企業に合わせた認証方式が必要?ゼロトラストの時代に必須な多要素認証について徹底解説!

企業に合わせた認証方式が必要?ゼロトラストの時代に必須な多要素認証について徹底解説!

様々なセキュリティリスクが高まる現代は、社内の情報や顧客データを守るために多要素認証が必要不可欠です。今回は多要素認証と、ゼロトラストセキュリティで大きな役割を果たすはアイデンティティ・アクセス管理について解説します。

ゼロトラストセキュリティの実現に不可欠なアイデンティティ・アクセス管理

多くの企業でリモートワークが広がる昨今、ゼロトラストセキュリティの実現が喫緊の課題となっています。ゼロトラストセキュリティでは、「守るべき情報が境界の中にあり、脅威は外からやってくる」というこれまでの考えを覆しました。ユーザーやデバイスなどあらゆるものを信頼せず、「アクセスしているのは本人か」というアイデンティティ管理と、「誰が何にアクセスしてよいか」というアクセス管理を確実に行うことが重要になります(ゼロトラストセキュリティの詳細についてはこちら)。

この2つはアイデンティティ・アクセス管理(Identity and Access Management)といい、IAMと呼ばれています。アイデンティティ管理では、一つのシステムやサービスでIDやパスワードを変更したらほかのシステムやサービスでも連動して変更される機能や、ユーザーIDを一元管理し管理プロセスを自動化する機能などがあります。一方、アクセス管理には多要素認証やSSOなどの機能があります。

IAMを活用することで、ユーザーやソフトウェア、ハードウェアなどに虚偽がないことを確認し、データにアクセスできるユーザーを選別し、機密度の高い情報が誤って閲覧・編集されることを防ぎます。

IAMの重要性を理解するため、「IPA 情報セキュリティ10大脅威 2022」から、「IPA情報セキュリティ10大脅威」をご紹介します。

1位 ランサムウェアによる被害
2位 標的型攻撃による機密情報の窃取
3位 サプライチェーンの弱点を悪用した攻撃
4位 テレワーク等のニューノーマルな働き方を狙った攻撃
5位 内部不正による情報漏えい

上記のうち、3位以外はIMAが予防策として機能します。また、こういったリスクに対しては多要素認証も非常に有効な手段です。

セキュリティ向上の要となる多要素認証

ゼロトラストセキュリティでは、多要素認証も重要な役割を果たします。パスワードやPINコードなどの「知識」、ICカードやワンタイムパスワードなどの「所有」、指紋や虹彩など「生体」のうち2つを組み合わせる多要素認証を用いることで、セキュリティレベルが飛躍的に上がります。

認証方式には様々な種類があります。定間隔毎に生成されるパスワードとPINを組み合わせた二要素認証であるワンタイムパスワード方式では、ワンタイムパスワードが表示される機器を利用する「HWトークン」や、要求されたタイミングで生成されたワンタイムパスワードをEメールまたはSMS/電話音声で送る「オンデマンド」などの方法が挙げられます。

そのほかにも、登録済みデバイスへのプッシュ通知をして承認ボタンを押すことで認証許可を承認する「プッシュ認証」や、認証画面に表示されたQR画像をカメラスキャンすることで実行される「QRコード」などがあります。

それぞれ安全性や利便性、導入容易性が異なり、従業員の働き方や環境、事業内容などによって選ぶべきものは異なります。例えば、機密情報を取り扱っている関係でクラウド利用をしておらず、高セキュリティレベルのオンプレのユーザー認証が必要な場合、複数の認証方式の活用がおすすめです。

多くの企業で高まる多要素認証の重要性

高いセキュリティレベルが求められる現在、多要素認証を必須にしているサービスも増えています。データマイニングやデータビジュアライゼーションなどを組み合わせて企業のデータ分析に役立つBIツールを提供するTableauでは、2022年3月から段階的に必須化されます(Tableauの多要素認証必須化についての詳細はこちら)。

世界トップクラスのクラウド型ビジネスアプリケーションSalesforceでも、多要素認証を必須化し、ユーザーへの対応を求めています(Salesforceの多要素認証必須化についての詳細はこちら)。

ほかにもGoogleが2段階認証をデフォルト化したり、ChromebookがFIDO認証を導入したりと、セキュリティを強化する動きが活発化しています。このように、リモートワークの普及により出勤時間の短縮や多様な働き方の実現など多くのメリットが生まれましたが、一方でよりハイレベルなセキュリティ対策が求められるようになったことも事実です。

また、環境は変わったものの従業員の意識が変わらず、一つのパスワードを使いまわしたり、他の社員と共有したりといったケースも散見されます。こういったリスクをつぶし、インシデントを防ぐためにも、できるかぎり早い段階から具体的な対策を講じましょう。

「セキュリティ対策はしたいが、どんなことをすればいいかわからない」という方は、ぜひ三谷商事にご相談ください。プロの観点から貴社の現状をヒアリングし、現在抱えているリスクとそれに対する解決策をご提案いたします。

三谷商事にご相談ください

本記事に関するご質問や、SaaS製品導入に関する疑問点、不安点がございましたら、クラウドサービスの導入実績が豊富な三谷商事までお気軽にお問い合わせください。