2FA(2要素認証)

2FAがユーザー・アカウントを保護し、サイバー攻撃から組織を保護し、ゼロトラスト・セキュリティー・アプローチをサポートする方法をご覧ください。

2要素認証プロセスの等角図
2FAとは

2要素認証(2FA)は、ユーザーが、Webサイト、アプリケーション、またはネットワークにアクセスするために、パスワードに加えて2つ目の認証要素、 またはパスワードの代わりに2つの認証要素を提供する必要があるID検証方法です。 たとえば、オンライン・バンキング・アプリケーションで、SMSテキストで顧客の携帯電話に送信されたパスワードと認証コードの両方を顧客が入力する必要がある場合、そのアプリケーションは2FAを使用しています。

2つ目の認証要素をハッキングするにはより多くの作業が必要であり、他のタイプの要素を盗む、または改ざんすることはより困難であるため、2FAはアカウントのセキュリティーを向上させ、組織とユーザーを不正アクセスから保護します。

2FAは最も一般的に使用されるタイプの多要素認証(MFA) で、認証には少なくともパスワードに加えて1つの認証要素、または少なくともパスワードの代わりに2つの認証要素が必要です。


2FAで使用される認証要素のタイプ

2要素認証は、2つの方法で不正アクセスのリスクを軽減します。 まず、ハッカーは1つではなく2つの要素をハッキングする必要に迫られます。 次に、2FAに必要な要素の少なくとも1つは、パスワードよりもハッキングが困難です。

最終的には、2FA方式の強度は、ユーザーが提供を求められる認証要素のタイプによって異なります。

知識要素:ユーザーが知っていること

2FA実装の大部分では、知識要素が最初の認証要素として機能します。 知識要素は、理論的にはユーザーだけが知っている情報です。 パスワードは最も一般的な知識要素です。他には個人識別番号(PIN)やセキュリティーに関する質問への回答があります。

広く使用されているにもかかわらず、一般的に、知識要素、特にパスワードは、最も脆弱なタイプの認証要素です。 ハッカーは、ユーザーのデバイスにフィッシング攻撃、キーストローク・レコーダーやスパイウェアをインストール、または潜在的なパスワードを生成してテストするスクリプトやボットを実行する総当たり攻撃を仕掛けることで、パスワードやその他の知識要素を取得できます。

その他のタイプの知識要素には、それほど大きな課題は見られません。 セキュリティーに関する質問への回答の中には、たとえば、「あなたの母親の旧姓は何ですか?」がありますが、 これは、ハッカーがユーザーをだまして個人情報を漏えいさせる、基礎研究やソーシャル・エンジニアリング攻撃によって簡単に解読される可能性があります。 その他のセキュリティに関する質問では、たとえば、「ハネムーンはどこに行きましたか?」がありますが、 これは、比較的簡単に推測できます。 侵害された資格情報が、2021年に最も一般的に悪用された初期攻撃ベクトルであったことは、驚くべきことではなく、全データ侵害のうちの20%を占めていました。

パスワードとセキュリティに関する質問は、 2つの知識要素であり、これらを要求することが2要素認証ではないということは、注目すべきことです。これは2段階検証です。 真の2FAには2つの異なるタイプ認証要素が必要です。

所有要素:ユーザーが持っているもの

所有要素は、ユーザーが携帯する物理的なオブジェクトであり、認証に必要な情報が含まれています。 所有要素には、ソフトウェア・トークンとハードウェア・トークンの2つのタイプがあります。

現在、ほとんどのソフトウェア・トークンはワンタイム・パスワード(OTP)です。 これは、SMSテキスト・メッセージ(または電子メール、あるいは音声メッセージ)を介してユーザーの電話に送信される、または電話にインストールされている認証アプリケーションによって生成される、有効期限がある一定の時間で切れる4〜8桁のパスコードです。 認証アプリケーションは、インターネットやセルラー接続なしでトークンを生成できます。 ユーザーは、サービス・プロバイダーによって表示されたQRコードをスキャンして、アプリケーションとアカウントをペアリングします。次に、そのアプリケーションは、アカウントごとに、通常30秒から60秒ごとに、時間ベースのワンタイム・パスワードOTP(TOTP)またはその他のソフトウェア・トークンを継続的に生成します。 最も一般的に使用される認証アプリケーションには、Google Authenticator、Authy、Microsoft Authenticator、LastPass Authenticator、およびTOTPではなくプッシュ通知を使用するDuoが含まれます。

ハードウェア・トークンは、フォブ、IDカード、ドングルなどの専用デバイスで、 セキュリティー・キーとして機能します。 一部のハードウェア・トークンは、コンピューターのUSBポートに接続し、認証情報をログイン・ページに送信します。その他のハードウェア・トークンは、プロンプトが表示されたときにユーザーが手動で入力するためのセキュリティー・コードを生成します。

所有要素には、知識要素に比べていくつかのメリットがあります。 ユーザーになりすますには、ログイン時にハッカーが物理的なデバイスを手元に置くか、OTPまたはTOTPが期限切れになる前にデバイスへの送信を傍受する必要があります。

しかし、所有要素が破られないというわけではありません。 物理的なトークンやスマートフォンは、盗まれたり置き忘れたりする可能性があります。 OTPとTOTPは、従来のパスワードよりも盗むのが困難ですが、それでも高度なフィッシング攻撃や中間者攻撃の影響を受けやすくなっています。 また、OTPはSIMの複製に対して脆弱であり、被害者のスマートフォンのSIMカードの機能的な複製を作成します。

固有要素:人としてのユーザーに固有のもの

生体認証とも呼ばれる固有要素は、指紋、声、顔の特徴、虹彩と網膜のパターンなど、ユーザーに固有の身体的特徴または特性です。 今日、モバイル・デバイスは、指紋または顔認識を使用してロックを解除できます。一部のコンピューターは、指紋を使用してWebサイトまたはアプリケーションにパスワードを入力できます。

固有要素は、解読するのが最も難しい要因です。忘れたり、紛失したり、置き忘れたりすることはできず、複製するのは非常に困難です。 しかし、だからといって固有要素が絶対に確実だという意味ではありません。 固有要素がデータベースに保存されている場合は、盗まれる可能性があります。 たとえば、2019年には、100万人のユーザーの指紋を含む生体認証データベースが侵害されました。 理論的には、ハッカーは指紋を盗んだり、自分の指紋をデータベース内の別のユーザーのプロファイルにリンクする可能性があります。

生体認証データが侵害されると、迅速に、あるいは簡単に変更できなくなり、被害者が進行中の攻撃を阻止することが困難になる可能性があります。

行動要素:ユーザーが行うこと

行動要素は、行動パターンに基づいてユーザーのIDを確認するデジタル・アーティファクトです。 この例には、ユーザーが通常アプリケーションにログインする領域を示すIPアドレス範囲または位置のデータが含まれます。

行動認証ソリューションは、人工知能を使用してユーザーの通常の行動パターンのベースラインを決定し、新しいデバイス、電話番号、Webブラウザー、位置情報から、ログインなどの異常なアクティビティにフラグを立てます。 一部の2FA実装は、ユーザーが信頼できるデバイスを認証要素として登録できるようにすることで、行動要素を活用します。 ユーザーは最初のログイン時に2つの要素を手動で指定する必要がある場合がありますが、信頼できるデバイスの使用は、将来、2番目の要素として自動的に機能します。

行動要素は、「リスク・ベース認証」とも呼ばれる適応認証で一般的に使用されています。 このシステムでは、ユーザーが信頼できないデバイスからログインしようとしたとき、アプリケーションに初めてアクセスしようとしたとき、または、特に機密データにアクセスしようとしたときなど、リスクが変化する際に、認証要件が変化します。 適応認証スキームでは、通常、システム管理者がユーザーまたは役割のタイプごとに個別の認証ポリシーを設定できます。 低リスク・ユーザーはログインに2つの要素しか必要としない場合がありますが、高リスクのユーザー(または非常に機密性の高いアプリケーション)は3つ以上の要素を必要とする場合があります。

行動要素はユーザーを認証するための洗練された方法を提供しますが、デプロイするにはかなりのリソースと専門知識が必要です。 さらに、ハッカーが信頼できるデバイスにアクセスした場合、それを認証要素として使用できてしまいます。


パスワードなしの2FA

侵害された知識要素がサイバーセキュリティー侵害の最も一般的な初期ベクトルであるため、多くの組織が IDを検証するために所有要素、固有要素、行動要素を使用した認証である、パスワードなしの認証を模索しています。 パスワードなしの認証は、フィッシング攻撃や資格情報の詰め込みなど、パスワードを標的とする攻撃に対する脆弱性を軽減します。この種の攻撃では、ハッカーが1つのシステムから盗んだ資格情報を使用して別のシステムにアクセスします。

現在のほとんどの2FA方式はパスワードを使用していますが、業界の専門家は、多くの組織がID検証チェーンで最も弱いリンクと広く見なされているものから離れるにつれて、これからますますパスワードがない将来になっていくだろうと予測しています。 これにより、パスワードなしの2FAシステムの採用が促進される可能性が高いですが、このシステムでは、ユーザーは2つのタイプの非知識要素認証の資格情報を提供する必要があります。 たとえば、ユーザーに指紋と物理トークンを要求すると、パスワードなしの2FAが構成されます。


2FAと規制コンプライアンス

サイバー攻撃の増加傾向に対応して、多くの政府および業界の規制は現在、機密データを処理するシステムにMFAを要求しています。 以下に例を示します。

  • 2020年、内国歳入庁(IRS)は、オンライン納税準備システムのプロバイダーにMFAを義務付けました。
  • 国家のサイバーセキュリティーの改善に関するジョセフ・バイデン大統領の2021年の大統領令により、MFAはすべての連邦政府機関の要件となりました。 その後の覚書では、2022年8月18日までに、すべての国家安全保障、国防総省、および諜報機関のコミュニティー・システムはMFAを実装することが要求されています。
  • Payment Card Industry Data Security Standard(PCI-DSS)は、クレジット・カードおよび支払いカードのデータを処理するシステムにMFAを明示的に要求しています。

2要素認証方式は、これらの規制やその他の規制に準拠する最低限のレベルを満たしています。 Sarbanes-Oxley Act(SOX)やHIPAAを含む他の多くの規制では、コンプライアンスを遵守する手段として少なくとも2FAを使用することを強く推奨しています。


2FA、シングル・サインオンとゼロトラスト

シングル・サインオン(SSO)は、ユーザーが1セットのログイン資格情報で、複数の関連アプリケーションやサービスにアクセスできるようにする認証方法です。 ユーザーは一度ログインすると、SSOソリューションがユーザーのIDを認証し、セッション認証トークンを生成します。 このトークンは、相互接続されたさまざまなアプリケーションやデータベース用に、ユーザーのセキュリティー・キーとして機能します。

複数のアプリケーションの単一セットの資格情報に依存するリスクを軽減するために、組織はSSOログインに対して2FAを有効にすることがよくあります。 これにより、ユーザーがSSOセッションにアクセスする前に、2つの異なる認証要素が必要になるため、セキュリティーがさらに強化されます。

組織はSSOの適応認証を実装し、最初のログインと機密性の低いアプリケーションやコンテンツへのアクセスに2FAを組み合わせ、ユーザーが機密性の高いデータにアクセスしようとしたり、異常な動作(認識されないVPNによる接続の試行など)を示した場合に、追加の認証要素を要求する場合があります。 これは特にゼロトラスト・サイバーセキュリティー・アーキテクチャーでは一般的で、ユーザーのIDが信頼されることはなく、ユーザーがネットワーク内を移動するときに常に検証されます。

関連するソリューション