メインコンテンツまでスキップ
画像
紫色の六角形のパターン

なぜ二要素認証が必要なのか?

近年、情報漏えいが頻発しており、その被害額は全世界で年間2兆ドル以上と言われています。 企業がデジタルインフラや資産のセキュリティ確保に取り組む中、一要素認証(特にパスワードベース認証)では十分でないことは明らかです。 パスワードは簡単に漏えいします。特に、パスワードの管理状態が悪いだけでなく、ほとんど変更されず、複数のアカウントで再利用され、頻繁に共有され、安全でない場所に保管されることが多いためです。

ユーザー認証のための2つ目の要素を追加することは、今日のほぼすべての企業ユースケースで必要とされています。

2FAはどのような脅威に対応するのか?

二要素認証は、以下のような最も一般的なサイバー脅威の多くに対して追加の保護レイヤーを提供します。

  • 盗まれたパスワード: 前述したように、パスワードの管理状態が悪いと、簡単にパスワードが盗まれてしまいます。 2FAは、盗まれたパスワードだけではアカウントに侵入できないようにするものです。
  • ブルートフォースアタック(パスワードハッキング): ハッカーは、ますますアクセスしやすくなったコンピューティングパワーを使って、暗号を「解読」するまでパスワードをランダムに生成します。 しかし、コンピューティングパワーでは、2つ目の要素をハックすることはできません。
  • フィッシング: フィッシングは、ユーザーの認証情報を盗むための最も一般的かつ最も効果的な手段の一つであることに変わりはありません。 2FAは、フィッシング攻撃によってユーザー名とパスワードが盗まれた場合でも、不正なアクセスから保護することができます。
  • ソーシャルエンジニアリング: 巧妙なハッカーは、ソーシャルメディアを利用して、ユーザーを騙して進んで認証情報を提供させる攻撃を仕掛けてくることが多くなっています。 しかし、2つ目の要素がなければ、ハッカーはアカウントにアクセスすることができません。

二要素認証がどの様に機能しますか?

基本的な2FAログインのワークフローは、もうほとんど誰もが知っていることです。 使用する要素によって具体的な内容は異なりますが、基本的には次のような流れで行われます。

  1. アプリケーション/ウェブサイトが、ユーザーにログインを促します。
  2. ユーザーが1つ目の要素を提供します。 この1つ目の要素は、ほとんどの場合、ユーザー名とパスワードの組み合わせや、ハードウェアトークンやスマートフォンアプリで生成されるワンタイムパスコードなど、ユーザーが「知っている」ものです。
  3. サイト/アプリケーションは、1つ目の要素を検証し、2つ目の要素を入力するようユーザーに促します。 この2つ目の要素は、セキュリティトークン、IDカード、スマートフォンアプリケーションなど、通常ユーザーが「持っている」ものです。
  4. サイトやアプリが2つ目の要素を検証すると、ユーザーにアクセスが許可されます。

2FAの例

認証方法と認証トークンは、大きく分けて4つのカテゴリーに分類されます。 あなたが持っているもの、あなたが知っているもの、あなたを表すもの、あるいはあなたがいる場所です。

  • あなたが持っているもの: 物理的なアクセスカード、スマートフォンなどのデバイス、または電子証明書
  • あなたが知っているもの: 暗証番号またはパスワード
  • あなたを表すもの: 指紋や網膜スキャンなどのバイオメトリクス

従来のユーザー名とパスワードの組み合わせは、技術的には二要素認証の初歩的な形態です。 しかし、ユーザー名とパスワードの両方が「知っているもの」に該当するため、この組み合わせはより簡単に漏洩してしまいます。

認証方法/要素の歴史

ハードウェアトークン

ハードウェアトークンは小さな物理デバイスで、ユーザーがリソースへのアクセスを得るために提示するものです。 ハードウェアトークンには、接続型(USB、スマートカード、ワンタイムパスワードキーホブなど)、非接触型(Bluetoothトークンなど)があります。 このトークンはユーザーが持ち歩きます。 1993年にRSA社が発表した、最新の2FAの最初の形態は、小さな画面にランダムに生成された数字を表示する携帯端末を使用し、その数字をアルゴリズムと照合して端末の所有者を認証するものでした。 ハードウェアトークンも紛失や盗難の可能性があります。

SMS型トークン

携帯電話の普及に伴い、SMSベースの2FAは急速に普及しました。 ユーザーはユーザー名を入力すると、SMS(テキスト)メッセージでワンタイムパスコード(OTP)を受け取ります。 同様のオプションとして、携帯電話への音声通話でOTPを提供する方法もあります。 いずれの場合も、OTPの送信は比較的容易にハッキングできるため、2FAの理想的な形とは言えません。

アプリ型トークン

スマートフォンをはじめとするスマートモバイルデバイスの登場により、アプリベースの2FAが非常に普及しています。 ユーザーは、端末にアプリをインストールします(デスクトップでも使用可能です)。 ログイン時には、アプリからOTPなどの「ソフトトークン」が提供され、端末に表示されたログイン画面で入力する必要があります。 ソフトトークンは端末上のアプリで生成されるため、OTPやソフトトークンが通信中に傍受される心配がありません。

プッシュ通知

おそらくユーザーの観点から最もシームレスで便利なのは、プッシュ通知による2FAで、これはユーザーにソフトトークンの入力を求めません。 その代わり、ウェブサイトやアプリからユーザーのモバイル端末に直接プッシュ通知を送ります。 この通知は、認証が試みられたことをユーザーに知らせ、ワンクリックまたはタップでアクセスを承認または拒否するよう求めます。 この方式の2FAは安全性が高く、非常に便利ですが、インターネット接続に依存します。

パスワードレス認証

利用可能な認証方法の種類には、FIDOなどのパスワードレスオプション、バイオメトリクス、PKIベースのデジタルクレデンシャルによる認証などがあり、進化を遂げています。

2FAとMFA:違いは何でしょう?

 

二要素認証(2FA)は、ユーザーが2種類の認証を提示する必要があり、多要素認証(MFA)は、ユーザーが少なくとも2種類(それ以上)の認証を提示する必要があります。 つまり、すべての2FAはMFAですが、すべてのMFAは2FAではありません。 多要素認証では、リソース、アプリケーション、またはウェブサイトにアクセスするために、認証子と認証トークンを自由に組み合わせることができますが、2FA認証では、リソースにアクセスするために、あらかじめ定義された2つの認証子のみを必要とします。 組織のニーズによっては、2FA認証は、エンドユーザにとって摩擦のない体験を可能にすると同時に、組織が求めているセキュリティのステップアップを提供することができます。

2FAに適した要素の選び方

二要素認証を有効にするために使用できる様々な種類の要素については、前述したとおりです。 しかし、それぞれのタイプの認証方法にも、さまざまな選択肢があり、常に新しい技術が開発されています。 2FAプロトコルに使用する要素をどのように選択するか? ここでは、正しい選択を検討するためのいくつかの質問を紹介します。

  • ユーザーに対して透過的な認証をお求めですか?
  • ユーザーに物理デバイスの携帯を要求しますか、それともオンラインで認証しますか?
  • ウェブサイト自体がユーザーに対してウェブサイトの認証を行うようにしますか?
  • 保護している情報はどの程度機密性が高いですか?関連するリスクは何ですか?
  • オフィス、ラボ、またはその他の領域への物理的なアクセス(結びつき)は、ユーザー要件の一部ですか?

Entrustは、高信頼性の多要素認証でセキュリティを向上させるための専門的なガイダンスを提供します。 当社は、最も幅広い2FAセキュリティ認証方法 をサポートしており、お客様のセキュリティニーズやユースケースに応じた最適なオプションを選択することができます。 さらに重要なこととして、Entrustは専門家によるコンサルティングを提供しており、適切なオプションを選択し、高保証の二要素認証への移行を簡素化することができます

二要素認証のユースケース

二要素認証は、多要素認証の中でも最も一般的な形式であり、様々な人がデータにアクセスする必要があるユースケースに最適です。 例えば、医療用アプリケーションでは、医師やその他の臨床医が個人のデバイスから患者の機密データに必要に応じてアクセスできるようにするため、一般的に2FAが使用されています。

同様に、銀行や金融機関の2FAアプリケーションは、消費者のモバイルバンキングを可能にしながら、フィッシングやソーシャルエンジニアリング攻撃から口座情報を保護するのに役立ちます。

業界向けの2FAアプリケーション

  • 医療業界
  • 金融機関
  • リテール・小売業界
  • 高等教育
  • ソーシャルメディア
  • 政府/連邦政府機関

二要素認証の脅威/リスクとは?

ハッカーは、MFAや2FAを妨害するために、いくつかのアプローチを採用しています。 それには以下が含まれます。

  • ソーシャルエンジニアリング: ソーシャルエンジニアリング攻撃では、ハッカーは正規の情報源を装って、個人を特定できるような情報を要求します。
  • 技術的な攻撃: 技術的な攻撃としては、マルウェアやトロイの木馬などがあります。
  • 物理的な盗難: 悪意ある者がスマートフォンやその他のモバイル機器を物理的に所有することは、2FAにとって脅威となり得ます。
  • アカウント回復を妨害する: パスワードのリセット処理は2FAをバイパスすることが多いため、ハッカーはユーザー名だけを利用して2FAを回避することができる場合があります。

二要素認証の安全性は十分なのか?

2FAは、一要素認証、特に従来のパスワードベースの認証とそのヒューマンファクターのすべての欠点からの大きなステップアップを提供します。 十分に安全ですが、現在では多要素認証(MFA)がユーザー認証のデファクトソリューションとして考えられています。 PCI DSSなどのコンプライアンス要件も2FAからMFAに置き換わっており、政府機関も連邦政府機関全体でMFAを義務付けています。 MFAでは、セキュリティを強化するために、(パスワードではなく)フォームファクターを増やす機能があります。 ユーザー認証にバイオメトリクスを使用し、デバイス認証と組み合わせて、リスクベースのコンテキスト制御を追加することで、ユーザーとデバイスのリスクポストを評価した上でアクセスを許可することができます。 パスワードレスオプションとリスクベースの適応型認証を備えたMFAは、セキュリティを強化することができます。

最も一般的な認証方法/認証トークンとは?

透明性ある認証

日常の関与を必要とせずにユーザーを検証する、透過的な認証システム。

  • デジタル証明書
  • IP - 位置情報
  • 端末認証

物理的な認証要素

ユーザーが持ち歩いて認証に使用する有形のデバイス。

  • ワンタイムパスコード(OTP)トークン
  • ディスプレイカード
  • グリッド認証
  • ワンタイムパスコードのリスト
  • 生体認証

物理的でない認証要素

持ち歩く物理的なデバイスを増やさずに、ユーザーIDを確認する方法。

  • ナレッジベース認証
  • 帯域外認証
  • モバイル Smart Credential
  • SMSソフトトークン