近年のサイバー攻撃は巧妙化し、企業の被害も増え続けています。例えば、認証情報を悪用した不正アクセスは、情報漏えいやシステムの破壊、業務の停滞を招く重大なリスクです。経済的損失や企業の信用を失墜させる深刻な脅威なのです。総務省によれば、2022年におきた不正アクセス禁止法違反に関する検挙件数は522件にのぼり、前年比で93件増加しています。
このように、企業へのサイバー攻撃が増加する中で、認証情報の不正利用を防ぐ手段として「多要素認証(MFA:Multi-Factor Authentication)」の採用が進んでいます。多要素認証は、従来の「パスワードのみ」などの単一認証ではなく、「知識情報」や「所持情報」、「生体情報」の複数の認証要素を組み合わせてアクセス認証を行い、セキュリティを強化するものです。
多要素認証を実現する方法としては、専門事業者が提供するサービスの活用が挙げられます。では、どのソリューションを導入するのが効果的なのでしょうか。
そこでおすすめしたいのが、ソリトンシステムズの「SmartOn ID」と「Soliton OneGate」です。SmartOn IDは、生体認証やICカードを用いる多要素認証で、PCなどのエンドポイント利用時の本人認証を強化します。国内シェアNo.1のPCログオンソフトで、Microsoft Entra IDにも正式に対応しました。また、Soliton OneGateは、クラウドサービスやオンプレミスを不正アクセスから守る多要素認証サービスです。「許可端末」と「利用者本人」の組み合わせでアクセス制御を行い、「なりすまし」や「個人端末などのシャドーIT」からの不正アクセスを防ぎます。
「SmartOn ID」と「Soliton OneGate」についての具体的な機能や導入事例を詳しく知りたい方は、以下公式サイトをぜひご覧ください。
2024年、上場企業のクラウドサーバーが不正アクセスを受け、約10年分の顧客情報が流出しました。攻撃者は、セキュリティが万全ではなかったクラウドサーバーに対してアクセス試行を繰り返し、ログインIDとパスワードを窃取します。その後、Webページの改ざんと顧客情報の盗聴を行いました。これにより、お客様の個人情報が外部に流出し、企業の信頼性を大きく損ねる結果となりました。
この事例では、不正アクセスに気づかず、長期にわたって顧客情報を盗聴され続けています。その被害の大きさからも、サーバーへのアクセス管理とセキュリティ強化がいかに重要であるかがわかります。特に、どこからでもアクセス可能なクラウドサーバーにおいては、多要素認証を導入しておくことがとても重要です。
実際に多要素認証を採用し、前述の問題が発生する前に対応されたお客様の事例をご紹介します。
豊田合成株式会社様は、近年のサイバーリスクの高まりを意識して、サプライチェーン全体を包括した認証に「Soliton OneGate」を採用しました。
従来、仕入先企業160社が利用する受発注システムをオンプレミスで運用していました。しかし、システムの老朽化にともないクラウドへの移行を決断。従来のオンプレミスのシステムでは独自開発の認証と、専用線ネットワークでセキュリティ確保をしていましたが、システムのクラウド移行とともにセキュリティ強化を図ります。
多要素認証サービスの中でも、すぐに導入でき、取引先企業に利用してもらう上で手順もシンプルなソリューションを探していました。そこで採用したのがSoliton OneGateです。Soliton OneGateならば、利用開始までの手間が少なく、多要素認証に必要なデジタル証明書の配布も、ネットワーク設定と招待コードを発行するだけです。
2023年2月から、システムへの接続テストを始め、6月には受発注システムを利用する160社、約650名の利用者が多要素認証の利用を開始できました。
今後同社は、見積システムなどにもSoliton OneGateでの多要素認証を導入し、セキュリティ強化をサプライチェーン全体に広げていきます。
ここに紹介した「Soliton OneGate」の導入事例については、「導入事例 豊田合成株式会社」にて詳しく紹介していますので、あわせてご覧ください。
多要素認証(MFA)とは、複数の認証要素を組み合わせて行う本人確認の手法です。主な認証要素には、パスワードやPINコードなどの「知識情報」、スマートフォンやワンタイムパスワードなどの「所持情報」、顔認証や指紋認証などの「生体情報」があります。
単一要素の認証方法に比べ、多要素認証は不正アクセスのリスクを大幅に低減します。例えば、パスワードだけで認証するシステムの場合、パスワードが第三者に漏れてしまうだけで大きなリスクです。しかし、アクセスにパスワードとスマートフォンの認証が必要な多要素認証ならば、漏洩したパスワードだけではアクセスができません。攻撃者がすべての認証要素を得にくくなるため、不正アクセスを防ぎやすくなるのです。
また、多要素認証は、近年広がりを見せている「ゼロトラストセキュリティ」の構成要素のひとつとしても位置づけられています。
ゼロトラストセキュリティについては、【 「ゼロトラスト」の記事】にて解説していますので、合わせてご覧ください。
多要素認証の普及は、インターネットの拡大やサイバー攻撃の増加が背景にあります。金融業界などの高いセキュリティが求められる機関では、オンラインアクセスのセキュリティ強化が進みました。特に、お金をやり取りするオンラインバンキングの利用拡大が、「パスワードのみの単一認証に頼らない認証手段」としての多要素認証を必要としたのです。これに伴い、ワンタイムパスワードや専用トークンなどの新しい技術も多く登場しました。
また、個人や企業におけるクラウドサービスの利用拡大、スマートフォンなどのモバイル端末増加も多要素認証が普及した要因のひとつです。従来、組織の内部システムで完結していたデータ管理や情報のやり取りが、クラウドで行われるようになりました。これにより、サーバーやシステムへの外部アクセスが可能になり、利便性が増します。しかし、外部から不正アクセスされるリスクも高まりました。不正アクセスを防ぐ認証手段の重要性は一般企業にも認知され、現在、多要素認証の導入が広がっているのです。
特に、昨今の働き方改革やリモートワークの普及も、多要素認証の重要性を高めました。従業員が遠隔地からシステムへ安全にアクセスするための標準的な方法として認識され、セキュリティ強化のための欠かせない手段となっています。
サイバー攻撃の高度化が、企業の被害規模も拡大させています。近年では特に、ランサムウェア攻撃が世界中で行われており、日本国内でも多発している状況です。IPAの「情報セキュリティ10大脅威 2024」によれば、2023年における情報セキュリティ10大脅威のうち、組織向け脅威の1位が「ランサムウェアによる被害」です。また、不正アクセスによる情報漏えいも増加傾向にあります。東京商工リサーチによれば、2023年、ウイルス感染や不正アクセスを原因とする情報漏えい・紛失事故件数は93件で、2019年以降は5年連続で最多を更新しています。
サイバー攻撃による情報漏えいは、年々増加していることがわかります。特に不正アクセスは、パスワードに依存した認証の脆弱性を狙うケースも多いため、早急に対処しなければなりません。多要素認証のような強固な認証方法を導入して、企業全体で情報漏えいリスクを低減させる必要があります。
ランサムウェアについては、【 「ランサムウェア」の記事】にて解説していますので、合わせてご覧ください。また、情報漏えいについては、【 「情報漏えい」の記事】もご覧ください。
多要素認証は、情報漏えいやサイバー攻撃のリスクを低減します。警視庁が発行する「基本的なセキュリティ対策」でも、二要素認証以上の多要素認証活用を推奨しています。
総務省は「安全なパスワードの設定・管理」において、「知識情報」「所持情報」「生体情報」を使った多要素認証の積極的な利用を勧めています。
また、多要素認証の導入によるセキュリティ強化は、ステークホルダー(顧客や取引先など)に対する安心感と信頼性を提供するためにも重要です。企業のセキュリティに対する取り組みと意識の高さは、市場での競争力を左右するものになるでしょう。
多要素認証では主に、3つの異なる要素を組み合わせます。それが「知識情報」「所持情報」「生体情報」です。多要素認証に使用する各要素が脆弱性を補完し合い、不正アクセスを低減させてセキュリティを強化するのです。ここでは、それぞれの要素について見ていきましょう。
知識情報は、ユーザー自身が記憶している情報を基にした認証要素です。これが、多要素認証の基本的な要素となるでしょう。代表的な例としては、以下のようなものが挙げられます。
・パスワード
・PINコード(暗証番号)
・秘密の質問 など
これらは、アクセス時に入力が簡単で、利便性が高いというメリットがあります。一方、推測が容易であることや、
フィッシングサイトなどで簡単に盗まれてしまうリスクが高いことがデメリットです。認証方法において、知識情報を単独で利用すると、安全性の低下に繋がり、それはアクセス方法の脆弱性になります。そのため、他の要素と組み合わせてセキュリティを強化するのです。
所持情報は、ユーザーが物理的に所有するものを基にした認証要素です。具体的な例としては、以下のようなものが挙げられます。
・スマートフォン(携帯電話)
・ハードウェアトークン
・ICカード など
例えば、スマートフォンはワンタイムパスワード(OTP)に活用できます。ハードウェアトークンは、定期的に更新されるトークンを確認する機器で、所有者でなければ“その時”のトークンを知ることはできません。また、ICカードはセキュリティーカード(近年ではマイナンバーカードも活用されている)などが含まれます。
いずれも、本人が所持していなければ認証ができないため、攻撃者が遠隔で不正アクセスを行うことはできません。物理的なものなので紛失・故障・盗難のリスクはありますが、他の要素と組み合わせることで、強固なセキュリティが実現可能となります。
生体情報は、ユーザーの身体的な特徴を生かした認証要素です。人間には一人ひとりに固有の生体情報がありますので、それを認証に活用するのです。具体的には、以下のようなものが挙げられます。
・指紋
・顔
・静脈
・声紋
・虹彩 など。
これらは複製や偽造が難しいため、ユーザー本人のみが利用できる認証要素となります。もちろん、盗難や第三者に共有されるリスクはほとんどありません。ただし、要素は人間の肉体であるため、知識情報や所持情報のように簡単に変更することはできません。そのため、生体情報を扱う認証システムやソリューションには、高い技術と信頼性が不可欠です。生体認証を行うためのサービス選定は、実績や技術力の高い事業者を選ぶようにしましょう。
多要素認証は、セキュリティ強化において多くのメリットがあります。ここでは、主な3つのメリットについて見ていきましょう。
多要素認証を導入する目的でもある最大のメリットは、不正アクセスの防止です。企業が保有するデータやシステムに甚大な被害や損害を与え、情報漏えいに繋がりやすい不正アクセスを阻止できるため、セキュリティを大幅に強化できます。例えば、PINコードと顔認証を組み合わせた場合です。仮に、攻撃者にPINコードが漏えいしても、顔認証まで突破することは容易ではありません。そのため、不正アクセスの可能性を低減できます。特に、テレワークで使うPCやモバイルデバイスからのアクセス環境、クラウドサービスへのログオンにおけるセキュリティは大幅に向上されます。
多要素認証の導入メリットは、セキュリティ強化だけではありません。信頼性向上にも大きく貢献します。例えば、金融機関や医療機関などは、「個人情報が守られている」信頼性によって成り立っていると言っても過言ではないでしょう。また、企業においても、アクセス認証における強固なセキュリティへの取り組みは、顧客・ユーザーにとっての安心に繋がります。不正アクセスが起こりにくいセキュリティ環境は、顧客情報の保護を強化し、情報漏えいの可能性を低減するためです。サイバー攻撃や情報漏えいの被害が増加する今、多要素認証導入によるセキュリティ強化は信頼性を向上させ、顧客満足度を高めるためにも不可欠なのです。
不正アクセスを許さない多要素認証は、企業の資産であるデータやシステムを守るために欠かせないセキュリティ対策です。例えば、不正アクセスによって顧客データを失えば、マーケティングや売上に大きな影響を及ぼすでしょう。顧客層や購買行動などもわからなくなり、適切なサービスを提供することができなくなってしまうためです。情報が漏えいすれば、企業のブランド力も損ない、顧客離れが進む可能性もあります。また、情報漏えいによる法的措置によって、経済的な損失を被るリスクも否定できません。多要素認証による不正アクセス防止は、企業資産を保護するために不可欠なセキュリティ対策なのです。
多要素認証の導入には多くのメリットがあります。一方、導入の際には意識しておかなければならない点もあります。ここでは、多要素認証導入の際に気をつけたいデメリットや注意点を見ていきましょう。
多要素認証を導入するには、初期費用やランニングコストがかかります。例えば、既存のシステムへ多要素認証システムを統合する作業や、専用のトークンデバイス機器の購入・レンタル費も考慮しなければなりません。また、定期的なソフトウェアアップデートやシステムメンテナンスにも工数やコストが発生します。そのため、企業にとってはコスト面での負担が大きくなる可能性があるのです。
多要素認証を導入すると、アクセス認証における利便性が低下する可能性もあります。従来、パスワードのみでシステムへログインできていたものが、加えてワンタイムパスワードや指紋認証などが必要になることで、手順が複雑化してしまうためです。また、所持情報に必要な機器やICカードを紛失すれば、システムへのアクセス方法を失ってしまうため、業務が滞る可能性もあります。これら利便性への影響を回避するためには、代替の認証方法を確保しておかなければなりません。また、認証方法の簡略化などの検討も必要でしょう。ユーザーの利便性への影響のほか、管理者の業務負担が増えることも注意しておくポイントのひとつです。
既存システムに多要素認証のソリューションを導入する際には、互換性に注意しなければなりません。古いシステムや、自社用にカスタマイズしたシステムを使っている場合は、新しい認証技術への対応が困難な場合もあります。その際、基幹システムや古いハードウェアのリプレースが必要かもしれません。互換性の問題が少しでも残っていると、大きな障害に発展し、業務が長期間停滞してしまうケースもあります。多要素認証を導入する場合は、システムの互換性を事前検証して、既存環境への影響を最小限に抑えましょう。サポート体制が整っている事業者を探し、事前調査から導入までをワンストップで行ってくれるソリューションを取り入れるのが最善の選択となるでしょう。
先述のように、多要素認証の導入は、オペレーションが複雑化する可能性があります。そのため、従業員を含むユーザーに対しての教育やトレーニングが必要です。多要素認証がどのようなものか、認証手順はどのように変わるのか、認証に必要なデバイスの使い方など、その範囲は多岐にわたります。また、多要素認証はセキュリティ強化のための手段ですので、セキュリティに関する教育も徹底しなければなりません。サイバー攻撃が企業や顧客にどのような被害を与えるのか、サイバー攻撃にはどのようなものがあるのかなど、定期的に研修を行うとよいでしょう。マニュアルの用意やヘルプデスクの設置なども必要です。トラブルが起こった際に業務が止まらないよう、迅速な対応が可能な体制を整えましょう。
最後に、多要素認証(MFA)関連・類似する用語や、その違いについて見ていきましょう。ここでは、以下6つの用語について確認していきます。
これらの用語は、それぞれセキュリティ強化をするための認証関連技術ですが、具体的な使い方や特徴が異なります。
二経路認証では、攻撃者に1つの通信経路を攻撃(侵害)されたとしても、もう一方の通信経路にまで侵入されることを阻止できます。特に、フィッシング攻撃や、攻撃者が入手したリストによるパスワードリスト攻撃への対策に効果的です。また、業務システムへのログインや個人データを扱うアプリケーションへのアクセスに活用すれば、企業のセキュリティ基盤を強化できます。
例えば、PCでシステムにパスワードを入力後、スマートフォンでPINコードを入力して認証します。使用する認証要素が「知識情報」のみでも、異なる経路を使用することでセキュリティが強化されます。ただし、通信経路を分けることによりユーザーの利便性が損なわれる可能性があるため、導入する際には使いやすさとのバランスを配慮しなければなりません。
二段階認証を活用することで、仮に1つの認証要素が漏えいした場合でも、追加認証が攻撃者の不正アクセスを阻害します。二段階認証は、オンラインバンキングやクラウドサービスで多く利用されている認証方法です。
例えば、一段階目でPCにパスワードを入力し、二段階目でスマートフォンの認証アプリで生成されたコードを入力して、認証します。認証手段を二段階に分けることでセキュリティを強化します。アクセスに利用する認証要素が1種類(例えば「知識認証」のみ)でも構成可能であるため、多要素認証よりもセキュリティ強度が低くなるケースもあります。しかし、従来の単一認証と比較した場合、セキュリティレベルは格段に向上します。
二要素認証では、異なる認証要素を活用するため、1つの認証要素が突破された場合でも、2つ目の認証要素で防御できます。認証にワンタイムパスワードや物理トークン、顔認証などの認証要素を追加することで、不正アクセスのリスクは大幅に低減できるのです。
例えば、知識情報のパスワードと、生体情報の指紋認証を組み合わせて認証する方法です。必ず、異なる認証方法を使用するのが特徴です。二要素認証は、医療システムやオンラインバンキングなど、強固なセキュリティが求められるシステムでの活用が広がっています。企業においては、クラウドサービスの活用やリモートワークにおけるアクセス管理に導入することで、強力なセキュリティ対策が可能です。
リスクベース認証では、すべてのユーザーに対して同じ認証手順を課すのではなく、リスクの高い状況にあるユーザーほど強固な方法での認証を行います。ユーザーの利便性を損なわずに、セキュリティを強化する方法として活用できます。
例えば、ログイン時の条件が通常と同じ(接続IPやデバイスの種類などが同じ)場合は認証が簡略化されます。しかし、海外からのアクセスや通常とは異なる時間帯でのアクセスなど、はじめて利用する環境(IPアドレスやデバイスの種類が異なる)場合は、追加認証を要求します。必ずしも多要素認証を必要とするわけではなく、状況によって認証方法を柔軟に対応する点がポイントです。
生体認証は、多要素認証の一部としても利用されます。ただし、生体認証は単体要素で活用できるため、「生体認証=多要素認証」ではありません。
例えば、スマートフォンやPCのロックを解除するために、顔認証や指紋認証が活用されています。企業組織に限らず、私たちの日常生活においても使われている身近な技術です。生体認証を活用するメリットは、パスワードやトークンなどのように、紛失したり忘れたりするリスクがないことです。空港や銀行、オフィスへの入退室など、高いセキュリティが求められるサービスや現場で広く使われています。ただし、登録している生体データが漏えいした場合、パスワードやトークンのように容易に変更できないという課題があるため、生体データ自体を強固なセキュリティで安全性の高い管理を行う必要があります。
ゼロトラストはセキュリティの概念であり、ゼロトラストセキュリティを実現するための方法に多要素認証が用いられるというイメージです。
例えば、社内ネットワーク(LAN)の内外を問わず、すべてのアクセス要求に対して多要素認証を適用します。クラウドサービス利用はもちろん、社内LANからのアクセスでもデバイス情報や位置情報などの確認を行い、認証と許可を行うものです。これにより、従来からの考え方である「内側は安全であり、外側は危険」という境界型セキュリティモデルの弱さを補います。特に、近年増えているリモートワークやクラウド環境を利用した業務では、柔軟で強固なセキュリティ基盤を構築するゼロトラストセキュリティが注目されています。
多要素認証は、巧妙化するサイバー攻撃に対抗するためのセキュリティ強化手段です。従来の単一認証だけでは防御できない不正アクセスを、「知識情報」「所持情報」「生体情報」の組み合わせで防ぎます。多要素認証を導入することでセキュリティは強化され、さらにステークホルダーからの信頼も得ることができるでしょう。
多要素認証の導入には、運用コストや既存システムとの互換性、ユーザー教育などの課題もあります。そのため、信頼性の高いサービスを提供する事業者のソリューションを選択することが重要です。自社の現状理解から、適切なサポートを提供するパートナー企業が見つかれば、多要素認証のスムーズな導入・運用が可能になります。
そこでおすすめなのが、ソリトンシステムズのソリューションです。
多要素認証でエンドポイント利用時の本人認証を強化する「SmartOn ID」や、許可端末と利用者本人の組み合わせでアクセス制御を行い、クラウドサービスを不正アクセスから守る多要素認証サービス「Soliton OneGate」は、企業のセキュリティ基盤を強固なものにします。多要素認証には、ソリトンシステムズのソリューションを検討してみませんか?まずはお気軽にお問い合わせください。
