2024年のデータ漏えいの80%は、盗まれたり漏洩したりした認証情報が占めており、認証情報に基づく攻撃を阻止することは、組織のデータ、アプリケーション、その他のリソースへのアクセスを保護する上で極めて重要である。この種の攻撃を阻止する鍵は多要素認証(MFA)であり、安全なリソースにアクセスするために複数の認証要素を必要とする。
その名が示すように、MFA 認証方式は、2 つ以上の異なるカテゴリの要素(パスワード、PIN、セキュリ ティ質問に対する回答など)、持っているもの(物理的または仮想的な認証装置など)、および/ま たは自分自身であるもの(自分に固有のバイオメトリクス特性)を使用した認証を必要とする。二要素認証(2FA)はMFAのサブセットであり、異なるカテゴリーから正確に2つの要素を要求する。2つ以上の要素が追加されても、MFAであることに変わりはありません。
2FAは単一の認証要素を持つよりも安全だが、MFA方式は認証環境をさらに安全なものにし、特に巧妙化するフィッシング・キャンペーンやその他のタイプの攻撃を阻止する。
知っていること
パスワード、暗証番号、セキュリティに関する質問など、これらの知識ベースの要素は、安全なリソースが保護を必要とするようになってからずっと存在してきました。これらは、正当なユーザーだけが知っているべき情報を含んでいますが、フィッシング、ブルートフォース攻撃、データ漏えい、あるいは単にパスワードの衛生状態の悪さ(ユーザーがあらゆることに同じ認証情報を何度も使うなど)を利用するなど、悪質な行為者がその情報への道筋を見つけることもよくあります。
攻撃者に悪用されるために認証情報を書き留めたり、再利用したりするユーザーを非難するのは難しい。ビジネス・リソースに関連するパスワードは、管理する必要があるほどたくさんある。平均87, ある研究によれば、何らかの助けなしにはほとんど不可能だという。そして、サイバーセキュリティに関しては、人間が最も弱いリンクとなる。
パスワードに依存することの本質的な弱点を考慮し、より多くの組織が以下を優先している。 パスワードレス認証, 多くの場合、認証にはバイオメトリクスやその他のパスワード以外のメカニズムに依存するパスキーを使用している。組織はまた、リアルタイムのコンテクストに結びついた動的なセキュリ ティ質問の使用も導入している。
現在もパスワードが使われ続けている範囲では、特にセキュリティが重視される業界では、ほとんどの場合、パスワードは追加の認証要素と組み合わされている。例えば、今日の銀行アプリへのログインは、特に異常な行動が検出された場合、パスワードによるサインインと、顔認証のような生体認証メカニズムによるサインインを要求する可能性が高い。
あなたが持っているもの
持っているもの」要素は、正式には所有要素として知られ、ユーザが認証に使用で きる物理的または仮想的なオブジェクトを所有していることを要求する。例えば、以下のようなものがある:
- ワンタイムパスワード(OTP)を生成するハードウェア認証機能(特にモバイルデバイスが利用できない高セキュリティ環境において)。
- U2F規格に基づき、NFCワイヤレス・テクノロジーにも対応したセキュリティ・キー。
- リソースへのセキュアなアクセスのために、認証情報を保存したスマートカード
- パスワードの代わりに生体認証や暗証番号でサインインできるフィッシングに強いFIDOパスキー。
- 特定のデバイスにバインドされたパスキー(セキュリティを最大限に高めるため、複数のデバイス間で同期することはできません。)
あなたが持っているもの
顔認証を使ってスマートフォンのロックを解除したり、指紋をスキャンしてセキュアなアプリにアクセスしたりするときはいつも、インヒアランスに基づく要素、つまり "あなた自身 "を使っていることになる。この形式の認証が、あなた自身のユニークなバイオメトリック特性に完全に依存していることを考えると、これ以上の防御策は考えにくい。少なくとも非常に難しい-を再現する。指紋や顔認識、網膜や虹彩スキャン、音声パターン検出、タイピング速度のような行動バイオメトリクスまで、これらはすべて、あなたが本当のあなたであることを証明する方法だ。
インヒアランスに基づく要因は、特にバイオメトリクス・データの保存方法(およびその安全性)に関して、プライバシーに関する懸念を引き起こす可能性がありますが、自分が知っていることや持っていること(したがって忘れたり失ったりする可能性がある)ではなく、自分が何であるかに基づくセキュリティのパワーと価値を否定することは困難です。また、ゼロ・トラストの重要な柱である環境要因に基づく継続的な認証や、キーストロークの動きやマウスの動きのパターンに注目した行動バイオメトリクスなど、新たなトレンドも含め、イノベーションを促す分野でもある。
プッシュで承認
- 定義定義:アクセス要求を承認するためにユーザーにタップするよう求めるデバイス上の通知
- メリットリアルタイムの認証に追加要素を提供する迅速で便利な方法
- シナリオ安全なモバイル・アプリケーションへのアクセス
ワンタイムパスコード(OTP)
- 定義定義: 1回のログインセッションでユーザーを認証するために自動的に生成されるコード
- 利点:一度しか使用できない認証メカニズムにより、セキュリティが向上する。
- シナリオオンライン・バンキングまたはその他のセキュリティが重要なトランザクション
生体認証
- 定義定義:指紋またはその他のバイオメトリクスを認識するデバイスまたはアプリケーションの使用
- 利点:なりすましや模倣が極めて難しい便利な認証
- シナリオデバイスまたはアプリケーションへの安全なアクセス
デバイス・バインド・パスキー
- 定義バイオメトリクスまたはその他のパスワード以外のメカニズムに基づく認証方法。
- 利点:複数のデバイスで使用される同期パスキーよりもセキュリティ・リスクが低い。
- シナリオエンタープライズレベルのアプリケーション
ハードウェア認証
- 定義定義:小型で持ち運び可能な OTP 生成認証器の形をしたトークン
- 利点:追加的なセキュリティ層としての物理的所有権
- シナリオモバイルデバイスが認証の選択肢とならないセキュアな環境
ソフトウェア認証
- 定義定義:スマートフォンなどのデバイス上にソフトウェアアプリとして存在するトークン
- 利点:ポータブルで導入が容易
- シナリオ会社支給または個人所有のデバイスを認証に使用する場合
どの MFA 手法が組織にとって最適かを考えるには、リスク・レベルとデータの機密性、 ユーザの利便性とアクセシビリティ、コストと実装要件など、考慮すべき要素がいくつかある。以下は、これらの要素を念頭に置いて検討すべき具体的な質問である。
検討すべき重要な質問と提言
- オンサイト、リモート、あるいはその両方の組み合わせなど、複数の環境のニーズに対応するために、複数のMFA方式が必要ですか?戦略的に選択された複数のMFA方式を1つのプロバイダーが提供することで、コストを抑制し、実装を合理化することができます。
- 安全なリソースへの認証に、管理されていない個人用デバイスを使用しているリモート従業員がいますか。利用可能な MFA 手法の 1 つが、BYOD デバイスの脅威を検出および管理するために特別に設計されていることを確認してください。
- 携帯電話の使用が許可されていない、セキュリティの高い環境(クリーンルームなど)で主に業務を行っていませんか?クラウドで管理できるトークンを利用したハードウェアトークン認証を含むMFA方式であれば、安全な認証と管理の容易さの両方のニーズに応えることが可能です。
- 停電時の事業継続、特に強固な認証とアクセスの維持について、どのような計画を立てていますか?必要に応じてオンプレミスのMFA方式にフェイルオーバーできるハイブリッド環境を検討してください。
- MFA手法にフィッシング耐性やその他の特定の品質を規定する特定の規制や指令に準拠する必要がありますか?選択するMFA手法が規制やその他の要件を満たすように特別に設計されていることを確認するために、デューデリジェンスを行ってください。
特に今日の認証環境と脅威環境の多様性と複雑性を考えると、現代のサイバーセキュリティにおける MFA 手法の重要性を誇張することはできない。複数の MFA メソッドを使用することで、認証にレイヤー・アプローチを取ることが可能になり、複数のセキュリ ティ・レイヤーが形成され、権限のないユーザがアクセスすることが難しくなります。複数の方法を利用できるようにすることで、幅広い選択肢を提供し、さまざまなユーザのニーズや状況に合わせた認証を行うことができるため、ユーザ・エクスペリエンスも向上させることができる。 RSAに連絡する をご覧ください。
