コンテンツへスキップ
RSAクラウドセキュリティを無料でお試しください

今すぐID Plusのトライアルを始めてください。

開始する

多要素認証(MFA)はもはやオプションではなく、機密性の高いシステムやデータへのアクセスを保護するための重要な要件です。サイバー脅威がより巧妙になるにつれ、金融サービス、政府機関、ヘルスケア、エネルギー、その他のセキュリティ優先環境におけるセキュリティおよびアイデンティティ・アクセス管理(IAM)のリーダーは、コンプライアンスを確保し、セキュリティリスクを軽減し、重要な資産を保護するために、進化するMFA要件をナビゲートする必要があります。

MFA 要件、コンプライアンス基準、セキュリティ脆弱性、および認証セキュリティ強化のためのベストプラクティス(RSA External Authentication Methods (EAM) with Microsoft が組織の厳しい規制要件への対応を支援する方法など)に関する詳細については、以下を参照してください。

MFA要件とコンプライアンス

MFA 要件は、セキュリティを強化し、クレデンシャル・ベースの攻撃リスクを低減するために、 組織が実装しなければならない認証ポリシーを定義する。これらの要件は、業界や規制の枠組みによって異なるが、通常、2 つ以上の認証要素の使 用を義務付けている:

  • 知っていることパスワード、暗証番号
  • あなたが持っているものハードウェアトークン、モバイル認証
  • あなたが持っているものバイオメトリクス(指紋認証、顔認証)

MFA は、不正アクセスを防止し、不正行為を減らし、全体的なサイバーセキュリティの回復力を向 上させるために、さまざまな業界で義務付けられている。組織が ID 関連の脅威を軽減できるように MFA を強制するコンプライアンスフレームワークや技術要件には、 次のようなものがある:

  • DORA(デジタル・オペレーショナル・レジリエンス法)は、EUの金融機関に厳格なMFA要件を課し、サイバーセキュリティとオペレーショナル・レジリエンスを強化するものである。
  • NIS2(Network and Information Security Directive 2)は、EU 全体の重要部門に対する認証要件を強化するものである。
  • PCI DSS(Payment Card Industry Data Security Standard)は、非コンソールの管理アクセスとカード会員データへのリモートアクセスにMFAを義務付けています。
  • CMMC 2.0(サイバーセキュリティ成熟度モデル認証)は、政府の機密データを扱う連邦政府請負業者に対し、フィッシングに強いMFAを要求している。
  • GDPR(一般データ保護規則)は、個人データを保護するために安全な認証管理を義務付けている。
  • Azure ADのようなクラウドアプリケーションに対するマイクロソフトのMFA要件は、ユーザーと管理者アカウントに対する強力な認証を要求している。

RSA® ID Plus は、これらの規制や要件を満たすMFAを提供している。例えば RSA EAMとMicrosoftの統合 これにより、企業はフィッシングに強いMFA、適応性のあるリスクベースのポリシー、継続的な認証監視を実装することができ、マイクロソフトのエコシステムを超えてセキュリティを拡張し、ハイブリッド環境やマルチクラウド環境を保護することができます。
これらの要件に従わない場合、罰金を科されたり、サイバー保険が高額になったりする可能性がある。さらに、組織が最新の認証を導入しない場合、そのリスクは劇的に増大する。サイバー攻撃の大半は、盗まれたパスワードのような脆弱な認証情報を標的としています。MFAは、侵害されたクレデンシャルが示すリスクを1つでも減らすために不可欠です。

MFA導入のベストプラクティス

MFA を効果的に実施するために、組織は以下のベストプラクティスに留意すべきである:

  • 適切なユーザーに適切なプロトコルを:MFAは画一的であってはならない。ユーザー集団によって要件が異なる場合がある。例えば、クリーンルームやその他の高度にセキュアな施設で働くユーザーは、インターネットに接続されたデバイスや携帯電話を認証に使用できない場合があります。ユーザーが使用できるもの、使用できないもの、使い慣れているものを確認してください。
  • サイロ化した認証体験を作らない:企業はさまざまなユーザー・グループのニーズに対応する必要があるが、ポイント・ソリューションを使ってグループごとにMFAを導入すべきではない。そうすることで運用が複雑になり、調達コストや管理コストが高くなる。その代わりに、組織は、1つの中央IDプラットフォームからさまざまなMFA方式をサポートできるベンダーを優先すべきである。
  • もし停電を想定していないのであれば、それは失敗を想定していることになる:MFAにクラウド・プロバイダーを利用しているのであれば、クラウドがダウンした場合にどうなるかを考える必要がある。よく言えば、ユーザーが自分のアプリケーションにアクセスできなくなるということだが、悪く言えば、脅威行為者にとって 殴り込む.組織は、重要なインフラ、特にMFA全体に回復力を構築する必要がある。
  • BYOD を安全に保つ:携帯電話、在宅勤務、BYOD(Bring Your Own Device)ポリシーが各セクターで普及する中、個人所有のデバイスを使用して MFA を完了するユーザーが増加しています。マルウェア、中間者攻撃、ソーシャル・エンジニアリングなどが認証プロセスを危険にさらし、ひいては企業データ、企業資産、顧客記録を危険にさらす可能性があります。
  • 正しいパスワードレス認証を使用していることを確認する:パスワードレスMFAの利用を計画しているのであれば、それは組織のリスクを下げ、Zero Trustの成熟度を進化させる素晴らしい方法だ。しかし、すべてのパスワードレス認証が同じように作られているわけではありません。組織は、十分な企業セキュリティを提供しない同期パスキーと、組織を安全に保つことができるデバイス・バウンド・パスキーの違いを知る必要があります。
MFAセキュリティリスクを理解する

MFA はセキュリティを大幅に強化するが、絶対的なものではない。攻撃者は、認証制御を迂回する手口を絶えず進化させているため、組織は潜在的な脆弱性を認識し、緩和することが重要である。

MFAが侵害されるメカニズム
  • ソーシャル・エンジニアリング攻撃:フィッシング、スピアフィッシング、MFA疲労攻撃は、ユーザーを騙して不正な認証要求を承認させる。
  • ヘルプデスク搾取:攻撃者は、ソーシャル・エンジニアリングを使用して、IT サポート・スタッフを操り、MFA 認証情報をリセッ トさせたり、不正なアクセス要求を承認させたりする。
  • マルウェアベースの攻撃:キーロガーやリモート・アクセス・トロイの木馬(RAT)は、MFA 認証情報を取得し、認証制御をバイパスすることができます。
  • SIMスワッピング:攻撃者は被害者の電話番号を乗っ取り、SMS ベースの MFA コードを傍受する。
  • 中間者(MitM)攻撃:攻撃者は認証要求を傍受し、セッション・トークンを盗む。
  • MFAによる爆撃か、即座の爆撃か:攻撃者は、ユーザが意図せずにアクセスを承認するまで、MFA の承認要求でユーザを圧倒する。

MFA セキュリティの脆弱性の例としては、以下が挙げられる。 2022 Uberが爆弾テロを誘発 と2023年のソーシャル・エンジニアリング攻撃 ラスベガスのリゾート.これらは、脅威行為者が脆弱な MFA 実装やその他の MFA セキュリティの脆弱性をどのように悪用するかを浮き彫りにしている。組織は、これらの脅威に対抗するために、RSA FIDO2ベースのパスキーやアダプティブ・リスク・ベース認証など、フィッシングに耐性のある認証方法を採用しなければならない。

ゼロ・トラスト原則でMFAを強化

MFAだけでは十分ではない。組織は、ゼロ・トラスト・アーキテクチャー(ZTA)の中でMFAを統合し、ユーザーIDとデバイスのセキュリティを継続的に検証する必要がある。

Zero Trustでは、どのようなユーザーやデバイスも本質的に信頼されないと想定しており、継続的な認証とポリシーベースのアクセス制御が必要です。RSAとMicrosoftのZero Trustフレームワークとの統合により、企業は次のことが可能になります:

  • 適応性のあるリスクベースのMFAポリシーで最小特権アクセスを強制する。
  • FIDO2セキュリティ・キーやデバイス・バウンド・パスキーのようなフィッシングに強い認証を活用する。
  • 認証リクエストをリアルタイムで監視し、異常を検出してクレデンシャルの漏洩を防止します。
安全なMFAを実装するためのベストプラクティス

セキュリティとコンプライアンスを最大限に高めるために、組織は以下のベストプラクティスを検討すべきである:
正しいMFAソリューションの選択

  • RSA FIDO2ベースの認証やデバイスバインドパスキーなど、フィッシングに強いMFAを使用する。
  • SIMスワッピングのような脆弱性があるため、SMSベースのMFAは避ける。
  • ハードウェア・セキュリティ・キーを導入し、高信頼性認証を実現する。
  • パスワードレスで、適応性があり、リスクを認識できるように設計されたモダン認証を活用する。モダン認証は、ログイン時だけでなく、セッションを通じて継続的にユーザーを検証することで、従来のMFAを超える。モダン認証はパスワードを排除し、コンテキストとリスクシグナルを利用してセキュリティを強化し、クラウド、ハイブリッド、オンプレミスの各環境でシームレスに機能します。

MFAセキュリティに関するユーザーの教育

  • MFA を標的にしたソーシャル・エンジニアリングやフィッシング攻撃を認識できるように従業員を訓練する。
  • セルフサービスによる認証回復を可能にし、ITサポートの負担を軽減します。
  • 不審な MFA プロンプトを報告するようユーザに促す。

継続的なモニタリングと監査

  • リアルタイムのアイデンティティ脅威検知を導入し、異常な認証動作にフラグを立てる。
  • 進化するサイバーセキュリティの脅威に対応するため、MFA ポリシーを定期的に更新する。
  • 侵入テストを実施し、攻撃手法に対する MFA の耐性を評価する。

RSA EAMとMicrosoftを活用することで、企業はZero Trustの原則に沿いながら、シームレスでコンプライアンスに準拠した、安全性の高いMFA導入を実現できます。

MFA は、現代の ID セキュリティの重要な柱であるが、進化する脅威から最大限に保護す るためには、戦略的に導入する必要がある。MFA 要件を理解し、DORA や NIS2 などのコンプライアンス・フレームワークと連携し、より広範な Zero Trust フレームワーク内に MFA を統合することで、組織はセキュリティを強化し、認証リスクを軽減することができる。

RSAに連絡する をクリックして、RSAがどのようにグローバルな規制に対応し、より広範なアイデンティティ・セキュリティ戦略に統合するさまざまなMFAソリューションを提供しているか、詳細をご覧ください。

ご興味のある方は

デモをリクエスト

デモのお問い合わせ