多要素認証

多要素認証がどのようにセキュリティーを強化し、規制コンプライアンス要件を満たし、ゼロトラスト・セキュリティー戦略をサポートするかを説明します。

モバイル通信、データ、およびメディアを表示している女性の等角投影図
多要素認証とは

多要素認証(MFA)は、ユーザーが、Webサイト、アプリケーション、またはネットワークにアクセスするために、パスワードに加えて少なくとも1つの認証要素、またはパスワードの代わりに少なくとも2つの認証要素を提供する必要があるID検証方法です。

複数の認証要素をハッキングするには、パスワードだけをハッキングするよりも多くの作業が必要であり、他のタイプの要素は、パスワードよりも盗んだり改ざんしたりすることが難しいため、MFAは単一要素(ユーザー名とパスワード)認証よりも、組織を不正アクセスから保護するのに優れています。

MFAは、多くの組織のIDおよびアクセス管理戦略の基本的なコンポーネントになっています。 これは、多くの業界や政府機関で義務付けられている、または推奨されている認証方法であることが多いです。 ほとんどの従業員またはインターネット・ユーザーは、2要素認証(2FA)と呼ばれるMFAのサブタイプを経験したことがあります。これは、ユーザーがパスワードと第二の要素を提供する必要があり、 – 第二の要素は、通常、携帯電話または電子メールにパスコードが送信され、 – システムやWebサイトにログインします。 しかし、銀行カードと個人識別番号(PIN)を使用してATMにアクセスした人は、MFAの形式を使用したことがあります。


認証要素のタイプ

MFAは、ハッカーを2つのレベルで混乱させます。 最も基本的なレベルでは、1つの要素だけをハッキングするよりも、2つ以上の要素をハッキングする方が困難です。 ただし、最終的にMFA方式の強度は、ユーザーが提供する必要がある認証要素のタイプによって異なります。

知識要素:ユーザーが知っていること

知識要素は、理論的には、パスワード、PIN、セキュリティー保護用の質問への回答など、ユーザーだけが知っている情報で成り立つものです。 知識要素は、最も広く使用されている認証要素であり、最も脆弱なタイプの認証要素です。 ハッカーは、ユーザーのデバイスにキーストローク・レコーダーやスパイウェアをインストールする、または潜在的なパスワードを生成してテストするスクリプトやボットを実行することで、パスワードやその他の知識要素を取得できます。

他の知識要素を取得するのは、それほど難しくありません。 セキュリティー保護のための質問への回答は、ハッカーがユーザーを知っているか、またはソーシャル・メディアで調査を行うことでハッカーによって解読される可能性があります。 他の知識要素は比較的簡単に推測できます。 IBMの2021年データ侵害のコストに関するレポートによると、認証情報の漏洩が2021年の最も一般的な初期攻撃ベクトルでした。

よくある誤解は、パスワードとセキュリティー保護のための質問への回答など、2つの知識要素を要求することでMFAが構成できたとしてしまうことです。 第二の知識要素を要求すると、セキュリティが多少強化されますが、真のMFAでは、2つ以上のタイプの要素を使用する必要があります。

所有要素:ユーザーが持っているもの

所有要素は、物理的なロックへのアクセスを許可するフォブやIDカード、オーセンティケーター・アプリがインストールされたモバイル・デバイスや認証情報を含む小さなカードのような、ユーザーが物理的に保有しているものです。

多くのMFA実装では、「トークンとしての電話」と呼ばれる方法が使用されます。この方法では、ユーザーの携帯電話が、所有要素になるために必要な情報を受信または生成します。 上記のように、MFAは通常、テキスト・メッセージ、電子メール・メッセージ、または電話を介してワンタイム・パスワード(OTP)を当人の電話に送信します。 ただし、OTPは、オーセンティケーター・アプリと呼ばれる特別なモバイル・アプリによって生成することもできます。 また、一部の認証システムは、ユーザーがタップするだけでIDを確認できるプッシュ通知を送信します。

他のMFAソリューション・システムは、物理トークンまたは専用のハードウェア・セキュリティー・キーを使用します。 一部の物理トークンは、コンピューターのUSBポートにプラグを接続し、認証情報をログイン・ページに送信します。 他の物理トークンは、ユーザーが入力するためのOTPを生成します。

所有要素には、知識要素に比べていくつかのメリットがあります。 悪意のある攻撃者は、ユーザーになりすますために、ログイン時にその要素を所有している必要があります。 これらはアプリケーション(IP)とは異なるネットワーク(SMS)で動作するため、ハッカーは2つの異なる通信チャネルを傍受して資格情報を盗む必要があります。 ハッカーがOTPを入手できたとしても、OTPの期限が切れる前に入手して使用する必要があり、再度使用することはできません。   

しかし、リスクがあります。 物理トークンはオブジェクト(通常は小さなもの)であるため、盗まれたり、紛失したり、置き忘れたりする可能性があります。  OTPは従来のパスワードよりも盗むのは困難ですが、高度なフィッシング攻撃や中間者攻撃、または悪意のある攻撃者が被害者のスマートフォンのSIMカードの機能を複製して作成されたSIMクローンの影響を受けやすくなっています。

固有要素:人としてのユーザーに固有のもの

固有要素、別名生体認証は、ユーザーに固有の物理的特性または特徴です。  人の指紋、声、顔の特徴、または虹彩と網膜のパターンは、固有要素の例です。 今日、多くのモバイル・デバイスは、指紋または顔認識を使用してロックを解除できます。一部のコンピューターは、指紋を使用してWebサイトまたはアプリケーションにパスワードを入力できます。

固有要素は、突破するのが最も難しい要素です。 固有要素は忘れたり、紛失したり、置き忘れたりすることはできず、複製するのは非常に困難です。

しかし、だからといって固有要素が絶対に確実だという意味ではありません。 固有要素がデータベースに保存されている場合は、盗まれる可能性があります。 たとえば、2019年には、100万人のユーザーの指紋を含む生体認証データベースが侵害されました。 理論的には、ハッカーは指紋を盗んだり、自分の指紋をデータベース内の別のユーザーのプロファイルにリンクしたりする可能性があります。

生体認証データが侵害されると、迅速に、あるいは簡単に変更できなくなり、被害者が進行中の攻撃を阻止することが困難になる可能性があります。

行動要素:ユーザーが行うこと

行動要素は、行動パターンに基づいてユーザーのIDを確認するデジタル・アーティファクトです。 IPアドレス範囲、またはユーザーが通常アプリケーションにログインする位置データは、行動要素の例です。

行動認証ソリューションは、人工知能を使用してユーザーの通常の行動パターンのベースラインを決定し、新しいデバイス、電話番号、Webブラウザー、位置情報から、ログインなどの異常なアクティビティにフラグを立てます。 また、アダプティブ認証(リスクベース認証とも呼ばれます)方式でも一般的に使用されます。この方式では、ユーザーが信頼できないデバイスからログインしようとした場合、初めてアプリケーションにアクセスしようとした場合、または特に機密情報にアクセスしようとした場合などに認証要件が変化します。

行動要素はユーザーを認証するための洗練された方法を提供しますが、デプロイするにはかなりのリソースと専門知識が必要です。 さらに、ハッカーが信頼できるデバイスにアクセスした場合、それを認証要素として使用できてしまいます。


パスワードなしのMFA

侵害された知識要素がサイバーセキュリティー侵害における最も一般的な初期ベクトルであるため、多くの組織がパスワードなしの認証を模索しています。 パスワードなしの認証は、IDを検証するために、所有要素、固有要素、および行動要素に依存しています。 パスワードなしの認証は、ハッカーが1つのシステムから盗んだ資格情報を使用して別のシステムにアクセスする、フィッシング攻撃や資格情報スタッフィングのリスクを軽減します。

パスワードなしの認証は、ID検証チェーンの中で最も弱いリンクと広く見なされているものを削除しますが、それでも所有要素、固有要素、および行動要素の脆弱性の影響を受けやすくなります。 組織は、ユーザーに複数のタイプの非知識要素認証の資格情報を提供する必要があるアプローチを実装することにより、こうした脆弱性を軽減できます。 たとえば、ユーザーに指紋と物理トークンを要求すると、パスワードなしのMFAが構成されます。


MFAと規制コンプライアンス

サイバー攻撃が増加している傾向に対応して、政府および政府機関は機密データを処理するシステムにMFAを要求し始めるようになりました。 2020年、内国歳入庁(IRS)は、オンライン納税準備システムのプロバイダーにMFAを義務付けました。 国家のサイバーセキュリティーの改善に関するジョセフ・バイデン大統領の2021年の大統領令により、MFAはすべての連邦政府機関の要件となりました。 その後の覚書では、2022年8月18日までに、すべての国家安全保障、国防総省、および諜報機関のコミュニティー・システムはMFAを実装することが要求されています。

Payment Card Industry Data Security Standard(PCI-DSS)を含むいくつかの業界規制では、特にクレジット・カードと支払いカードのデータを処理するシステムにMFAが必要としています。 Sarbanes-Oxley(SOX)やHIPAAを含む他の多くの規制では、コンプライアンスを確保するためにMFAが重要であると強く推奨しています。 幾つかの州規制では、MFAが何年にもわたって義務付けられています。 New York Department of Financial Services(NYDFS)の2017年サイバーセキュリティー・規制23NYCRR500のMFA条項に準拠しなかった企業は最大300万米ドルの罰金 (ibm.comの外部へのリンク)を科せられました。


MFAとシングル・サインオン

シングルサインオン(SSO)は、ユーザーが1セットのログイン資格情報で、複数の関連アプリケーションやサービスにアクセスできるようにする認証方法です。 ユーザーは一度ログインすると、SSOソリューションがユーザーのIDを認証し、セッション認証トークンを生成します。 このトークンは、相互接続されたさまざまなアプリケーションやデータベース用に、ユーザーのセキュリティー・キーとして機能します。

複数のアプリケーションで単一のログイン資格情報セットに依存するリスクを軽減するために、組織は通常、SSOのアダプティブ認証を必要とします。 アダプティブSSOは、アダプティブ認証の機能をSSO方式に適用します。 ユーザーがSSOでログインしようとしているとき、またはSSO認証されたセッション中に異常な動作を示した場合、ユーザーは追加の認証要素を提供するように求められます。 異常な動作の例としては、認識されないVPNでの接続や、ユーザーのセッション認証トークンでカバーされていないアプリケーションやデータへのアクセスなどがあります。

ゼロトラストサイバーセキュリティー・アーキテクチャーでは、ユーザーのIDが決して信頼されず、常に検証され、認証目的でアダプティブSSOとMFAの組み合わせを使用することがよくあります。 アダプティブSSOとMFAは、セッション全体を通じてユーザーのIDを継続的に検証し、リスクに基づいて追加の認証要素を要求することにより、ユーザー体験を妨げることなくアクセス管理を強化します。


関連ソリューション

ID管理とアクセス管理(IAM)

IBM Security® Verify IAMソリューションを使用して、すべてのユーザーに適切なレベルのアクセスを提供します。


SSO

クラウド・アプリケーションとオンプレミス・アプリケーションのアクセス制御を一元化します。


高度な認証

パスワードなしまたは多要素認証のオプションを使用して、基本認証を超えたものを実現します。


アダプティブ・アクセス

IBM Security Verifyを使用したAI支援のリスクベース認証でユーザーと資産を保護します。


クラウドIAMソリューション

クラウドIAMに、低摩擦で安全なアクセスのためのリスクベース認証の深いコンテキストを導入します。


IBM Security Verifyトラスト

リスクの信頼性をIAMシステムに導入して、IBM Security Verifyトラスト・ソフトウェアでよりスマートな認証を提供します。


ゼロトラスト・ソリューション

すべてのユーザー、すべてのデバイス、すべての接続に対応したセキュリティー・ソリューションをご覧ください。


モバイル・デバイス管理(MDM)ソリューション

エンドポイントとユーザーのための可視性、管理、安全性を提供します。  



参考情報