社員が退職する際、会社内のアカウントの引き継ぎはスム
多要素認証(MFA)は、使用する要素によって、知識、所持、生得、場所の 4 種類に分類されます。これらの認証要素が多くの MFA認証方法の基礎となり、SMS メッセージトークンからハードウェアセキュリティキーまで、データを保護するための複数のオプションをユーザーに提供しています。ユーザーや業務に適した方法は、 どの方法を利用できるかと、どの程度の安全性を求めるかによって異なります。
ここでは、どの多要素認証の方法の安全性が高く、ユーザーや業務にとって、どの方法でデータを保護するのが最善なのかについて詳しく説明します。
多要素認証(MFA)の仕組みとは
多要素認証(MFA) は、従来のパスワードに加えて 1 つ以上の認証方法を要求することで、ユーザーがアカウントにアクセスできるかどうかを確認します。これによって、もう 1 つのセキュリティのレイヤーが加わります。サイバー犯罪者が 1 つの認証要素を突破できたとしても、同時に 2 つを突破するのは著しく困難だからです。
認証方法によって識別情報の確認方法が異なり、他と比べて安全性の高い方法もあります。
多要素認証(MFA)が重要な理由とは?
クラウドコンピューティングが一般的になったことで、機密情報はインターネット上のさまざまなアカウント、デバイス、クラウドストレージに散らばって保存されています。これによって、個人か組織かにかかわらず、すべてのユーザーの攻撃対象領域が拡大し、サイバー攻撃者がユーザーの秘密データを漏洩させる方法が増加しました。
そのため、情報漏洩がますます増加しています。Statista によると、2022 年には 1,800 件以上の情報漏洩が発生し、4 億 2,200 万人以上が影響を受けました。これらの情報漏洩により危険にさらされるのが、パスワードなどの機密情報です。
情報漏洩で一連のクレデンシャルが漏洩し、サイバー犯罪者がログイン試行でそれらのクレデンシャルを使用した場合に、アカウントへのアクセスを妨ぐ唯一の方法は多要素認証です。
多要素認証は安全ですか?
はい、多要素認証は安全です。多要素認証の方法の中には、他の方法よりも安全なものもありますが、どの多要素認証の方法でもアカウントのセキュリティが向上します。多要素認証(MFA)が利用可能な場合は、常に有効にするべきです。
4 種類の多要素認証
認証には、主に以下の 4 つの種類があります。
1. 知識:知る要素
知識ベースの認証は、ユーザーが知っていることに依存します。例えば、セキュリティ質問は、ユーザーだけが答えを知っている秘密の質問をして、識別情報を確認します。
2. 所持:持つ要素
所持ベースの認証は、ユーザーが物理的に持っているものによって、識別情報を検証します。例えば、ユーザーが建物に入ることができるチップ付きのバッジは、所持ベースの認証の一種です。
3. 生得:備える要素
生得は、ユーザーが遺伝的に受け継いだまたは生まれ持った、変更不可能な特徴に基づいています。前述のセキュリティバッジにユーザーの写真が含まれている場合、バッジは生得と所持の両方に依存して識別情報を確認しています。さらにハイテクな例では、指紋スキャンなどの生体認証があります。
4. 場所:場所の要素
ゼロトラストサイバーセキュリティ環境では、ユーザーの物理的な場所も認証要素にすることができます。アプリやサービスによっては、アクセスするためにユーザーが特定の場所にいる必要があります。
多要素認証の種類と実例
上記 4 つのカテゴリーだけでも、さまざまな検証方法がありますが、ここでは一般的に使われている、多要素認証(MFA)の種類と実例を紹介します。
1. 時間ベースのワンタイムパスワード(TOTP)
TOTP は、通常6桁の番号のコードで、多くの場合、30秒から60秒の短時間のみ有効です。この方法では、ユーザーは、TOTP コードを保存するパスワードマネージャーを使用したり、コードを保存しそれらにアクセスできる認証アプリをダウンロードしたりすることができます。アカウントにログインするためにパスワードを入力すると、ユーザーはコードを入力して識別情報を確認するように求められます。
これの方法は、コードが保護され、傍受が困難なため、多要素認証の最も安全な形式の 1 つです。サイバー犯罪者がコードを盗むことができる唯一の方法は、コードが生成されたデバイスを盗むか、マルウェアに感染させることです。
2. SMSのテキストメッセージトークン
この方法では、アカウントを作成する際に、ユーザーが電話番号を入力する必要があります。ユーザーが認証情報でログインすると、携帯電話に SMSテキストメッセージで送信されたコードを入力するよう求められます。コードを入力することで、ログインできます。
個人の電話番号は通常オンラインで簡単に見つけることができるため、これは、セキュリティが比較的低い多要素認証の方法です。サイバー犯罪者は、ユーザーの電話番号を知っている場合、SIM スワッピングと呼ばれる技術を使用して、SMSテキストを傍受することができます。
利点は、ユーザーが新しいアプリをダウンロードする必要のない、便利な方法だということです。アカウントによっては、提供される唯一の多要素認証の方法がSMSのテキストトークンである場合もあります。多要素認証が全くないよりはましなので、これが唯一の選択肢である場合は使用するべきです。
3. メールトークン
メールトークンは、SMSトークンに似ていますが、コードを配信するためにメールアドレスを使用します。同様に、メールトークンのリスクは、サイバー犯罪者がコードにアクセスするためにメールアカウントをハッキングする可能性があることです。この方法を使用する場合は、保護するために、必ずユニークで複雑なパスワードでメールアカウントを保護してください。
4. ハードウェアセキュリティキー
ハードウェアセキュリティキーは、物理的なトークンです。アカウントに接続した後、紛失しない安全な場所に保管してください。通常、アカウントにログインするときは、USB ポートにキーを入れるか、デバイス上でキーをタップします。デバイスはキーを感知し、識別情報を検証します。
サイバー犯罪者がインターネット上で盗むことは不可能なため、これは最も安全な認証方法の 1 つです。この方法で漏洩する唯一のケースは、物理的キーが盗まれた場合です。
5. 生体認証
生体認証は、顔認識、指紋スキャン、虹彩スキャンを使用して、識別情報を検証します。最初に生体認証を設定するときに、ユーザーは指紋や顔スキャンをデバイスに登録します。その後、システムは将来のスキャンと最初のスキャンを比較して、識別情報を確認します。
誰もが固有の指紋と顔を持っているため、これは非常に安全な方法です。指紋と顔認識は、ログイン識別のために、パーソナルデバイスで既に広く使用されています。また、アプリのMFA 方法としてもよく使用され、銀行業務や機密情報を使用するその他のアプリで一般的に使用されています。それらの保護のため、生体認証は通常、ローカルに保存されます。
生体認証の欠点は、ユーザーの生体情報が漏洩した場合、パスワードをリセットするようにリセットできないことです。指紋が漏洩した場合は絶対に、認証方法として指紋スキャンを使用しないでください。これが、通常は第 2 要素として使用されるか、コードログインの便利なバイパスとして(携帯電話などで)使用され、主要な識別要素としては使用されない理由です。
6. セキュリティ質問
セキュリティ質問は、銀行との電話などで口頭で識別情報を確認するためによく使用されますが、デジタルでも使用されています。秘密の質問を使用する場合は、答えが本当に秘密であることを確認してください。オンラインのデジタルフットプリントを調べれば簡単に推測できるセキュリティ質問を選択してしまうことが、あまりにもよくあるからです。例えば、「犬の名前は?」のような質問に対する答えは、ユーザーのSNSアカウントで簡単に見つけることができます。サイバー犯罪者が答えを見つけるのを防ぐ一般的なテクニックは、誰も推測できない偽の答えを提供することです。ただし、偽の答えを必ず覚えておかなければいけません。
7. リスクベース認証
リスクベース認証、または適応認証は、リスクのレベルに基づいてアクセスに必要な認証を変更する慣行です。リスクベース認証は、人的要素を考慮します。ユーザーがログインごとに複数の認証方法を使用する必要がある場合に、わずらわしく感じる可能性があります。そのため、MFAを無効にしてアカウントの保護を弱めてしまう恐れがあります。
リスクベース認証では、例えば、ユーザーが作業デバイスにログインするときには、多要素認証を求めず、異なるデバイスにログインするときにはユーザーに MFAを要求する可能性があります。つまり、ユーザーが多要素認証を要求される頻度は低くなりますが、サイバー犯罪者が自分のコンピュータからアカウントをハッキングしようとすると、多要素認証の通知を受けることになります。
まとめ:多要素認証を使ってセキュリティ強化を
無論、使用する方法に関わらず、多要素認証(MFA)をサポートする全てのアカウントにMFAを適用することをお勧めします。これは、既に強力なパスワードを使用している場合でも、アカウントのセキュリティをさらに強化するための重要な手段の一つです。
MFAの利便性を高めるために、Keeperパスワードマネージャーのようなツールは有用です。このツールでは、TOTPコードを保存し、どのデバイスからでもアクセスできるようになっています。一方、Keeperは強固なパスワード、パスキー、MFAコードを自動的に生成し、安全に保管することで、認証プロセスをより簡単かつ効率的にします。
この機会にKeeperパスワードマネージャーの無料30日間トライアル体験を試してみてはいかがでしょうか。