セキュリティの
学び場

今回の解説ニュース

国内や海外に2万人の従業員を抱える組織が、多要素認証を導入してSaaSとも連携させたということです。多要素認証の導入効果と、導入後も気を付けるべきポイントについて説明します。

多要素認証とは、アクセス権限を得るために必要な要素を複数要求する認証方式です。認証に求められる要素として「知る要素」「持つ要素」「備える要素」などに分けて複数要求することで、ひとつの要素では十分ではない認証の強度を上げることができます。

同組織は、コロナ禍で働き方の変化に伴い、セキュリティリスクが高まったことも鑑みて、ゼロトラストと多要素認証の活用が最適と結論付けたということです。さらに、リバースプロキシで最小限のアクセスのみを有効化することでラテラルムーブメントを排除するということです。
ラテラルムーブメントとは、組織のネットワークに侵入した攻撃者やマルウェアが、そのネットワーク内で認証情報などを繰り返し窃取し、さらに被害を拡大させるものです。ペネトレーションテストでも同様の作業が行われます。

また、通信が暗号化されているためにVPNの接続が不要となることで、セキュリティの三大要素である「可用性」も解消されるということです。

ゼロトラストと多要素認証

ゼロトラストと多要素認証について、再度詳しく説明します。

ゼロトラスト

ゼロトラストとは、トラストの意味である「信頼」がゼロであること、つまり何も信じられないことを前提とした対策を行うセキュリティの考え方です。かつて、セキュリティ対策は「境界型セキュリティ」と呼ばれるファイアウォールなどでネットワークに内部と外部の境界を作り、内部は信頼できるネットワーク、外部は信頼できないネットワークという前提でセキュリティ対策が行われていました。つまり、内部の信頼できるネットワークにあるパソコンやファイルサーバなどの情報資産自体には、十分なセキュリティ対策が行われていないことがありました。それが、コロナ禍でパソコンは自宅に持ち出され、ファイルはクラウドに保存されるようになりました。つまり、情報資産は境界の外部に持ち出されるため、すべてが信頼できないゼロトラストの考え方が必要になってきたということです。

多要素認証

多要素認証について「知る要素」はパスワードなどの本人が記憶する情報です。騙されるなどして他人に知られた時点で無効になります。「持つ要素」はスマートフォンなどの本人が所有するデバイスです。コピーされたり盗まれたりした時点で無効になります。「備える要素」は指紋や顔などの生体です。コピーや盗難に強いとされていますが、その前提が崩れた場合は変更できない問題があります。このように、各要素には一長一短があるため、複数の要素を組み合わせることによって、認証強度を上げることができます。パスワードのみの認証では強度が不十分なために、スマートフォンなどと組み合わせた二段階認証は、皆さんも利用されたことがあるのではないでしょうか。

多要素認証で気を付けるべき点

多要素認証で気を付けるべき点は、導入後も認証を突破される可能性があるということです。実際に発生している被害について説明します。

多要素認証を設定すれば攻撃の被害を受けることはないと考えている方も多いのではないでしょうか。しかし、多要素認証も万能ではなく、特に二段階認証では実際に認証を突破されてしまう事例が数多く存在します。

具体的には、フィッシング攻撃で認証が突破される可能性があります。例えば、パスワードとSMSを組み合わせた二段階認証が設定されていたとします。攻撃者は、IDとパスワードの組み合わせに加えて、SMSに送られてきたワンタイムパスワードの入力も求めるような罠サイトを用意します。被害者が罠サイトへ入力したIDとパスワードが正しいサイトへ転送されるようにすると、もうひとつの要素であるワンタイムパスワードはSMSで被害者の携帯電話に送信されます。SMSで送られてきた情報を被害者が続けて罠サイトへ入力してしまうと、攻撃者は認証に必要な要素をすべて手に入れることができてしまいます。

これはあくまでも一例ですが、多要素認証を設定した場合でもフィッシング攻撃の被害にあわないように、フィッシングメールや罠サイトには十分注意しましょう。