会社所有のリソースに均一の MFA を適用する

ビジネス上の問題

データ侵害の主な原因はパスワードの漏えいです。パスワードが盗まれると、ハッカーは従業員と同じ権限で企業データにアクセスできます。

会社のリソースを保護する上で多要素認証(MFA)は重要なツールです。MFA は 2 段階認証(2SV)ともいわれますが、この方法では、ユーザーが知っているもの(パスワードなど)と持っているもの(物理的なキーやアクセスコードなど)を使って本人確認を行います。

ユーザー アカウントとデータを保護するため、会社のリソースにアクセスするすべてのユーザーを 2SV で認証する必要があります。

解決策

ID プロバイダ(IdP)として Cloud Identity を使用すると、いくつかの方法で 2SV を実装できます。サードパーティの IdP を使用している場合は、2SV に対応しているかどうか確認してください。

必要なレベルに応じて 2SV の方法を選択できます。

  • 任意 - 従業員が 2SV を使用するかどうか決定します。
  • 必須 - 従業員が 2SV の方法を選択します。
  • セキュリティ キーが必須 - 従業員はセキュリティ キーを使用する必要があります。

セキュリティ キー

最も強力な 2SV はセキュリティ キーです。

セキュリティ キーを使用すると、2SV の中で最も強力なセキュリティを実現できます。通常、このキーをパソコンの USB ポートに挿入します。プロンプトが表示されたら、キーをタッチし、暗号化された署名を生成します。

Google を装い、2SV コードの入力を求めるフィッシング詐欺サイトもあります。Google のセキュリティ キーは暗号化を利用し、ユーザーがアクセスしたサイトの正当性を検証します。セキュリティ キーは、フィッシング詐欺攻撃を最も受けにくい方法です。

Android モバイル端末でセキュリティ キーを使用する場合は、NFC(Near Field Communication)端末でセキュリティ キーをタップします。Android 端末では USB と BLE(Bluetooth Low Energy)も使用できます。Apple のモバイル端末では、Bluetooth 対応のセキュリティ キーが必要になります。

Google からのメッセージ

Google からのメッセージも 2SV として使用できます。

2SV コードを生成して入力する代わりに、ログイン プロンプトを受信するように Android または Apple モバイル端末を設定できます。パソコンに Google アカウントでログインすると、ログインを確認するプロンプトがモバイル端末に表示されます。モバイル端末をタップするだけでログインできます。

Google 認証システムアプリ

Google 認証システムも 2SV として使用できます。

Google 認証システムは、Android または Apple のモバイル端末で 1 回限りの 2SV コードを生成します。モバイル端末で認証コードを生成し、パソコンにプロンプトが表示されたらそのコードを入力します。コードを入力することで、デスクトップ、ノートパソコン、モバイル端末にログインできます。

バックアップ コード

バックアップ コードも 2SV として使用できます。

ユーザーがモバイル端末から離れている場合や、セキュリティが厳しくモバイル端末を携帯できない場所で働いている場合は、2SV のバックアップ コードを使用できます。バックアップの検証コードを生成し、事前に印刷しておくことができます。

テキスト メッセージまたは電話

テキスト メッセージや電話も 2SV として使用できます。

テキスト メッセージや音声通話で Google からモバイル端末に 2SV コードを送信します。

推奨

最適な 2SV を決定する場合は、セキュリティ、コスト、利便性のバランスを考慮する必要があります。どの方法を選択しても、2SV の適用を有効にすることをおすすめします。これにより 2SV が必須になります。

セキュリティ キーの使用

最高のセキュリティ レベルを必要とするデータを作成したり、アクセスしたりする従業員には、セキュリティ キーの使用を義務付けることをおすすめします。他の従業員には 2SV の使用を義務付け、セキュリティ キーの使用を推奨してください。

セキュリティ キーは最も安全な 2SV 方法で、FIDO(Fast Identity Online)Alliance の一環として Google が開発したオープン標準をベースにしています。セキュリティ キーを使用するには、互換性のあるブラウザがユーザーの端末にインストールされている必要があります。

その他のオプション

コストと配布が重要な判断基準になる場合は、Google からのメッセージまたは Google 認証システムアプリの使用をおすすめします。Google からのメッセージを使用すると、プロンプトが表示されたときに端末をタップするだけですむので、検証コードを入力する必要はなく、ユーザーの利便性が向上します。

セキュリティが厳しくモバイル端末を携帯できない場合は、印刷可能なバックアップ コードを生成できます。

テキスト メッセージの使用はおすすめしません。国家の支援を受けた組織によって侵害される危険性があるため、国立標準技術研究所(NIST)は SMS ベースの 2SV を推奨していません。

有名なエンタープライズ企業の A 社では、オンプレミスのアプリと認証を使用しています。この会社では、セキュリティの強化、サポートコストの削減、スケーラビリティの向上を実現するため、プライマリ IdP を Cloud Identity に変更したいと考えています。

A 社は、クラウドの利用を管理するために IDaaS サービスを利用することを決め、所定の期日までに 2SV を実装し、コンプライアンスを完了させることにしました。情報セキュリティ チームは、すべてのユーザーに 2SV を適用するように指示されました。

A 社は 2SV の実装に Cloud Identity を使用することを決め、機密性の高い重要な業務に携わるユーザーと従業員情報にアクセスするユーザーにセキュリティ キーの使用を義務付けることにしました。対象となったのは、すべての部門の管理者、エンジニアリング、財務、人事部門の担当者などです。他のすべての従業員にも 2SV の使用が義務付けられました。セキュリティ キーの使用が推奨ですが、これらのユーザーは環境に応じて最適な 2SV 方法を選択できます。

セキュリティ キーの適用範囲は部門によって異なります。

特定のグループにのみセキュリティ キーの使用を要求するため、IT 部門は組織内に例外グループというユーザーのサブセットを作成しました。たとえば、マーケティング部門は 2SV を使用する必要がありますが、幹部だけはセキュリティ キーを使用しなければなりません。IT 部門は、マーケティング、営業、サポートなどの部門内に管理者グループを作成し、このグループにセキュリティ キーの使用を義務付けました。

このページは役立ちましたか?評価をお願いいたします。