このページの本文へ

セキュリティ効果絶大!多要素認証とその盲点とは

  • 会社の処方箋

2022年9月22日

最近はセキュリティを高めるために「多要素認証」を採用するケースが増えてきています。
これは、「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する技術です。
例えばインターネット上のサービスを利用するときに、ID/パスワードとは別に、スマートフォンに送信される認証コードを入力してはじめてログインできるといった仕組みがあります。これが多要素認証です。

知識情報、所持情報、生体情報のうち2つ以上を組み合わせる
知識情報
IDやパスワードなどパソコンなどでよく使われる本人が知っている情報です。
所持情報
本人しか持っていない情報です。スマートフォンに送られてくる認証コードやワンタイムパスワード、キャッシュカードなどが該当します。
生体情報
指紋や静脈など本人の身体的特徴を利用するものです。

それぞれの異なる要素を組み合わせて認証することで、高度なセキュリティが実現できます。

ATMは数字4桁暗証番号で安全なのか?

ATMは身近な多要素認証の実例です

日常的によく使う金融機関のATM。たいていの場合は数字4桁で暗証番号を入力します。このセキュリティに疑問を感じたことはないでしょうか。最近のインターネットサービスへのログインパスワードは英語と数字をどちらも含めて8桁以上などになっているケースが多く見られます。一方のATMはキャッシュディスペンサー時代から数十年変わらず数字4桁。一見するとセキュリティが不安です。

実はこれこそ、もっとも身近な多要素認証の実例です。
ATMの操作にはキャッシュカードが必要ですが、これは所持情報にあたります。一方のパスワードは知識情報にあたります。
つまり二つの異なる要素で認証を行っており、どちらも知識情報であるIDとパスワードの組み合わせよりはるかに安全性は高く、数字4桁でも高いセキュリティが維持できるのです。(ただしパスワードは自分以外には思いつかないものにしましょう。定期的な変更もおすすめです)

多要素認証を活用する

モバイルでの業務や自宅でのテレワーク、休暇を利用したワーケーションなど、会社外での社内システム利用が普及するにつれ、より高度なセキュリティが求められてきています。
クラウドサービスではあらかじめ多要素認証の機能が準備されていることもありますので、ご利用のサービスをご確認ください。

例えばMicrosoft 365では多要素認証の機能が用意されており、スマートフォンなどへ確認コードを送信したり(所持情報)、Microsoft Authenticatorアプリケーションによる顔認証・指紋認証などを利用したり(生体情報)することができます。
この機能より、よりセキュアな環境下でシステムを使用することが可能となっています。
積極的な利用をご検討ください。

油断大敵!多要素認証が破られる!?

多要素認証といえども完ぺきではありません。
米マイクロソフト社は、Microsoft 365を利用している企業を狙ったフィッシングメールについての警告を出しています。

その仕組みはいたって簡単なもので、簡単だからこそ、引っかかりやすいものです。
大まかな流れは下図のようになります。

偽サイトにIDやパスワードを入力すると、それが悪意を持った第三者に伝わります。
悪意を持った第三者がそれをそのまま正規サイトに入力すると、認証コードなどがユーザー本人に送信されます。
ここでユーザーが認証コードを入力すると、それが悪意を持った第三者に伝わるわけです。

米マイクロソフト社によると、この攻撃では主にビジネス関係をターゲットにしているようで、取引相手になりすまし、金融詐欺メールを送ることを目的としているようです。

まとめ

多要素認証を利用すると飛躍的にセキュリティが向上するのは確かです。一方でセキュリティを破る技術も向上してきていますので、過信してしまうと情報漏えいにつながります。

最後の砦はパソコンやスマートフォンを使うユーザー自身です。
必要な対策を講じた上で個人々々が高い意識を持って取り組むことが大切です。

ソリューション・商品についてのご相談・見積・お問い合わせ

キヤノンシステムアンドサポート株式会社