このページの本文へ

セキュリティ効果絶大!多要素認証の義務化~新たなセキュリティ標準~

  • 会社の処方箋
2022年9月22日
更新:2025年1月15日

サイバー攻撃が増加し、セキュリティの重要性がますます高まる中、Microsoftのサービスにおいても多要素認証の義務化が2024年10月から始まっています。この新たな規制は、サイバーセキュリティの強化を目的としており、特にリモートワークの普及に伴うセキュリティリスクの増大に対応するためのものです。本コラムでは、多要素認証の仕組みやその必要性、導入の背景と目的について解説し、今日のデジタル社会における有効性を探ります。

サイバー攻撃の増加と被害状況

サイバー攻撃の手法が高度化・多様化しており、企業や個人のアカウントをターゲットにした被害が年々増加しています。
国立研究開発法人情報通信研究機構(NICT)によりますと、大規模サイバー攻撃観測網(NICTER)で確認された2023年の総観測通信数は、2015年と比較して9.8倍となっており、依然多くのサイバー攻撃関連の通信が届いている状態であることが読み取れます。なお、2023年は過去最高の観測数を記録しており、インターネット上を飛び交うサイバー攻撃の通信は、2022年と比較してさらに活発化している状況であると言えます。

NICTERにおけるサイバー攻撃関連の通信数の推移

増加傾向

出典:総務省 情報通信白書令和6年版

2023年度は、国家を背景とするグループからの攻撃をはじめとするサイバー攻撃の洗練化や巧妙化が一層進展しています。政府機関等への攻撃や、重要インフラ事業者を中心とした民間企業へのサプライチェーン・リスクを突いた攻撃、ランサムウエア等による被害、テレワーク等に利用される機器のぜい弱性や強度の弱い認証情報等を利用して侵入する手口が拡大しました。また、いわゆるゼロデイ攻撃に係るリスクや、生成AIをはじめとする新たな技術の普及に伴うリスク等、従来の対策では容易に対処できない新たなリスクも増大しています。

出典:NISC ホームページ サイバーセキュリティ 2024

特に、フィッシング攻撃やパスワードのリスト型攻撃により、侵害リスクの高まるアカウント乗っ取りに対抗する手段として、多要素認証の導入が急務となっています。Microsoftの調査によれば、多要素認証を導入することでアカウントに対する攻撃の99.2%を防ぐことが可能とされています。このように、サイバー攻撃への対策として多要素認証の必要性がますます高まっているのです。

出典:Microsoft Learn Challenge

多要素認証とは

知識情報、所持情報、生体情報のうち2つ以上を組み合わせる

多要素認証とは、利用者がシステムやアプリケーションにログインする際に「知識情報」「所持情報」「生体情報」のなかで、2つ以上の異なる要素を組み合わせて認証を行うセキュリティ手法です。ここでは二要素認証である「SMSコード認証」を例にご説明します。
インターネット上のサービスを利用するときに、ID/パスワードとは別に、携帯電話番号に送信される認証コードを入力して、初めてログインできる「SMSコード認証」という仕組みがあります。これはユーザーがパスワードを入力(知識情報)した後、登録された携帯電話番号にSMSで送信される一回限りのコードを入力する(所持情報)と認証されるといった仕組みです。これにより、パスワードが漏えいしても、携帯電話を持っていない第三者はログインできません。
今回は、「知識情報」(パスワード)と「所持情報」(携帯電話)を例に挙げましたが、「生体情報」(指紋や顔認証など)も含め2つ以上の要素を組み合わせることで、単一の要素に依存するよりも高いセキュリティ強度を実現できます。

  • 知識要素
    パスワードや合言葉、秘密の質問など、知識として本人が知っている情報
  • 所持要素
    スマートフォンやICカードなど、本人が所持している情報
  • 生体要素
    指紋、顔、静脈など、本人の身体的特徴のうち大きく変化しない特徴

モバイルワーク、自宅でのテレワーク、そしてワーケーションなど、オフィス外での業務が増える中で、社内システムの利用に対するセキュリティの重要性はすでに広く認識されていると思いますが、企業は改めてセキュリティ対策の強化・見直しが必要です。
例えばMicrosoft 365では多要素認証の機能が用意されており、携帯電話などへ確認コードを送信したり(所持情報)、Microsoft Authenticatorアプリケーションによる顔認証・指紋認証などを利用したり(生体情報)することができます。
この機能より、よりセキュアな環境下でシステムを使用することが可能となっています。
クラウドサービスではあらかじめ多要素認証の機能が準備されていることもありますので、ご利用のサービスをご確認いただき、積極的な利用をご検討ください。

義務化について

Microsoftは「Secure Future Initiative」の一環として、2024年10月15日を期限にAzureログインなどの主要サービスにおいて多要素認証の義務化を開始すると発表しました。
この義務化はAzure PortalやMicrosoft 365管理センターを含む幅広いプラットホームに適用され、段階的に展開される予定です。

  • Secure Future Initiative:Microsoftがサイバーセキュリティ保護を推進するために立ち上げた新たな全社的取り組み
    Azure:Microsoft社が提供するクラウドサービス
    Azure portal:Azure上のサービスを一元管理できるツール

多要素認証は、次のようなサービスで義務化されています。

  • Microsoftのサービス
    • 2024年10月15日以降、Microsoft Azure ポータル、Microsoft Entra 管理センター、Microsoft Intune 管理センターへのアクセス時に多要素認証が義務付けられました。
    • 2024年12月2日以降に作成される新規テナントでは、多要素認証がデフォルトで有効化されます。
    • 2025年1月からは既存のテナントにも順次展開されます。
  • Salesforce

    2022年2月から多要素認証の適用義務化が開始され、2023年9月にはシステム上必須となりました。

多要素認証を設定しない場合、特定の管理機能へのアクセス制限がかかるため、企業は速やかな対応が求められます。この変更は多くの企業に影響を与えるため、2024年以降、多要素認証の設定が業界標準となる可能性が高いと言えるでしょう。

法規制とセキュリティ標準の強化

法規制の進展は、多要素認証義務化を後押しする要因の一つです。
例えば、「改正個人情報保護法」では、個人情報の取り扱いに関するルールが強化されました。この法律は、個人情報の取得・利用に際しての事前同意の義務化や、データ漏洩時の報告義務などを定めており、企業はこれに対応するために多要素認証を導入することが求められています。

また、海外では「一般データ保護規則(GDPR、EU)」が、EU域内の個人データの処理に関する厳格なルールを定めています。GDPRは、データ保護のための技術的および組織的な対策を企業に求めており、その一環として多要素認証の導入が推奨されています。これにより、個人データへの不正アクセスを防ぎ、データの機密性を確保することが求められます。
「カリフォルニア消費者プライバシー法(CCPA、アメリカ)」も、消費者に対して自身の個人情報に関する権利を強化し、企業に対して透明性のあるデータ処理を求めています。CCPAは、消費者が自分のデータにアクセスし、削除を要求する権利を持つことを保証しており、企業はこれに対応するために多要素認証を導入することが推奨されています。

これらの法規制は、日本の企業にとっても無関係ではなく、特に国際的な取引を行う場合には重要な規制となります。企業が顧客のデータを安全に管理し、プライバシーを保護するための重要な基準となっているのです。多要素認証の導入は、これらの法規制に対応するための効果的な手段の一つであり、企業のセキュリティ対策の強化に寄与します。

企業にとってのメリット

中小企業にとって、多要素認証の導入はコストがかかると思われがちですが、それ以上のメリットを享受することができます。

  • ランサムウエア攻撃や情報漏えいに対する抑止効果

    多要素認証は、追加の認証要素を必要とするため、不正アクセスのリスクを大幅に減少させます。これにより、ランサムウエア攻撃や情報漏えいの被害を未然に防ぐことができ、セキュリティ事故による損失リスクを大幅に軽減できます。

  • 顧客情報保護の強化

    顧客の個人情報や取引データの保護が強化されます。これにより、顧客の信頼を得ることができ、顧客満足度の向上にもつながります。特に、個人情報保護法などの法規制に対応するためにも、多要素認証は有効です。

  • 社内データの安全な管理

    社内の重要なデータや機密情報に対するアクセス制御が強化されます。これにより、内部からの情報漏えいリスクも低減され、企業全体のセキュリティレベルが向上します。従業員がリモートワークを行う場合でも、安全にアクセスできる環境を提供できます。

  • 取引先や顧客からの信頼性の向上

    取引先や顧客に対して、セキュリティに対する高い意識を示すことができます。これにより、ビジネスパートナーや顧客からの信頼性が向上し、長期的な関係構築に寄与します。

    しかし、リソースの限られる中小企業では、初期導入のコストや従業員教育にかかる負担が課題となるケースもあります。これらを解決するために、外部の支援を活用することも推奨されます。

企業が取るべき対応策

1.多要素認証導入の基本

多要素認証の義務化が進む中、企業はその導入にあたって計画的なアプローチが必要です。導入の基本ステップとして、まずは導入対象範囲の明確化を行い、どのシステムやユーザーに多要素認証を適用するかを決定します。その後、信頼性が高い多要素認証ソリューションを選定し、既存システムとの互換性や利用者の使い勝手を考慮した設定を行います。さらにテスト期間を設けて実際の運用における効果を確認し、発生する可能性のある問題点を補完することが重要です。

2.社内体制の整備と従業員教育

多要素認証を効果的に運用するためには、社内体制の整備が欠かせません。専門的な知識を持つチームを編成し、導入プロセスにおける役割を明確化する必要があります。また、従業員教育を通じて、多要素認証がなぜ必要なのかを理解してもらい、適切な利用を促すことが重要です。
キヤノンシステムアンドサポートでは、情報セキュリティの基礎やビジネスを行う上で必要とされるセキュリティ知識を高めるために必要な教育コンテンツをパック化してご提供しています。詳しくは「スキル向上支援サービス」をご確認ください。

スキル向上支援サービスはこちら

3.緊急アクセス用のアカウント管理

多要素認証導入に際し、緊急アクセス用のアカウント管理も必要です。例えば、認証要素を紛失した場合や災害などで通常のプロセスが利用できない場合に備えて、緊急アクセス手段を事前に設計します。

4.定期的なリスク評価と改善策

多要素認証の導入が完了した後も、それで終わりではありません。サイバーセキュリティの脅威は常に進化しており、定期的なリスク評価が不可欠です。企業は内部・外部からのセキュリティを定期的に監査し、運用体制の改善箇所を見つけ出し対応することで、継続的なリスクの低減が図れます。

まとめ

政府や規格団体によるセキュリティ基準が厳格化されていますが、サイバー攻撃被害は年々増加しております。また、ログイン情報の不正取得やパスワード推測によるアカウント乗っ取り被害が増えています。単一パスワードでのセキュリティには限界があるため、多要素認証が今後さらに普及すると考えられます。
一方で、セキュリティを破る技術も向上しているため、過信すると情報漏えいにつながります。最後のとりではパソコンや携帯電話を使うユーザー自身です。必要な対策を講じたうえで、個人個人が高い意識を持って取り組むことが大切です。

今すぐ読みたいおすすめ情報

会社の処方箋 一覧へ

ソリューション・商品についてのご相談・見積・お問い合わせ

キヤノンシステムアンドサポート株式会社

Webサイトからのお問い合わせ

導入にあたってのご相談、資料請求、見積依頼など、各種お問い合わせはフォームにて受け付けております。