPassの調査では、次のように締めくくられています。「多要素認証の使用を従業員に奨励または義務づけている企業の多くは、脅威の軽減に対して他の企業よりも大幅に先行していると考えられます。サイバーセキュリティでは、基礎的事項の実践が、最も一般的な攻撃の防止に対して最も大きく影響します。多要素認証の利用は、今後ますます幅広い業界へと拡大していくでしょう」。
平岩義正(ひらいわ よしまさ)
デジサート・ジャパン合同会社
ジャパンカントリーマネージャー
現在、デジサート・ジャパンのカントリーマネージャーを務め、日本におけるデジサートのプレゼンスおよび市場地位向上の責務を担う。IT業界において22年以上の経験を誇り、日本ベリサイン株式会社時代から20年間におよび当事業を担い、2018年からカントリーマネージャーに就任。日本ベリサインでは、ドメインネームの登録代行事業の立ち上げ、韓国へのSSL事業の拡大など、米国ベリサインの新規事業の日本展開を担当。それ以降は、日本ベリサイン・シマンテック・デジサートにおいてSSL事業の開発、プロダクトマネジメント、マーケティング、テレセールスなどの各部門のマネージャを歴任した。