多要素認証（MFA）とは

MFAの重要性は日に日に高まっています。その理由として以下の3つが挙げられます。

• 利用するクラウドサービスの数の増加
• サイバー攻撃の件数の増加とパスワード認証の限界
• 働く場所の多様化により境界型防御では対応できなくなった

仕事、プライベート問わずクラウドサービスを利用する機会が増えた昨今、容易に推測可能なパスワードを設定していたり、パスワードを複数のサービスで使いまわしたりしている人もいるかも知れません。あるサービスでID/パスワードが漏洩してしまった場合、パスワードを使いまわしていれば被害は他のサービスにも及んでしまいます。また、IDとパスワードだけでの認証では、ブルートフォースアタックなどのサイバー攻撃に対して非常に脆弱です。
更に最近はリモートワークなど、社外で働くことを許可する会社も増えてきました。今までの境界型防御の考え方では、「社内ネットワークからのログインは信頼し、社外からのログインは信頼しない」というような対策が取られてきましたが、社外からでもアクセスする必要が出てきた昨今ではこの境界型防御の考え方では十分に対応できなくなりました。そこで、ログインの際にMFAを要求することで社内外問わず本当に信頼できる人だけを判別するようになりました。
こういった背景から、IDとパスワードだけでの認証には限界があり更にセキュリティ強度の高い認証方法の必要性が叫ばれていました。

もちろん、MFAを導入することによるデメリットも存在します。

• ユーザーの利便性の低下
  利用するサービス毎にMFAを導入してしまうと、サービスにログインするたびにMFAでの認証を求められてしまいます。業務で使用するクラウドサービスが多ければ多いほど、MFAは負担となっていきます。
• 物理デバイスなどを紛失してしまった場合の対応
  携帯の機種変更をした際に、OTPのバックアップを取っておらずログインできなくなってしまったり、セキュリティキーを紛失してしまうケースが多くあります。この際にはIT管理者に連絡をしてMFAのリセットなどを行う手間が増えてしまいます。

そこで、MFAの導入に加えて、シングルサインオン（SSO）も同時に導入することで、ユーザーの利便性が低下することを避けることができます。SSOサービスに最初にログインする際にMFAを要求し、以降各サービスへのログイン時には求めないため一度の多要素認証でセキュリティ強化をしつつ、ユーザーの利便性の低下は防ぐことができます。

SSOに関する詳細につきましては、以下のページをご覧ください。

MFAとは、知識要素、所持要素、生体要素の3つの認証要素のうち2つ以上を組み合わせて認証することを指します。それぞれの認証要素に良いところ、悪いところがありますので使う人にとって最適な認証要素を選択することが大切です。
一般に認証に使われているユーザーID・メールアドレス・パスワードなどは知識要素なので多要素認証を実現しようとすると所持要素か生体要素から選択する必要があります。それぞれの認証要素がどのようなものなのか、具体的な例を交えて説明をします。

知識要素（What you know）

知識要素の具体例

• ユーザーID
• メールアドレス
• パスワード
• 秘密の質問

その人だけが知っている情報で、手軽で取り入れやすい一方で、第三者に漏えいした時点でセキュリティを突破されてしまいます。人為的なミスで流出しやすいです。

生体要素（What you are）

生体要素の具体例

• 生体情報（指紋, 顔, 網膜など）
• 時間情報
• 位置情報（IPアドレスから推定される位置情報）
• 行動特徴（タイピング、歩き方等）

その人の固有の身体情報を利用して認証を行います。1人1人違い複製も難しいため、セキュリティが高いとされている一方で、専用の機器やシステムが必要になること、認証システムの精度によっては誤認証が起こる場合があります。

所持要素（What you have）

所持要素の具体例

• ワンタイムパスワードアプリ（例：OneLogin Protect, Google Authenticator 等）を搭載したスマートフォン
• Yubikeyなどのセキュリティキー
• クライアント証明書

ユーザーの持ち物を利用して本人確認を行います。その物を持っていれば認証ができるため便利ですが、盗難や紛失などが起きた場合はセキュリティを保持することはできません。

ペンティオではセキュリティキーとしてYubikeyを、クライアント証明書発行サービスとしてSecureW2を提供しています。

認証要素を選ぶ際の注意点

MFAの認証要素は多くの種類があります。セキュリティ強度をあげようとするとユーザーの利便性を損なってしまうこともあります。逆に、ユーザーの利便性を考えるあまり、セキュリティ強度の低い認証要素を採用してしまうと、本来の目的であるセキュリティ強化を達成することができません。
また、最近では秘密の質問やSMSによる追加認証は安全ではないと言われています。OneLogin Protectを始めとしたプッシュ通知型の多要素認証を狙った「多要素認証疲労攻撃（MFA Fatigue Attack）」による不正ログインが広がるなど多要素認証を突破した被害も広がっています。 会社などのセキュリティポリシーなどに沿って十分な認証強度を持った使いやすい認証要素を選択してみてください。

クラウドサービスへのアクセスを社給端末に制限する

ペンティオが提供しているOneLoginでは、クライアント証明書を用いた多要素認証機能がご利用いただけます。OneLoginの証明書認証機能では以下の2方式があり、用途やご利用状況に合わせた運用が可能です。

ペンティオでは、証明書発行サービスのSecureW2とIDaaSのOneLoginを組み合わせてご利用いただくことで、多くの企業様からご要望をいただく「クラウドサービスへのアクセスを会社から支給された端末にだけ許可」の実現を提案しております。MDMサービスを使うことで、SecureW2で作成した証明書をエンドユーザーに意識させることなく配布できます。この証明書をOneLoginへのログイン時に要求するようにすることで、会社支給の端末からだけのアクセスに制限することができます。