アダプティブ多要素認証とは?
- IAM 用語集
- アダプティブ多要素認証とは?
適応型多要素認証 (適応型MFA) は、追加の認証を求める前に、利用時の状況やリスク要因を評価するセキュリティ手法です。従来の多要素認証とは異なり、デバイスの種類、アクセス元の場所、利用者の行動などが通常のパターンから外れている場合にのみ、追加の本人確認を求めます。これにより、信頼できる利用者のログイン手順を簡素化しつつ、オンラインアカウントを効果的に保護できます。
適応型多要素認証の仕組み
適応型MFAでは、文脈データを用いてリアルタイムでセキュリティリスクを分析し、ログイン試行が正当なものかどうか、またどの認証要件を適用するかを判断します。ユーザーがログインを試みると、IPアドレス、地理的位置、アクセス時刻などの情報を、通常の利用パターンと照らし合わせて評価します。その結果に基づき、ログイン試行ごとにリスクスコアが割り当てられます。主なリスクスコアの種類は次のとおりです。
- 低リスク: ログイン試行が利用者の通常の行動パターンと一致している場合は、ユーザー名とパスワードを入力するだけでアクセスできることがあります。
- 中程度のリスク: 新しいデバイスからのログインや、通常とは異なる時間帯でのアクセスが検知された場合には、ワンタイムパスワード (OTP) などの追加手順による本人確認を求められることがあります。
- 高リスク: 不審なIPアドレスや見慣れない場所からのアクセスなど、複数の異常が検知された場合には、生体認証など、より強力な認証方法による本人確認が求められるか、アクセスが拒否されることがあります。
たとえば、通常はニューヨークで業務時間中にノートパソコンからログインしている利用者が、午前3時にオーストラリアからモバイル端末でアクセスを試みた場合、高リスクと判断されます。このようなケースでは、OTPと生体認証の両方による確認が求められ、要件を満たせない場合はアクセスがブロックされます。
MFAと適応型MFAの違い
従来の多要素認証 (MFA) では、2つ以上の認証要素を用いて本人確認を行います。一般的には、知識情報 (パスワードなど)、所持情報 (OTPなど)、生体情報 (指紋など) を組み合わせて認証します。リスクレベルや利用状況にかかわらず、すべての利用者に対して、あらかじめ定められた同一の認証手順が適用されます。
適応型多要素認証では、文脈に基づくリスク評価を取り入れることで、必要となる認証の強さを判断します。リスクが低いと見なされた利用者には認証の手順を最小限に抑え、使いやすさを高めます。一方で、高リスクと判断されたログイン試行に対しては、より強力なセキュリティ対策が適用されます。
| 多要素認証 | 適応型多要素認証 |
|---|---|
| 認証方法 | |
| すべてのユーザーに同一の手順を適用 | 状況やリスクレベルに応じて手順を変更 |
| 柔軟性 | |
| すべてのログイン試行に対して固定のルールを適用 | 各ログイン状況に応じて柔軟に対応 |
| リスク評価 | |
| 含まれない | 文脈データを用いたリスク分析機能を内蔵 |
| 活用事例 | |
| 利用者のアクセス行動が一定している基本的な環境に適している | 利便性と高度なセキュリティ対策の両立が求められる、変化の多い環境に適している |
適応型MFAのメリット
適応型MFAは、文脈情報を重視することで、従来のMFAと比べて組織に多くの利点をもたらします。信頼できる利用者の操作負担を抑えながら、セキュリティを強化できる点が特長です。以下では、適応型MFAがどのように安全性を高めつつ、利便性の向上につながるのかをご紹介します。
セキュリティの向上
従来のMFAは、パスワードやPINといった静的な認証情報と組み合わせて使用されるため、フィッシング攻撃や認証情報の窃取に対して脆弱になりがちです。一方、適応型MFAでは、ログイン試行をリアルタイムで評価し、不審な挙動が検知された場合にのみ、より強力な認証手順を適用します。異常度が高く、必要な認証を満たせない場合にはアクセスそのものを遮断し、不正利用から機密データを保護します。
ユーザー体験の向上
利用者が、普段利用している場所やデバイスからログインし、低リスクと判断された場合には、MFAによる追加認証は最小限に抑えられます。その結果、信頼できる利用者は余計な本人確認を求められることなく、スムーズにアカウントへアクセスできます。必要な場面に限って強固な認証を求めることで、適応型MFAは安全性を保ちながら、快適なログイン体験を提供します。
運用コストの削減
不要な認証を求められる場面が減ることで、利用者が認証情報を忘れにくくなり、ITヘルプデスクへの問い合わせも少なくなります。適応型MFAは、パスワードのリセット依頼や、強力な認証手順によるアカウントロックの発生を抑えることで、組織の時間とコストの削減に役立ちます。
適応型MFAの導入方法
組織に適応型MFAを導入する際の主なステップは次のとおりです。
- ビジネス要件を評価する: 組織のセキュリティ要件、利用者の役割、アクセス権限を踏まえ、適応型MFAが特に必要となる領域を見極めます。機密データを扱うシステムや、特権アカウントを含む環境、サイバー攻撃の標的になりやすいシステムを優先的に検討します。
- 導入するプロバイダーを選定する: 自社のインフラやセキュリティ要件に適した、信頼性の高い適応型MFAプロバイダーを選定します。代表的な選択肢としては、Microsoft Entra IDやDuo Securityなどがあります。
- 文脈に基づくリスクポリシーを定義する: ログイン試行を低・中・高リスクに分類するための明確なルールを定めます。IPアドレス、デバイス、利用者の行動など、どの文脈要素が追加の認証を求める判断基準となるのかを明確にします。
- 既存システムと連携する: 選定したソリューションが、シングルサインオン (SSO) 基盤、IDプロバイダ (IdP)、VPNなど、現在のIT環境と問題なく連携できることを確認します。
- パイロット運用を実施する: 本格導入の前に、少人数の利用者を対象として適応型MFAの設定をテストします。リスクスコアの判定がどのように行われているかを確認し、利用状況に応じて適切な認証手順が適用されているかを検証します。
- 利用者への周知と教育を行う: 適応型MFAを導入する目的や利点について、すべての従業員に丁寧に説明します。ログイン時の操作が変わる可能性があることを事前に伝えておくことで、戸惑いや業務への支障を防ぐことが重要です。
- 運用状況を監視し、最適化する: 定期的に監査ログを確認し、利用状況に応じてポリシーの見直しが必要かどうかを判断します。蓄積されたデータをもとに判定条件を調整し、リスクレベルの精度向上につなげます。
