2021年10月27日水曜日

多要素認証が当然のように求められる時代 - 概要編 -

昨今、様々なクラウドサービスで、「多要素認証」を強く推奨する動きが出てきました。個人情報を含む情報漏洩やなりすましによる不正取引等、重大なセキュリティ事故を予防するために、認証の強化が早急に求められています。当Blogでは以前の記事「ID/PWだけで大丈夫?2段階認証は当たり前の時代に」でも投稿している内容とはなりますが、現状を鑑みながら改めて述べてみたいと思います。

そもそも「多要素認証」とは?

まず、以前の記事「更によく理解出来るようになるかもしれない【認証】と【認可】」でも説明しましたが、クラウドサービスにおける認証とは「ログインすることで、どのアカウントであるか判明すること」であり、そのログイン手段のことを指します。例えば、一番有名なものは「IDとパスワードを入力」するものでしょう。他には、ログイン時にその端末にクライアント証明書がインストールされていれば認証出来る、なんていうものもあります。また、別途設定したメールアドレスに送付されたり、または別途用意されたアプリに表示される、「一時的に発行されたパスワード」を入力するという、ワンタイムパスワードと呼ばれる認証方法も認知されるようになりました。スマホなどでは、いまや当たり前になってきた「指紋認証」や「顔認証」といったものもありますね。そして「多要素認証」とは、これまで紹介した認証方法を複数組み合わせたものになります。例えば、ログイン時にID/パスワード入力後にクライアント証明書が必要になったり、ID/パスワード入力後にワンタイムパスワードの入力を求められたり、更にはID/パスワード+クライアント証明書+指紋認証といったものもあります。この認証の組み合わせが複雑になればなるほど「なりすまし」などを防ぐ強度が上がる、つまりセキュリティ強化につながりますが、あまり複雑だとエンドユーザのログイン時の手間が大変になってきます。ですから、システムに対して求められるセキュリティ強度に応じて、バランスの良い認証の組み合わせを設定することになるでしょう。一般的に多要素認証を構築する際は、ID/パスワード+クライアント証明書が多いようですが、金融系など高度なセキュリティが求められる場合には、ID/パスワード+クライアント証明書+ワンタイムパスワードといった3要素認証がデフォルトになっている模様です。

ID/パスワード認証のみの場合

それでは、今まで述べてきた多要素認証ではなく、ID/パスワードのみの認証の場合、どのようなリスクが有るのでしょうか。まずクラウドサービスにおけるIDはメールアドレスが多いようです。つまり、日頃やりとりしているメールのアドレスが他人にも知られている、と言えます。コーポレートサイトに記載されているメールアドレスなどもありますしね。ただし、パスワードまでは他人に伝えるものではありません。ですので、誰か別の悪意を持った人があなたのIDを使ってクラウドサービスにログインしようと思っても、パスワードがわからないから大丈夫…とはならないんです。確かに「人間が手作業で」ひとつひとつパスワードを入力してログイン出来るかどうかを調べるのは、現実的に不可能でしょう。ですが、いまやコンピュータが自動的に全パターンのパスワードを使ってログイン出来るかどうかを調べることが出来る時代です。例えば英大文字/英小文字/数字からなる8桁パスワードの場合、1時間で解析されるという調査報告もありました。更には、残念ながらID/パスワードの流出が報道されているように、解析せずともパスワードが第三者に渡っている可能性もあります。つまり、もはやパスワードが知られており、勝手にクラウドサービスにログインされて情報を盗まれる等のリスクが常に存在するといった状況になってきました。

クライアント証明書認証のみの場合

では、クライアント証明書のみによる認証の場合はどうでしょう。こちらの場合、ID/パスワードの入力はありません。クライアント証明書をインストールした端末からのみクラウドサービスを利用できるというもので、パスワード入力無しでクラウドサービスにすぐにログイン出来るので、利便性は大変高いです。また、他の端末から他者がログインしようとしても、そもそもID/パスワードの入力が無いので、ログインすることが出来ません。結果、セキュリティ的も安心…とは言い切れないのです。確かにシステムだけでいえば強固なものかもしれませんが、扱うのは人間です。そして人間はヒューマンエラーを起こしてしまうものです。例えば端末の紛失等が考えられますが、昨今のテレワーク等の影響もあってか増加傾向にあり、報告されているセキュリティ事故の上位を占めるのが実情です。ここで、実際に端末を紛失した結果、第三者に渡ってしまったことを想定してみましょう。もちろん端末自体にはパスコードが設定されているとは思いますが、それを突破されてしまえば、苦もなくクラウドサービスにアクセスされてしまうことになります。

組み合わせることによる抑制効果

そこで、これまでに述べてきたリスクを軽減するための解決策が「多要素認証」となります。今、あるクラウドサービスのログインにID/パスワード+クライアント証明書認証が設定されていたとします。ここで例えばパスワードが他者に漏れてしまったとしても、「クライアント証明書がインストールされている端末」しかログイン出来ません。また、端末が誰かの手に渡ってしまったとしても、ID/パスワードが漏れていなければクラウドサービスにログインできません。つまり、「ID/パスワードの漏洩」+「端末の紛失」が同時に起こりさえしなければ、安全にクラウドサービスを利用することが可能になります。確かにセキュリティリスクがゼロにはなりえません。ですがこのセキュリティの強化こそが、悪意のある第三者からの攻撃に対する予防線になります。攻撃者にしてみれば、出来る限り少ない労力でセキュリティを突破したいと思うものです。ですから、セキュリティ強度が高ければ高いほど、攻撃を諦める傾向にあるのです。その結果「そもそも攻撃対象とされにくいようになる」といった抑制効果が見込めるのです。

いよいよ多要素認証が必須に?

このように、クラウドサービスを安全に利用するにあたっては「多要素認証」が有効であることを述べてきましたが、いよいよメジャーなクラウドサービス提供者も利用者に向けて「多要素認証」を求める傾向が強まってきました。既に「多要素認証に変更するように」と通知を受け取った方もいらっしゃるかと思います。また、日常で使われているクラウドサービスでID/パスワード+ワンタイムパスワード認証を経験されている方も多いと思います。つまり、これからは「多要素認証」が当たり前の時代になってきたということです。ですのでもし、今ビジネスでご利用中のクラウドサービスへの認証がID/パスワードのみということでしたら、是非ともこの機会に「多要素認証」のご導入をご検討されては如何でしょうか。

Gluegent Gateでは既に対応済

さて、これまで述べてきた「多要素認証」ですが、弊社製品Gluegent Gateでは、実はもう何年も前から対応していますし、十分な実績があります。そこで、興味を持ってこれからご検討いただけるお客様はもちろん、既にご契約のお客様につきましてもご参考にしていただけるよう、Gluegent Gateにおける「多要素認証」の実際の設定例を別途記事にてご紹介したいと思います。
(Fuji)