シャドーITとは?該当例・リスク・対策をわかりやすく解説
本コラムでは、シャドーITの意味や該当例、放置するリスクや事件例、有効な対策などについて解説します。
COLUMN
多要素認証とは?二段階認証との違いやメリットデメリットまで解説
ITの基本情報を毎週メールマガジンにてお届けしております。こちらからご登録ください。
「多要素認証とはなんですか?」
「多要素認証と二段階認証とはなにが違うの?」
多要素認証とは、インターネット上のサービスやアプリケーションにログインする時に行う本人確認方法法の1つ。性質の異なる複数の要素を組み合わせることで本人であることを証明することが特徴です。
複数の要素を組み合わせることで、セキュリティを強化することが可能で、第三者からの不正ログインをかなりの確率で防ぐことができます。
増え続けるサイバー攻撃から自社を守るため、すべての企業に多要素認証を導入することをおすすめします。
なぜなら、Microsoftのレポートによればアカウント侵害攻撃の99.9%以上をブロックできるとされているほど、多要素認証はセキュリティ強化に役立つものだからです。
多要素認証について「よくわからないから」と導入しないままでは増え続けているサイバー攻撃を防げずに不正ログインなどの大きな情報セキュリティ事故が起き、数億円という莫大な被害を被ることもありええます。
そこで、この記事では多要素認証について詳しく紹介します。
【この記事を読めばわかること】
- 多要素認証とは
- 多要素認証を導入するメリット
- 多要素認証を導入するデメリット
- クラウドサービスで多要素認証を導入する方法
- 多要素認証を導入する時の注意点
この記事を読み、多要素認証について深く理解することで、自社でどのように多要素認証を導入すべきかわかります。
多要素認証を自社に合わせて導入し、活用することで、情報セキュリティ事故の大きな被害から会社を守ることができるようになるのです。
ぜひ最後までお読みいただき、情報セキュリティ対策に役立ててください。
参考:アカウントへの攻撃の 99.9% を防ぐために実行できる 1 つの簡単なアクション
ITの基本情報を毎週メールマガジンにてお届けしております。こちらからご登録ください。
目次:
- 1.多要素認証とは
- 1-1.多要素認証で利用する3つの情報
- 1-2.多要素認証の主な活用事例
- 1-3.二段階認証・二要素認証との違い
- 2.多要素認証の必要性は高まっている!
- 2-1.サイバー攻撃が増加している
- 2-2.パスワードでのセキュリティに限界が来ている
- 2-3.インターネットバンキングなど多要素認証が必要なシステムが増えた
- 3.多要素認証を導入するメリット
- 3-1.セキュリティが向上する
- 3-2.パスワードを覚える必要がなく利便性が上がる
- 3-3.コンプライアンスが実現できる
- 4.多要素認証を導入するデメリット
- 4-1.導入や運用にコストがかかる
- 4-2.やり方によっては認証に時間がかかり効率性が下がる
- 5.セキュリティ向上や利便性向上のために多要素認証の導入がおすすめ
- 5-1.多要素認証導入・運用にかかるコストより情報セキュリティ事故で起きる損害の方が大きい
- 5-2.現段階でのセキュリティ技術の中では多要素認証の信頼性が高い
- 6.クラウドサービスで多要素認証を導入する方法
- 6-1.AWSでの多要素認証
- 6-2.Microsoft Azureでの多要素認証
- 7.多要素認証を導入する時の注意点
- 7-1.認証情報はきちんと保管し使いまわししない
- 7-2.面倒でもログイン状態を維持しない
- 7-3.多要素認証以外の情報セキュリティ対策を怠らない
- 8.AWS・Azureの多要素認証にお困りならNTT東日本のクラウド導入・運用サービスをご利用ください
- 8-1.お客様の希望に合ったクラウド環境の構築から安全に使える保守運用までサポート
- 8-2.AWSセキュリティチェックでクラウド環境のセキュリティをチェックできる
- 9.まとめ
1.多要素認証とは
多要素認証とは、「知識情報」「所持情報」「生体情報」という異なる認証要素を2つ以上組み合わせて本人確認を行う認証方法です。
インターネット上でSNS、ショッピングサイト、メールサービスなどを利用する時、今ログインしようとしているのが登録している本人であることを証明するために使われます。
この章ではまず多要素認証について理解するために、次のことを解説していきます。
【この章で解説すること】
- 多要素認証で利用する3つの情報
- 多要素認証の主な活用事例
- 多要素認証がなぜ必要なのか
- 二段階認証との違い
それぞれ詳しくみていきましょう。
1-1.多要素認証で利用する3つの情報
多要素認証では異なる3つの認証要素を組み合わせて、本人確認を行います。
多要素認証で利用する3つの認証要素は次の3つです。
- 知識情報
- 所持情報
- 生体情報
それぞれ詳しくみていきましょう。
1-1-1.知識情報
【知識情報の具体例】
- IDとパスワード
- キャッシュカードの暗証番号
- PINコード
- 秘密の質問
- スマートフォンのパターン認証
知識情報とは、その人だけが知っている情報のことです。本人認証によく使われるIDやパスワードも知識情報です。
知識情報は複雑なシステムや、専用端末などが必要ないため、情報セキュリティとして手軽で取り入れやすいため、多くのサービスで本人確認方法として取り入れられています。
しかし、パスワードが流出してしまうなど、知識情報は第三者に漏えいした時点でセキュリティを突破されてしまうのです。
同じパスワードを使いまわす、パスワードをメモに残してしまう、など、人為的なミスで流出しやすいのも知識情報の問題点です。
1-1-2.所持情報
【所持情報の具体例】
- スマートフォンのSMS認証
- スマートフォンのアプリ認証
- ICチップ搭載カード
- USBトークン
- ワンタイムパスワード
- ボイスコール
所持情報とは、ユーザーの持ち物を利用して本人確認を行います。
例えばスマートフォンのSMSを利用した本人確認や、ICチップ付きのSuica、キャッシュカードなども本人だけが持っている持ち物を使った所持情報による本人確認です。
所持情報はその物を持っていれば認証ができるため便利ですが、盗難や紛失などが起きた場合はセキュリティを保持することはできないというリスクがあります。
1-1-3.生体情報
【生体情報の具体例】
- 指紋認証
- 顔認証
- 静脈認証
- 網膜認証
- 虹彩認証
生体情報とは、その人の指紋、顔、静脈、網膜、虹彩など固有の身体情報のことです。
これらの身体情報は、それぞれ1人1人違い複製も難しいため、セキュリティが高いとされています。顔認証、指紋認証は最近ではスマートフォンに組み込まれていますから、身近なものとなってきました。
その他には静脈、網膜、虹彩なども生体情報として利用が始まっています。
生体情報は認証の信頼性が高く、パスワードのように忘れてしまうこともないため、3つの情報の中では最も安全な認証方法とされています。
ただし、専用の機器やシステムが必要になること、認証システムの精度によっては誤認証が起こる場合があること、画像による偽装や寝ている間に指紋や顔認証を利用される可能性があることから、絶対に安全とは言えません。
1-2.多要素認証の主な活用事例
多要素認証の主な活用事例としてわかりやすいのは、キャッシュカードと暗証番号です。
- 所持情報…ICチップ付きのキャッシュカード
- 知識情報…パスワード
というように、所持情報と知識情報の2つの異なる要素を組み合わせることで、セキュリティを高めています。
多要素認証にすることで、キャッシュカードが盗まれても暗証番号がわからなければお金を引き出すことができず、セキュリティを高めているのです。
その他にも次のように多要素認証は活用されています。
【多要素認証の活用事例と組み合わせの例】
| 事例 | 多要素認証の組み合わせ |
|---|---|
| オンラインバンキングでの本人確認 |
ID・パスワード(知識情報) スマートフォンのワンタイムパスワード(所持情報) |
| 企業のPCなど端末利用時の本人確認 |
ID・パスワード(知識情報) ICチップ付きの社員証(所持情報) |
| スマートフォンアプリでの本人確認 |
ID・パスワード(知識情報) スマートフォンのカメラを使った顔認証(生体情報) |
| クラウドサービス利用時の本人確認 |
ID・パスワード(知識情報) USBトークン(所持情報) |
| クラウドサービス利用時の本人確認 |
ID(知識情報) スマートフォンへのプッシュ通知(所持情報) |
| クラウドサービス利用時の本人確認 |
ID(知識情報) PCのカメラを使った顔認証(生体情報) |
| クラウドサービス利用時の本人確認 |
ID(知識情報) 電話発信・ボイスコール(所持情報) |
1-3.二段階認証・二要素認証との違い
多要素認証と二段階認証との違いは、セキュリティを高めるための方法が「要素」なのか「回数」なのかという点です。
多要素認証とは、先ほどから解説している通り、複数の異なる要素を組み合わせることでセキュリティ強度を上げます。
それに対して二段階認証は、認証の要素については問わず、「回数」を増やすことでセキュリティ強度を高めていく方法です。
例えば二段階認証では、
- IDとパスワードを入力
- 秘密の質問に答える
といった形で2回認証を行います。
IDとパスワード、秘密の質問はどちらも「知識情報」ですから、要素としては1つです。
この場合、ID、パスワード、秘密の質問のすべてが流出してしまえば不正ログインなどが起こってしまいます。
そのため、二段階認証だけではセキュリティとしては強固とは言えず、「所持情報」や「生体情報」といった異なる要素を組み合わせる多要素認証がより高いと考えられています。
二要素認証とは、異なる2つの要素を組み合わせて行う認証方法のことで、多要素認証とほぼ同じです。
2.多要素認証の必要性は高まっている!
次の3つの理由から、多要素認証の必要性が高まっています。
それぞれ詳しくみていきましょう。
2-1.サイバー攻撃が増加している
多要素認証の必要性が高まっている最も大きな理由は、サイバー攻撃が増加しているからです。
企業のネットワークに不正にアクセスし情報を盗み出す、不正ログインを行ってインターネットバンキングで送金させるといったサイバー攻撃により、大きな被害が出ているのです。
総務省が発表している令和4年度情報通信白書によれば、サイバー攻撃関連通信数は2018年と比較すると3年前との比較では2.4倍になっていることがわかります。
【NICTERにおけるサイバー攻撃関連の通信数の推移】
出典:令和4年度情報通信白書
このようなサイバー攻撃から企業を守るには、セキュリティを高める必要があります。
セキュリティ強化の1つの方法として、多要素認証の必要性が高まっているのです。
2-2.パスワードでのセキュリティに限界が来ている
多要素認証の必要性が高まっている2つめの理由は、パスワードでのセキュリティに限界が来ているからです。
本人確認の方法として行われてきたのがIDとパスワードを利用した認証方法です。
しかし、ログイン情報の不正取得やパスワード推測などによってアカウントを乗っ取られるなどの被害が増えており、パスワードでのセキュリティには限界がきているのです。
Microsoftのレポートでも、パスワードだけではビジネスメール詐欺やフィッシングサイトによってパスワードが盗まれ、不正ログインが行われることを注意喚起しています。
またパスワードは最大73%重複しており、IDやパスワードを組み合わせて連続的に攻撃するパスワードスプレー攻撃によって簡単に破られてしまう危険性も指摘されているのです。
【パスワードの流出などで起きた情報セキュリティ事件の事例】
勤務先のサーバに不正アクセスを行い、社内ネットワークやクラウドに保存されていたデータを削除して業務を妨害したとして、元従業員の男が逮捕されました。
男は元同僚や上司のIDとパスワードを使い、社内ネットワークや会社が契約しているクラウドにログインし、人事や技術、顧客に関するデータを削除しました。
男はシステム管理を担当しており、退職時に嫌がらせ目的でIDとパスワードを盗んだとみられています。
削除されたデータにはバックアップが残っていましたが、復旧には多額の費用がかかってしまいました。
パスワードだけではセキュリティを守ることができないケースが多くなってきたことから、よりセキュリティが高い方法として多要素認証の必要性が高まっています。
2-3.インターネットバンキングなど多要素認証が必要なシステムが増えた
多要素認証の必要性が高まっている3つめの理由は、インターネットバンキングなど多要素認証が必要なシステムが増えたことです。
インターネットバンキングがない場合、銀行口座から現金を引き出す、口座から別の口座に預金を移す、といったことにはICチップ付きキャッシュカードと暗証番号が必要であり、二段階認証が行われていました。
しかしインターネットバンキングではキャッシュカードが利用できないため、「口座番号と暗証番号」「ログインIDとパスワード」のように知識情報だけを組み合わせただけで本人確認を行う場合が増えてしまったのです。
多要素認証を行わなかったことによって、重大な情報セキュリティ事件も起きてしまい、金融庁は多要素認証を導入することを義務付けする方針を打ち出しています。
参考:【独自】金融機関の3割「多要素認証」せず…金融庁が義務付けへ
ITの基本情報を毎週メールマガジンにてお届けしております。こちらからご登録ください。
3.多要素認証を導入するメリット
多要素認証はセキュリティ強度を高めるための方法であることがわかりましたが、多要素認証を導入することでどんなメリットがあるのでしょうか?
多要素認証を導入するメリットは次の通りです。
それぞれ詳しくみていきましょう。
3-1.セキュリティが向上する
多要素認証を導入する最大のメリットは、セキュリティが向上するという点です。
Microsoftはパスワードだけのセキュリティでは守り切れない攻撃に対しては、多要素認証が有効であるとしており、多要素認証によってアカウント侵害攻撃の 99.9% 以上をブロックできるとしています。
金融庁の調査でも、多要素認証を行っている場合と、行っていない場合で比較すると、多要素認証を行っている方が不正出金などの被害が少ないという結果も出ているのです。
出典:「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」の調査結果について
情報セキュリティ事件を起こしてしまえば、企業は大きな損害を受けてしまいます。
金銭だけでなく、企業の事業継続に関わる大切なデータや、顧客からの信頼も失ってしまいます。
多要素認証でセキュリティを強固なものにすることで、大切な企業のデータや財産、信頼を守ることができるというのが最大のメリットなのです。
参考:アカウントへの攻撃の 99.9% を防ぐために実行できる 1 つの簡単なアクション
3-2.パスワードを覚える必要がなく利便性が上がる
多要素認証を導入するメリットの2つめは、パスワードを覚える必要がなくなり、利便性が上がるという点です。
他人に予想されにくいパスワードを設定し、それをサービスごとに管理するというのはとても大変です。
管理の大変さからパスワードを使いまわす人も多く、Microsoftはパスワードは最大73%重複しているとレポートで述べています。
しかし多要素認証で、生体情報や所持情報を利用することで、パスワードを入力する手間を無くすことができるのです。
例えば指紋認証や顔認証などの生体情報を使う、スマートフォンにワンタイムパスワードを送る所持情報を使うなどすれば、パスワードは必要なくなります。
複数のパスワードを管理する手間が削減できることから業務の効率化にもつながりますし、パスワードを忘れないために付箋などに書いてPCに貼ってしまうといった情報流出の可能性も無くなるのです。
多要素認証を導入することで、より効率的で利便性の高い認証が行えるようになるのもメリットです。
参考:アカウントへの攻撃の 99.9% を防ぐために実行できる 1 つの簡単なアクション
3-3.コンプライアンスが実現できる
多要素認証を導入するメリットの3つめは、コンプライアンスが実現できるという点です。
実はすでに多要素認証が法で定められている場面が出てきています。
例えば総務省は自治体においてマイナンバーを中心とした特に機密性の高い情報を扱う端末は、多要素認証を行うことを必須としているのです。
また金融庁は金融機関に対し、本人確認の方法として多要素認証を義務化しています。
このように多要素認証を導入することが法令を遵守するために必要な要素となってきています。
企業としての信頼性を高め、コンプライアンスを実現するためにも、多要素認証導入は大切なのです。
4.多要素認証を導入するデメリット
多要素認証を導入することは、メリットだけでなくデメリットもあります。
多要素認証を導入するデメリットは次の通りです。
それぞれ詳しくみていきましょう。
4-1.導入や運用にコストがかかる
多要素認証を導入するデメリットは、導入や運用にコストがかかるという点です。
多要素認証は、IDとパスワードの知識情報だけで認証するのとは違い、専用の機器やシステムの導入が必要となり、導入する方法や採用する情報要素、導入規模などによって費用は大きく異なります。
導入コストを抑えるには、クラウド型の多要素認証を選ぶなどの方法もありますから、自社の予算に合わせて導入計画を立てることが大切です。
4-2.やり方によっては認証に時間がかかり効率性が下がる
多要素認証を導入するデメリットの2つめは、やり方によっては認証に時間がかかってしまうことで、仕事の効率性が下がるという点です。
本人認証を行う時に、多要素認証の場合は最低でも必ず2回の認証が必要になります。
認証に時間がかかってしまう、手間がかかるということから、仕事の効率が下がってしまうこともあるのです。
これを防ぐには、多要素認証をどのように行うのか、なるべく使う人の負担が少ない方法を検討すること、また1回の認証で複数サービスのアクセスが可能となる「シングルサインオン」を取り入れるなどの方法を活用すると良いでしょう。
5.セキュリティ向上や利便性向上のために多要素認証の導入がおすすめ
セキュリティ向上や利便性向上を目指すなら、多要素認証の導入がおすすめです。
多要素認証にはメリットとデメリットがあることはご紹介しましたが、メリットとデメリットを比較した場合、メリットの方が大きいのです。
多要素認証の導入がおすすめの理由は次の2つです。
それぞれ詳しくみていきましょう。
5-1.多要素認証導入・運用にかかるコストより情報セキュリティ事故で起きる損害の方が大きい
多要素認証導入のデメリットである導入・運用にかかるコストよりも、多要素認証を行わずに起きた情報セキュリティ事故の損害の方が多額になる可能性がほとんどです。
例えば令和2年度版情報通信白書によれば、情報セキュリティ事故による経済的損失は日本では1社あたり数億円とかなり大きな額となっています。
【サイバーセキュリティに関する問題が引き起こす経済的損失】
この調査によれば、個人情報漏えいによって生じる1件当たりの平均損害賠償額は、なんと6億3,767万円となっており、一度情報セキュリティ事故を起こしてしまった場合、企業の損害は莫大なものになることがわかります。
金額だけでなく、企業としての信頼性を大きく損ない、新規事業の中止に追い込まれることもあるのです。
【認証の甘さが大きな情報セキュリティ事故に繋がった事例】
コンビニ大手A社が開始した電子決済サービスで大規模な不正利用事件がおきました。
第三者が不正に入手したIDとパスワードを使い、不正ログインを行ったうえ、登録されたクレジットカードからチャージを行ったというものです。
この事件では、電子決済サービス側が2段階認証に対応していなかった上、生年月日、電話番号、メールアドレスの3つを入手していればパスワード変更が可能という脆弱性が問題となりました。
事件によってこの電子決済サービスは、サービス開始から2ヶ月で終了となりました。
上記の事例では、新規事業である電子決済サービスをスタートさせるためにかかった投資資金をすべて無駄にし、社会的な信用を大きく損なったということを考えると、実際の不正利用額よりも莫大な損失が生まれてしまっているのです。
たしかに多要素認証導入にはコストがかかりますが、ここまでの大きな損害額とは比べ物になりません。
情報セキュリティ事故で大きな損害を出すよりも、多要素認証導入を行って情報セキュリティ対策を高めた方が、長い目で見た時の利益向上へと繋がるのです。
5-2.現段階でのセキュリティ技術の中では多要素認証の信頼性が高い
情報セキュリティ対策の技術は進化し続けていますが、現段階で利用可能なセキュリティ技術の中では多要素認証は信頼性が高く、情報セキュリティ対策として十分な力が期待できます。
多要素認証が不正ログインを防ぐ効果については、Microsoftが多要素認証によってアカウント侵害攻撃の 99.9% 以上をブロックできるとしているほどです。
「2-1.セキュリティが向上する」でも紹介したように、実際に起きている金融機関での不正出金の事例でも、多要素認証を行っていることで不正出金の被害を減らすことができることが証明されているのです。
出典:「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」の調査結果について
情報処理機構(IPA)でも、不正ログイン防止の対策として、多要素認証が推奨されています。
今後、また新たな不正ログインの手口が生み出され、多要素認証の脆弱性が発見されることもあるでしょう。
しかし、現段階において、利便性とセキュリティ強度のバランスがとれた対策としては多要素認証が最も効果的です。
企業を大きなセキュリティ事件から守るには、多要素認証がおすすめなのです。
6.クラウドサービスで多要素認証を導入する方法
多要素認証を企業が導入する場合、さまざまな方法や活用場面がありますが、多要素認証を始めやすく情報セキュリティ対策になるのが、クラウドサービスへのログインに多要素認証を活用することです。
クラウドサービスは場所やデバイスを問わず、ネットワークを通じて利用が可能です。
その分、IDとパスワードが流出し不正ログインされてしまうと、大切なデータなどが失われてしまう情報セキュリティ事故へ繋がる可能性が高いのです。
「2-1.サイバー攻撃が増加している」で紹介した情報セキュリティ事件の事例でも、IDとパスワードを使ってクラウドサービスに不正ログインが行われ、データが削除される被害が出てしまっています。
大手クラウドサービスであるAWS、Microsoft Azureでは、ログイン方法に多要素認証を設定することが可能です。
AWSとMicrosoft Azureでの多要素認証について紹介します。
6-1.AWSでの多要素認証
【AWSでの多要素認証の方法】
| 方法 | 内容 | 費用の目安 |
|---|---|---|
| アプリ | アプリに送られるワンタイムパスワードを入力する | 無料 |
| ハードウェアトークンデバイス | デバイスで生成されるワンタイムパスワードを入力する | 19ドル~ |
AWSでの多要素認証は、アプリとハードウェアトークンデバイスの2種類があります。
多要素認証のためのアプリとは、自分のスマートフォンに多要素認証のためのアプリをダウンロードし、多要素認証に活用する方法です。
アプリをスマートフォンにダウンロードし、自分のAWSアカウントと連携する設定を行うと、毎回ログインのためのワンタイムパスワードがアプリに送られてきます。
IDとパスワードに加えて、アプリに送られてくるワンパスワードを入力することで、知識情報と所持情報の2要素で認証を行う方法です。
アプリは無料でダウンロードできます。
ハードウェアトークンデバイスは、ワンタイムパスワードを生成する物理デバイスです。
ボタンを押すと6桁のワンタイムパスワードが表示され、それを入力することでログインができるようになります。
こちらもハードウェアトークンデバイスを所持情報として、IDとパスワードの知識情報と組み合わせて認証を行います。
こちらはデバイスを購入する費用がかかります。
アマゾン ウェブ サービス GovCloud (米国) で使用するための HyperOTP 時間ベースの 6 桁のトークン
6-2.Microsoft Azureでの多要素認証
Microsoft Azureでの多要素認証は、次の通りです。
【Microsoft Azureでの多要素認証】
- 横にスクロールします
| 方法 | 内容 | 費用の目安 |
|---|---|---|
| Windows Hello for Business | 会社用PCのPINまたは生体認証でサインインを行う | 無料 |
| Microsoft Authenticator | アプリをダウンロードしスマートフォンのPINまたは生体認証でサインインを行う | 無料 |
| FIDO2 セキュリティキー | セキュリティキーを差し込みPINコードを入力してサインインを行う | 5,000円~ |
| SMS/音声 | 登録した電話番号にSMSまたは音声メッセージで送られてくるワンタイムパスワードを使う | 1回¥3.36 |
「Windows Hello for Business」はPINコードまたは生体認証を使って行う多要素認証です。
会社用PCのPINコードをパスワードの代わりに利用できるため、生体認証機能がないデバイスでも利用できます。
「Microsoft Authenticator」はスマートフォンにアプリをダウンロードして利用します。スマートフォンのPINコードまたは生体認証機能を使ってサインインします。
FIDO2 セキュリティキーは物理デバイスを購入して行う多要素認証です。セキュリティキーは5,000円前後で購入ができます。
「SMS/音声」は所持している携帯電話宛てにSMSまたは音声メッセージを送って多要素認証を行います。アプリをダウンロードする必要がないのがメリットですが、利用1回ごとに料金がかかります。
Azure Active Directory External Identities の価格
ITの基本情報を毎週メールマガジンにてお届けしております。こちらからご登録ください。
7.多要素認証を導入する時の注意点
多要素認証を導入して、それで情報セキュリティ対策は終わりではありません。
多要素認証を導入しても、他の対策についてもきちんと行っていくことで、より強固で高いレベルのセキュリティが実現できます。
多要素認証を導入する時に注意したい点は次の3つです。
それぞれ詳しくみていきましょう。
7-1.認証情報はきちんと保管し使いまわししない
多要素認証を導入した時の注意点の1つめは、認証情報はきちんと保管し、使い回しなどはしないということです。
例えば多要素認証に使うセキュリティキーを他の人に渡す、PINコードを使って多要素認証を行う会社用PCを置き忘れる、パスワードを付箋に書いてパソコンに貼っておくような行為はやってはいけません。
多要素認証はセキュリティが強固になりますが、人為的ミスがあればあるほど不正ログインなどの被害を受ける可能性は高まってしまうのです。
多要素認証のセキュリティの高さを維持するためにも、認証情報はきちんと保管しておきましょう。
7-2.面倒でもログイン状態を維持しない
多要素認証を導入した時の注意点2つめは、どれほど面倒でもログイン状態を長期間維持しないことです。
多要素認証で認証に時間や手間がかかるようになると、つい面倒で離席する時にログイン状態のままにしてしまうことがあります。
しかし、ログイン状態でデバイスを放置してしまうと、いくら多要素認証を導入していても第三者が簡単にデバイスを使い、ネットワークに侵入することができてしまうのです。
特に出先など不特定多数の人がいる時にログイン状態のデバイスを放置するのは大変危険です。
面倒でも、席を離れる時などはこまめにログイン状態を解除して、再度作業を行う時に多要素認証を行ってログインするようにしましょう。
あらかじめ一定時間デバイスに動きがなければ自動でログアウトするよう設定しておくのがおすすめです。
7-3.多要素認証以外の情報セキュリティ対策を怠らない
多要素認証を導入した時の注意点3つめは、多要素認証以外の情報セキュリティ対策を怠らないということです。
多要素認証は不正ログイン対策として有効ですが、サイバー攻撃は他にも様々なものがあります。
多要素認証を入れたから安心、という訳ではなく、ウイルス対策ソフトを導入する、OSを常に最新の状態へのアップデートする、情報セキュリティマニュアルの遵守など、他の情報セキュリティ対策もしっかりと行うことで、より安全な環境を作っていくことが大切なのです。
8.AWS・Azureの多要素認証にお困りならNTT東日本のクラウド導入・運用サービスをご利用ください
「AWS・Microsoft Azureで多要素認証を取り入れたいけれど難しくてわからない」
「クラウドの情報セキュリティ対策についてどうしたらいいかわからない」
そんなお悩みをお持ちの方は、ぜひNTT東日本のクラウド導入・運用サービスにお任せください!
NTT東日本のクラウド導入・運用サービスでは、AWS・Microsoft Azureの有資格者が、クラウドの導入から運用まで徹底サポートいたします。
よりリーズナブルに、より早く、より簡単に、情報セキュリティ対策も万全なクラウド環境を実現するお手伝いをいたします。
8-1.お客様の希望に合ったクラウド環境の構築から安全に使える保守運用までサポート
NTT東日本のクラウド導入・運用サービスでは、お客様の希望に合わせたクラウド環境を、ご提案・構築・導入から保守運用まで徹底サポートいたします。
クラウド導入時に多要素認証を活用して情報セキュリティ対策を行いたい場合も、もちろん設定や構築から運用サポートまできめ細やかに行うことが可能です。
会社規模や予算、用途に応じた柔軟な提案を行いますから、多要素認証について詳しくない方でも安心して導入できるのです。
導入後は365日24時間対応の運用サポートもありますから、多要素認証導入後に「わからない」「困った」があっても大丈夫です。
8-2.AWSセキュリティチェックでクラウド環境のセキュリティをチェックできる
すでに他社でAWSの導入サポートを受けて導入した、自社でなんとかAWSを導入したけれど、情報セキュリティ対策はこれでよいのか不安という方にぜひ活用いただきたいのが、NTT東日本の「AWSセキュリティチェック」サービスです。
NTT東日本には100名以上のAWS資格保有者がおり、その中から専任担当者をつけて、お客様が運用中のAWS環境における情報セキュリティ設定を客観的にチェックいたします。
チェック後はレポートを作成し、現在のセキュリティ設定の状態や問題点、改善するための対策案までご提案させていただきます。
結果に基づいた情報セキュリティ対策の実行サポートまで一気通貫で行うことができますから、安心してAWSをお使いいただけるようになるのです。
クラウド導入だけでなく、情報セキュリティ対策も含めてご相談いただけるNTT東日本のクラウド導入・運用サービスについてさらに詳しく知りたい方はぜひお問い合わせください。
- Amazon Web Services(AWS)は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
- Microsoft Azureは、Microsoft Corporationの米国及びその他の国における登録商標または商標です。
9.まとめ
多要素認証についてご紹介しました。
多要素認証とは、インターネット上で行う本人確認の方法で、異なる複数の要素を組み合わせて認証することです。
多要素認証に使う情報は次の3つです。
| 知識情報(その人だけが知っていること) | ID、パスワード、秘密の質問など |
|---|---|
| 所持情報(その人だけが持っている物) | ICカード、スマートフォン、セキュリティキーなど |
| 生体情報(その人の身体の特徴) | 顔認証、指紋認証、網膜認証、静脈認証など |
この3つの情報を2つ以上組み合わせることでセキュリティ強度を上げることができます。
セキュリティの高さはMicrosoftによれば、アカウント侵害攻撃の99.9%以上をブロックできるとされているのです。
多要素認証のメリットとデメリットは次の通りです。
【多要素認証のメリット】
- セキュリティが向上する
- パスワードを覚える必要がなく利便性が上がる
- コンプライアンスが実現できる
【多要素認証のデメリット】
- 導入や運用にコストがかかる
- 導入や運用にコストがかかる
多要素認証は確かにコストがかかるというデメリットもありますが、情報セキュリティ事故が起きた時の被害額と比較すると、コストの方が下です。
情報セキュリティ事故が起きた時には企業は大きな損害を被ることになりますから、多要素認証を導入し、情報セキュリティ対策を強化することがとても重要です。
この記事を参考に多要素認証を取り入れて、大切な会社のセキュリティを万全なものにしていきましょう。
セキュリティの高いクラウドサービスを検討しているなど、
クラウド導入に興味のある方はお気軽に無料のオンライン相談窓口へご連絡ください。
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。