会社所有のリソースに均一の MFA を適用する

ビジネス上の問題

データ侵害の主な原因はパスワードの漏えいです。パスワードが盗まれると、ハッカーは従業員と同じ権限で企業データにアクセスできます。

会社のリソースを保護するうえで、多要素認証(MFA)は重要なツールです。MFA は 2 段階認証(2SV)ともいわれますが、この方法では、ユーザーが知っているもの(パスワードなど)と持っているもの(物理的なキーやアクセスコードなど)を使って本人確認を行います。

ユーザー アカウントとデータを保護するため、会社のリソースにアクセスするすべてのユーザーを 2SV で認証する必要があります。

ソリューション

ID プロバイダ(IdP)として Cloud Identity を使用すると、いくつかの方法で 2 段階認証プロセスを実装できます。サードパーティの IdP を使用している場合は、2 段階認証プロセスに対応しているかどうか確認してください。

必要なレベルに応じて 2SV の方法を選択できます。

  • 任意 - 従業員が 2SV を使用するかどうか決定します。
  • 必須 - 従業員が 2SV の方法を選択します。
  • セキュリティ キーが必須 - 従業員はセキュリティ キーを使用する必要があります。

セキュリティ キー

最も強力な 2 段階認証プロセスはセキュリティ キーを使用することです。

セキュリティ キーを使用すると、2 段階認証プロセスの中で最も強力なセキュリティを実現できます。通常、このキーを物理的にパソコンの USB ポートに挿入します。プロンプトが表示されたら、キーをタッチし、暗号化された署名を生成します。

Google を装い、2SV コードの入力を求めるフィッシング詐欺サイトもあります。Google のセキュリティ キーは暗号化を利用し、ユーザーがアクセスしたサイトの正当性を検証します。セキュリティ キーは、フィッシング詐欺攻撃を最も受けにくい方法です。

Android モバイル デバイスでセキュリティ キーを使用する場合は、NFC(Near Field Communication)デバイスでセキュリティ キーをタップします。Android デバイスでは USB と BLE(Bluetooth Low Energy)も使用できます。Apple のモバイル デバイスでは、Bluetooth 対応のセキュリティ キーが必要になります。

Google からのメッセージ

Google からのメッセージも 2 段階認証に使用できます。

2 段階認証コードを生成して入力する代わりに、ログイン メッセージを受信するように Android または Apple モバイル デバイスを設定できます。パソコンで Google アカウントにログインすると、「ログインしようとしていますか?」というメッセージがモバイル デバイスに表示されます。モバイル デバイスをタップするだけでログインできます。

Google 認証システムアプリ

Google 認証システムも 2 段階認証に使用できます。

Google 認証システムは、Android または Apple のモバイル デバイスで 1 回限りの 2 段階認証コードを生成します。モバイル デバイスで認証コードを生成し、パソコンにプロンプトが表示されたらそのコードを入力します。コードを入力することで、デスクトップ、ノートパソコン、モバイル デバイスにログインできます。

バックアップ コード

バックアップ コードも 2 段階認証に使用できます。

ユーザーがモバイル デバイスから離れている場合や、セキュリティが厳しくモバイル デバイスを携帯できない場所で働いている場合は、バックアップ コードを使用して 2 段階認証プロセスを実施できます。バックアップ確認コードは、事前に生成して印刷しておくことができます。

テキスト メッセージまたは電話

テキスト メッセージや電話も 2 段階認証に使用できます。

テキスト メッセージや音声通話で Google からモバイル デバイスに 2 段階認証コードを送信します。

推奨事項

最適な 2 段階認証プロセスを決定する場合は、セキュリティ、コスト、利便性のバランスを考慮する必要があります。どの方法を選択するとしても、2 段階認証プロセスの適用を有効にすることをおすすめします。これにより 2 段階認証が必須になります。

セキュリティ キーの使用

最高水準のセキュリティを必要とするデータを作成したり、そうしたデータにアクセスしたりする従業員には、セキュリティ キーの使用を義務付けることをおすすめします。他の従業員にも 2 段階認証プロセスを義務付け、セキュリティ キーの使用を推奨してください。

セキュリティ キーの使用は、最も安全性に優れた 2 段階認証プロセスです。セキュリティ キーは、Fast Identity Online(FIDO)Alliance の一環として Google が開発したオープン標準をベースにしています。セキュリティ キーを使用するには、互換性のあるブラウザがユーザーのデバイスにインストールされている必要があります。

その他のオプション

コストと配布が重要な判断基準になる場合は、Google からのメッセージまたは Google 認証システムアプリの使用をおすすめします。Google からのメッセージを使用すると、メッセージを受け取ったときにデバイスをタップするだけで済み、確認コードを入力する必要がないので、ユーザー エクスペリエンスが向上します。

セキュリティが厳しくモバイル デバイスを携帯できない場合は、印刷可能なバックアップ コードを生成できます。

テキスト メッセージの使用はおすすめしません。国家の支援を受けた組織によって侵害される危険性があるため、米国の国立標準技術研究所(NIST)は SMS ベースの 2 段階認証プロセスを推奨していません。

有名な大規模エンタープライズ企業の A 社は、オンプレミスのアプリと認証を使用しています。セキュリティの強化、サポートコストの削減、スケーラビリティの向上を実現するため、プライマリ IdP を Cloud Identity に変更したいと考えています。

A 社は、クラウドの利用を管理するために IDaaS サービスを利用することを決め、所定の期日までに 2 段階認証プロセスを実装し、コンプライアンスを完了させることにしました。情報セキュリティ チームは、すべてのユーザーに 2 段階認証プロセスを適用するように指示されました。

A 社は、Cloud Identity を使用して 2 段階認証プロセスを実施することにしました。また、機密性の高い重要な業務に携わるユーザーと従業員情報にアクセスするユーザーにセキュリティ キーの使用を義務付けることにしました。対象となったのは、すべての部門のエグゼクティブと、エンジニアリング部門、財務部門、人事部門の従業員です。他のすべての従業員にも 2 段階認証が義務付けられました。これらの従業員は使用しやすい 2 段階認証プロセスを選択できるものの、セキュリティ キーの使用が推奨されています。

セキュリティ キーの適用範囲は部門によって異なります。

特定のグループにのみセキュリティ キーの使用を要求するため、IT 部門は組織内に例外グループというユーザーのサブセットを作成しました。たとえば、マーケティング部門は全体として 2 段階認証プロセスを使用する必要がありますが、セキュリティ キーを使用しなければならないのはエグゼクティブだけです。IT 部門は、マーケティング、営業、サポートなどの各部門にエグゼクティブ グループを作成し、このグループにセキュリティ キーの使用を義務付けました。