COLUMN

1.そもそも多要素認証（MFA）とは

多要素認証（MFA：Multi-Factor Authentication）とは、本人確認の方法の一つです。認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証します。

多要素認証の活用シーンとしては、銀行口座へのアクセスや、クラウドサービスへのログインなどがあります。異なる性質の認証要素を組み合わせれば、パスワードだけでは防ぎきれない多くの脅威から自社を守ることが可能です。

Oktaを始め、IdaaSサービスは多くのアプリケーションのログイン情報を保持しており、セキュリティはより強固にする必要があります。日々増え続けるサイバー攻撃から、自社や個人の情報を守るため、多要素認証はおこなうべき脅威への対策として、設定すべき認証方法といえるでしょう。

1-1.3つの認証要素

多要素認証の要素は、以下の3つにより構成されています。

• 知識情報
• 所持情報
• 生体情報

知識情報とはユーザーだけが知り得る情報です。パスワードやPINコード、秘密の質問などがあり、本人だけが知っている情報をシステム側に登録し、ログイン時に一致させる仕組みです。

所持情報は本人だけが所有している情報です。クレジットカードや健康保険証などの身分証明書、ICカード、トークン、携帯電話への認証コードなど、さまざまなものが挙げられます。

所持情報は本人が番号などを設定するものではなく、持っているものがそのまま認証情報となるため、紛失に注意しなければいけません。盗難に遭い、なりすましとして利用される場合も考えられるため、紛失した際の無効化や再発行の手順については、しっかりと理解しておきましょう。

生体情報は、ユーザーの身体的な情報を用いた認証方法です。指紋や顔、虹彩、静脈などが当てはまり、事前に登録しておいた本人の身体的特徴を照合します。

今や多くの人が毎日利用しているスマートフォンも、ロック画面に指紋認証や顔認証などの生体認証を取り入れているため、イメージしやすい方も多いのではないでしょうか。特に生体情報は本人だけが持つ特徴であるため、コピーや盗難が困難な認証方法といえます。

1-2.二要素認証・二段階認証との違い

多要素認証と混同されやすい認証方法に、二要素認証と二段階認証があります。2つの認証要素の概要は、以下のとおりです。

• 二要素認証：認証の三要素から、異なる二つの要素を組み合わせておこなう認証方法
• 二段階認証：二つの段階を経ておこなう認証方法

二要素認証は、知識情報と所持情報、生体情報から、二つの要素を組み合わせておこなう認証方法です。二つ「以上」の要素を組み合わせると定義している多要素認証とは、要素数で異なりますが、ほぼ同義と考えてもよいでしょう。

二段階認証は二つの段階を経ておこなう認証方法で、要素が異なっている必要はありません。たとえば知識情報であるパスワードと、同じ知識情報である秘密の質問を組み合わせて認証方法を設定する場合は、二段階認証となります。

2.Oktaの多要素認証の特徴

多要素認証について見ていきましたが、ここからは、Oktaの多要素認証について見ていきましょう。Oktaの他要素認証の種類と拡張機能、管理について解説します。

2-1.Oktaの多要素認証の種類

異なる二つ以上の認証要素を組み合わせ、よりユーザーにとってアプリへの安全なログインを可能とする多要素認証ですが、サービスによって設定できる認証方法は異なります。Oktaの多要素認証の代表的な認証方法は、以下のとおりです。

• Okta Verify：Oktaから提供されるトークン生成のスマートフォンアプリを利用した認証
• Google Authenticator：Googleから提供されるスマートフォンアプリを利用した認証
• SMS Authentication：ログイン時にSMSで送られてくるセキュリティトークンを利用した認証
• Email Authentication：事前に登録したメールアドレス宛に送られてきた一時URLをクリックしておこなう認証
• Voice Call Authentication：音声通話によるセキュリティトークンを利用した認証
• Security Question：システム側から出された質問に対し、事前に登録した答えを入力する認証

Oktaの多要素認証の種類は、前述した三つの認証方式の例を、余さず取り入れているイメージです。Oktaは標準機能からオプション機能までさまざまな要素に対応しているため、必要に応じて自由に多要素認証を強化できます。

2-2.Oktaの多要素認証の拡張機能

IT業界の調査や助言をおこなうアメリカのガートナー社に6年連続でリーダーの一人と評価されるOktaの多要素認証は、以下の拡張機能も存在します。

• スマートフォンによる多要素認証などに対応できる
• 上位版「Adaptive MFA」を選択した場合には、地域認証や新規IP認証などがおこなえる

Oktaの多要素認証の拡張機能を利用した場合、スマートフォンによる多要素認証やAppleTouchID、Windows Hello、メールなどに対応可能です。またユーザーが普段と異なる行動をとった場合にのみ追加の認証を要求する「Adaptive MFA」を選択した場合、地域認証や端末認証、新規IP検出、新規デバイス検出、旅行パターン検出が行えます。

日々利用するスマートフォンでも多要素認証が可能なだけではなく、異なった行動パターンで違和感を感じて追加認証をおこなってくれるAdaptive MFAの機能は、ユーザーの負担を押さえつつ、情報漏えいやなりすましを防止してくれる手段となるでしょう。

2-2.Oktaの多要素認証の管理

ユーザーに振り分けたグループごとに、多要素認証を管理できるのも、Oktaの特徴です。たとえば、Googleが提供する企業向けのビジネスツールであるGsuiteに正社員のみ入っている場合など、雇用形態ごとに多要素認証の管理を登録できます。

• Gsuteに入っている正社員のユーザーへは、Googleアプリでの多要素認証
• Gsuteに入っていない派遣社員のユーザーへは、OktaVerifyでの多要素認証

上記は一例ですが、Oktaの多要素認証は、様々なグループでの管理が可能です。面倒と感じてしまいがちな従業員ごとの多要素認証の設定ですが、Oktaを利用すれば、多要素認証の管理の操作は簡単です。

Oktaについてのサービス紹介、認証周りのご相談などお気軽にNTT東日本までお問い合わせください。

3.多要素認証が必要とされる背景

多要素認証の概要や、Oktaの多要素認証の特徴について見ていきましたが、多要素認証が必要とされる背景には、以下のものがあります。

• サイバー攻撃
• パスワード認証の限界
• 働き方の変化

順番に見ていきましょう。

3-1.サイバー攻撃

多要素認証が必要とされる背景は、サイバー攻撃の増加です。パソコンやサーバーなどの情報端末にネットワークを介してシステムの破壊や情報の窃盗、改ざんするサイバー攻撃は、攻撃の種類が年々増加し、巧妙化しています。

いくら警戒をしていても、次々と新たな手法で個人や企業の情報を盗み出そうとする脅威に立ち向かうため、認証の三要素のうち二つ以上を絡めた多要素認証で、セキュリティを強化しておくことは、これからの時代に必須の対策といえるでしょう。

3-2.パスワード認証の限界

多要素認証が必要とされる背景に、パスワード認証の限界があります。前述したサイバー攻撃の増加にも繋がりますが、従来のIDとパスワードでの認証方法では、高度化する脅威に完璧に対応することは、困難です。

パスワードが脅威へ完璧な対策になりえない理由は、パスワードは、ユーザーが自身で考えて設定するため、他人に予測不能なパスワードや、アプリケーションごとに全く異なったパスワードを設定することが難しいためです。また複雑なパスワードを設定していたとしても、どこかにメモを残していた場合、そのメモが盗まれてしまえば簡単に認証が突破されてしまいます。

人に依存している部分が大きいパスワード認証では心もとないため、多要素認証で認証を強化し、情報を守っていくことが大切です。

3-3.働き方の変化

多要素認証が必要とされる背景として、働き方の変化も考えられます。新型コロナウイルス流行をきっかけに、日本でも在宅ワークやテレワークの働き方を取り入れる企業が増え、人々の働き方は大きく変わっていきました。

今まで社内ネットワークのみでだった業務も自宅で対応できるようになったことから、エンドポイントも多様化しています。場所が限定されないことで、従業員にとっては働く環境が向上したといえますが、その分様々な脅威に狙われる可能性も高くなりました。

場所にとらわれず安全に業務できるよう、強化されたセキュリティ対策が可能な多要素認証は、取り入れるべき認証方法といえます。

Oktaについてのサービス紹介、認証周りのご相談などお気軽にNTT東日本までお問い合わせください。

4.多要素認証のメリット

サイバー攻撃の増加やパスワード認証の限界、働き方の変化により必要とされている多要素認証ですが、多要素認証を取り入れるメリットには、以下のものがあります。

• ユーザーの利便性の向上
• セキュリティの向上

順番に見ていきましょう。

4-1.ユーザーの利便性の向上

多要素認証のメリットとして、ユーザーの利便性の向上が挙げられます。従来のIDとパスワードでの認証の場合、ユーザーは長くて複雑なパスワードを、アプリケーションごとに設定し、また定期的に変更しなければなりませんでした。

多要素認証であれば、所持情報や生体情報での認証ができるため、パスワード管理の負担を減らしつつ、セキュリティの向上が可能です。また現在、金融庁は金融機関に対して、本人確認の多要素認証を義務化していることもあり、これから徐々に様々な企業において、多要素認証を導入することが通常となっていくことが考えられます。

企業のコンプライアンス遵守のためにも、多要素認証は早めに取り入れるべき認証方法といえるでしょう。

4-2.セキュリティの向上

多要素認証のメリットとして、セキュリティの向上が挙げられます。パスワード認証の限界でも触れましたが、従来のIDとパスワードの認証だけでは、様々な脅威から私達や企業の情報を守りきれません。

多要素認証を取り入れれば、たとえパスワードを突破できたとしても、もう一つの所持情報または生体情報を入手することは困難といえます。セキュリティを向上し、企業の情報や顧客からの信頼を保ち続けられることは、多要素認証の大きなメリットといえるでしょう。

5.多要素認証のデメリット

ユーザーの利便性やセキュリティの向上に繋がる多要素認証ですが、デメリットも存在していることを理解しておかなければ、満足に使うことはできません。

• 認証に手間がかかる
• 導入・運用コストがかかる

上記のデメリットについて、順番に見ていきましょう。

5-1.認証に手間がかかる

多要素認証のデメリットは、認証に手間がかかってしまう点です。知識情報や所持情報、生体情報の三要素から二つ以上の要素を組み合わせる多要素認証は、必ず最低2回の認証が必要です。

認証の組み合わせややり方によってはユーザーの手間となり、仕事の効率が下がってしまう恐れもあります。複雑な認証方法を設定すれば、より脅威への対策になり得るかもしれませんが、ユーザーにとって最適な認証方法を考えたり、Oktaをはじめ、1度の認証で複数のアプリケーションへのログインが可能となるシングルサインオン機能のあるサービスを検討したりと、ユーザー目線での認証方法の検討も大切です。

5-2.導入・運用コストがかかる

認証に手間がかかるほか、導入や運用コストがかかる点も、多要素認証を導入する際のデメリットといえるでしょう。多要素認証の三要素のうち知識情報はユーザー自身で考え設定するものであるためコストはかかりませんが、所持情報や生体情報は、専用の機器やシステムの導入が必要になる場合があります。

導入コストを軽減させるためには、クラウド型の多要素認証を選ぶ方法がおすすめです。コストや使い勝手などをよく検討し、自社やユーザーにとって最適な方法を選びましょう。

Oktaについてのサービス紹介、認証周りのご相談などお気軽にNTT東日本までお問い合わせください。

6.多要素認証を導入する際のポイント

多要素認証を検討し、実際に導入しようと考えた際、以下のポイントについて考慮した上で決定しましょう。

• 導入目的に合った認証方法を選ぶ
• 利便性の高い認証方法を選ぶ

順番に解説します。

6-1.導入目的にあった認証方法を選ぶ

多要素認証を導入するためのポイントは、導入目的に合った認証方法を選ぶことです。たとえば、コストがかかってもセキュリティ向上を目的とした場合、他者では盗めない生体情報での認証がおすすめです。

また手間を削減したい場合などは、トークンやICカードでの認証ではなく、スマートフォンを活用したソフトウェアトークンの利用がよいでしょう。多要素認証は目的に合った認証方法を選択しなければ、ログインの度に作業が滞り、ユーザーのセキュリティ意識の低下に繋がる可能性があります。

導入目的を明確にし、適切な認証方法を選びましょう。

6-2.利便性の高い認証方法を選ぶ

多要素認証を導入する際は、利便性の高い認証方法を選ぶのもポイントです。多要素認証は二つ以上の認証方法を組み合わせる認証方法であるため、二つだけではなく三つの要素すべてを利用して、認証することもできます。要素が多いほど高セキュリティを実現できますが、認証数が多ければユーザーの利便性は低下し、負担の大きいものとなってしまうでしょう。

導入目的にも繋がりますが、高セキュリティを保ちたい場合、シングルサインオン機能などを導入して一度の認証で済ますなど、利便性を考えた方法を検討しましょう。

7.Oktaを導入するならぜひNTT東日本へご相談ください

サイバー攻撃の手口が巧妙化し、従来のIDとパスワードのみの認証では迫りくる脅威への対応が難しくなってきた近年で、多要素認証は個人の情報を守るために必要な認証方法といえます。しかしいざ多要素認証ができるIdaaSサービスを利用しようとしても、スムーズな導入方法がわからず、不安に感じている方も少なくありません。

NTT東日本では、様々なクラウドサービスの導入や運用を支援しています。

• Oktaの導入方法やコストについて知りたい
• 運用方法について疑問がある
• そもそもOktaは自社に向いているのか
• 多要素認証の選択に不安がある

Oktaについて疑問や不安を抱えている方は、ぜひNTT東日本へお気軽にご相談ください。

Oktaに関するご相談・お問い合わせはこちらから

8.まとめ

新型コロナウイルス流行による働き方の変化や増加するサイバー攻撃、パスワード認証の限界などの背景から、企業が自社や顧客の情報を守るために、多要素認証は、設定しておく必要のある認証方法といえるでしょう。様々な認証方法を持ち、多要素認証に対応できるOktaであれば、ユーザーの利便性が上がりつつ、セキュリティが向上します。

しかし認証方法の選択を誤ってしまえば、認証に手間がかかり、仕事の効率が下がってしまうことも否定できません。効率よくOktaを導入し、設定するのであれば、クラウドサービスのプロに任せるのが一番です。

Oktaに関する疑問や不安を解消し、御社をスムーズにセキュリティの向上した作業環境へと導きます。まずはお気軽に、現在の状況やお悩みをお聞かせください。

Oktaに関するご相談・お問い合わせはこちらから