「多要素認証」がセキュリティ向上に効果的な理由 | Edu at Mitani    
2021/01/19

「多要素認証」がセキュリティ向上に効果的な理由

学校や企業にIT機器を導入する際に、重視しなければならないのが情報漏洩などを防ぐセキュリティ対策です。特に近年はハッキングの技術は日々高まっており、従来のログインID・パスワードを用いた認証では不十分な事例も増えています。端末の不正利用を水際で食い止めるツールとして導入されることが増えているのが「多要素認証」です。その理由と基本的な情報をまとめました。

多要素認証(MFA)とは

多要素認証とは、ユーザーのみが知っている情報(要素)を組み合わせることで、第三者が不正にログインできないようにする仕組みのことです。情報にはユーザーが知っていることである「知識情報」、物理的な端末などユーザーが持っている「所持情報」、ユーザーの身体的な特徴を読み取る「生体情報」の3種類があり、さらにそれぞれ細かなメソッドに分類できます

■知識情報(Something You Know)

認証方式(メソッド)特徴
ID・パスワードIDやパスワードを使った認証方式。
PIN番号4~6桁の数字を入力する。
単体ではセキュリティレベルが低い
秘密の質問『ペットの名前は?』のような、事前登録した
複数の質問がランダムに表示され回答する。
パスワードを忘れたときの再設定時に、本人確認
のため利用されることが多い。

 

■所持情報(Something You Have)

認証方式(メソッド)特徴
ワンタイムパスワードネットバンキングなどで利用されることが多い。
ランダムに表示される数値をログイン画面などに
入力する。カード型、USBデバイス、ソフトウェア
など様々なタイプがある。
ICカードICカードをスキャンして読み取ることで認証する。
USBトークン電子証明書の「鍵」を保存する仕組みのUSBデバイス
認証時に端末に接続することで認証する。
E-mail認証あらかじめ登録したメールアドレスにパスワードが
送られ、それを入力して認証する。

 

■生体情報(Something You Are)

認証方式(メソッド)特徴
顔認証カメラに投影した顔で本人を確認する。
スマートフォンやノートPCなどカメラが付属した
デバイスが必要。
静脈認証専用の機器を用いて、近赤外線を指に透過させて
静脈を読み取り、認証する。
指紋認証ユーザーの指紋を読み取って認証する。
虹彩・網膜認証専用の機器を目にかざして、交際や網膜を読み取り
認証する。

 

「パスワード認証+顔認証」、「PIN番号+ワンタイムパスワード」のように、要素が異なるメソッドを組み合わせることで強力なセキュリティ体制を構築するのが多要素認証です。
「パスワード認証+秘密の質問」のように、同じ要素で異なるメソッドを複数採用するケースは多要素ではなく「二段階認証」とされます。二段階認証も単独認証と比べるとセキュリティ性は高まりますが、サーバー攻撃などを受けた際にどちらも流出する可能性もあります。

IDaaSと多要素認証

クラウドサービスの普及により、認証方法の管理が重要視される昨今、新しいサービスとして注目されているのが「IDaaS(Identity as a Service)」です。
IDaaSはID・認証管理用のサービスで、同じ目的で導入されることが多い「Active Directory」と比べるとよりクラウド環境に特化しています。学校のID・認証管理における代表的なソリューションを以下でまとめたので確認してください。

■IDaaSのソリューション
・単一ダッシュボードで新入生のIDの追加、卒業生のID削除などが簡単に行える。
・ユーザー、部門ごとにアクセスを一括制限可能。
・クラウド、オンプレミスの多様なシステムと連携することで、単一ID、パスワードでログイン可能になる。

国内・海外企業が様々なIDaaSをリリースしており、導入を検討する際に選択肢が多すぎて困ってしまうケースも少なくありません。最後にセキュリティ性、提供企業の体力、サポート内容、コスト面に優れた2つのサービスを紹介します。

Onelogin

スマホアプリ、Email、電話、SMSなど多彩なメソッドを備えているサービスです。IPアドレス制限はもちろん、特定のパソコンのみクラウドサービスにアクセスさせるための「ブラウザPKI」も標準で利用可能です。

Hennge

クラウドサービスに包括的なセキュアサービスを提供する「HENNGE One」。スマートフォンを利用した時間ベースのワンタイムパスワードを生成する多要素認証アプリケーション「HENNGE Lock」などを提供しています。

現場に適した多要素認証の導入を

多要素認証の分類とIDaaSの学校における課題解決について解説しました。個人情報などの重要性と外部からの攻撃のリスクが上がっている昨今、多要素認証によるセキュリティ対策の必要性は非常に高くなっています。導入すべきサービスは現場によって異なるので、まずは現場のパスワードなどの環境を確認してみましょう。

Back Number

ADE(旧DEP)とは?

ADE(旧DEP)とは?

  iPadを組織で管理するためには、様々な方法があります。その中でも、Automated Device Enrollment(以下ADE)(旧:Device Enrollment Program)は、よく聞く管理方法だと思

クローニングはもう古い? 〜プロビジョニングによる新しいMac教室の管理方法

クローニングはもう古い? 〜プロビジョニングによる新しいMac教室の管理方法

  クローニングができない!? Mac教室の管理 できてますか?? 昨今Apple社では、macOSのシステムボリュームを保護するための機能を次々にリリースしています。古くはSIP(System Integrit

Google Meet運用術 ~会議の開催を特定ユーザーに制限する方法~

Google Meet運用術 ~会議の開催を特定ユーザーに制限する方法~

  今回のコラムでは、Chromebookを利用されている自治体や学校関係者の方向けに、Google Meetの運用術をご紹介いたします。 Google Meetの利便性と不安要素 Google Work