コンテンツへスキップ
RSAクラウドセキュリティを無料でお試しください

今すぐID Plusのトライアルを始めてください。

開始する
現実的なMFAの妥協案

当たり前のように聞こえるが、組織のサイバーセキュリティ態勢は断片的であってはならない。組織は特定のユーザーを他のユーザーとは異なる方法で扱い、リスクの高いユーザーには追加の保護が必要かもしれませんが、セキュリティ・プログラムはすべてのユーザーを考慮しなければなりません。

ITリーダーは、堅牢なサイバーセキュリティのフレームワークを構築する一方で、多要素認証(MFA)ソリューションのコストをユーザーの行動とともに評価しなければならないため、組織の規模が拡大するにつれて、このニーズに応えることはますます複雑になっていく可能性がある。

多くの組織にとって、モバイル・デバイスは、セキュリティ、コスト、利便性のバランスが取れた現実的な妥協の産物である傾向がある。モバイル・デバイスはどこにでもあり、多要素認証(MFA)の要件を満たすために使用するのも簡単です: 73% のユーザーが、スマートフォンがMFAを実現する最も便利な方法だと考えている。

モバイルアプリベースの多要素認証ソリューションのコストを押し上げるものは何か?

モバイルアプリベースの認証は、組織全体のセキュリティプログラムを構築し、コストバランスを取る上で優れているかもしれないが、誰にでも常に有効な万能薬ではない。多要素認証のコストは、ソリューションの種類や導入戦略によって異なる。

ユーザーの好みと能力

状況によっては、モバイル・デバイスを使用できないユーザーや、認証にモバイル接続に依存できないユーザーもいます(製造業のクリーン・ルームを考えてみてください)。また、従業員がセキュリティ要件を満たすために、会社指定のアプリケーションを個人のデバイスにインストールすることに抵抗がある場合もあります。

ハードウェア・トークン

このようなユーザーを認証するために、組織は2種類のソリューションを導入している。一つは、ワンタイム・パスコード(OTP)を使用するハードウェア認証である。のようなハードウェア認証 DS100 FIDO2プロトコルの暗号化上の利点とOTPのセキュリティ上の利点を統合することで、組織のパスワードレス化を支援します。

2つ目のソリューションは、SMSベースの認証(ユーザーの個人デバイスに直接OTPを送信する)や音声OTPのような従来のMFAである。

メンテナンスおよびサポート料金

また、特にモバイルベースのMFAソリューションの場合、メンテナンスとサポート料が長期的に総コストを押し上げる可能性がある。これらのコストには、モバイル・アプリケーションの継続的な更新、最新のオペレーティング・システムとの互換性の確保、モバイル・プラットフォーム特有のセキュリティ脆弱性への対応などが含まれることが多い。ベンダーはまた、信頼性の高いプッシュ通知サービスの維持、デバイス固有の問題のトラブルシューティング、多様なモバイルデバイスを使用するユーザーへのサポート提供にも費用を請求する場合がある。さらに、企業はモバイルアプリのアップデートに対応し、ITエコシステムとのシームレスな統合を確保するために、ユーザートレーニングに投資する必要があるかもしれない。長期的に見れば、これらの要因はモバイルMFA実装の総所有コストに大きな影響を与える可能性がある。

多要素認証の手頃な代替手段

SMSと音声OTPには、既知のセキュリティ上の欠陥がある:SMS OTP は暗号化されておらず、ネットワーク停止、SIM スワッピング、ソーシャル・エンジニアリング、SS7 攻撃、中間者攻撃(man-in-the-middle attack)に対して脆弱である。RSA は、長期的にはより強力な真のパスワードレス認証に移行することを推奨しています。

しかし、多くの組織はいまだにこうした方法に頼っている:

  • アクセスやリスクのレベルが異なる多様なユーザーグループをサポートする。
  • は、中小企業や特定の環境にとって、最も手頃なMFAオプションであることが多い。

アメリカ国立標準技術研究所(NIST)は、各機関は「今日の導入の現実性と将来のニーズ」のバランスを取る必要があり、「今日の第二の要因としての携帯電話へのSMSは、他のいくつかのアプローチよりは効果が低いが、単一の要因よりは効果がある」と書いている。

モバイル多要素認証の導入コストを削減する方法

すべてのユーザーを考慮し、サイバーセキュリティを強化し、コストを管理する必要性をバランスさせる正しい方法は一つではない。組織は、これらの各要因を独自に評価し、独自のリスクプロファイル、リソース、ユーザー、目標に基づいてソリューションを選択する必要がある。

ここでは、多要素認証のコストを管理するための実践的なステップを紹介する:

  • 携帯電話など既存のデバイスを活用し、ハードウェアへの投資を最小限に抑える。
  • 組織とともに成長するスケーラブルなMFAソリューションをお選びください。
  • 長期的な投資に踏み切る前に、無料トライアルやパイロット版を利用してソリューションを評価する。

 
正しい方法はありませんが、少なくとも間違った方法は1つあります。企業は、セキュリティ・ソリューションをベンダーに左右されるべきではないのです。ベンダーが期限を課したり、不完全ではあっても重要なニーズを満たす機能を削除したりすると、さらに悪化する。

ご興味のある方は

デモをリクエスト

デモのお問い合わせ