Reading Time: 1 minutes
2021年は 多要素認証にとっての新しい時代の幕開けとなるか
はじめに
サイバー犯罪が勢いを増す中、組織やITチームが継続的に対処しなければなら攻撃が急激に増加しています。攻撃がより複雑になるにつれて、いくつものセキュリティのベストプラクティス、対策、ソリューションから適切なものを選び、自社に一番合ったソリューションで対応する
必要があります。そんな中でも昨今最も注目されているセキュリティのソリューションの 1 つが多要素認証 (MFA) です。
2020年から2021年の大規模な侵害とセキュリティインシデント
この2020年からの2021年のパンデミックが私たちの社会の働き方やライフスタイル全般の価値観や考え方へ与えた影響や、社会的、地政学的、ビジネス上のインパクトについてここで詳しく説明する必要はないかと思います。ただし、これら新しいワークスタイルや社会の変化と併行するように、サイバーセキュリティ・インシデントも巧妙化し、それによる被害も深刻化しています。
事件発生前まではあまり議論されることがなかったようなサイバーセキュリティの諸問題についても、米国でのとある大規模なセキュリティインシデントを皮切りに、経営層から現場までサイバーセキュリティの脅威と対策について意識するようになりました。そして、今ここで我々は部門、事業部、役職関係なく、改めて膝を付け合わせてセキュリティについて話すときが来たようです。
下記にて直近まで話題となっていたサイバーセキュリティインシデントの例を紹介します。
1) 不要になったアカウント、クレデンシャル、パスワードのずさんな管理
ランサムウェアなどの名前はもはやITに関わる仕事をしていなくても知られるようになってきました。それだけ2020年に起こった大規模なサイバー攻撃とその侵入度合や経路が今までにはないレベルでのインパクトを世の中に与えているのではないでしょうか。この攻撃は多層的な攻撃であり、その全貌の解明が困難でかつわかったとしても説明が複雑なものともなりますが、ずさんな管理をされていた弱いパスワードを悪用されたということが一つ濃厚であろう仮説として認識されています。
被害を受けた会社は、は日々の業務や経営全体にまでの影響を与えただけではなく、容疑ハッカーグループへ一部ランサム(身代金)を実際に支払うまで至りました。攻撃のきっかけとなった機密情報がどのように漏えいしたかは定かではありませんが、資格情報や不要になったアカウントなどの社内に点在しているアイデンティティの管理不足により起こったもの、と考えられています。
2)古いパスワードの使い回し
2020年よりも前から資格情報やアイデンティティの情報漏洩に纏わるセキュリティ侵害が数々発生していました。例えば2016年に、とあるクラウドストレージサービスプロバイダーの従業員が使い回したパスワードが流出したことにより、大きな損害をつながりました。これに
よりおよそ6,000万人のアカウント情報が流出することになりました。当然、これにより副次的に同会社の評判に影響、またはそのようなクレーム対応や説明・謝罪に奔放し、日々の業務へ様々な影響があったものであると容易に推測できます。
3)内部脅威のリスク
前述のようなケースは新聞などでも第一面を飾るなどをして、世間一般の目に留まるような内容です。しかし、その反面、世間から注目されることのないようなサイバー攻撃も数えきれないほどあるでしょう。マルウェアやサイバー攻撃によって引き起こされる問題だけではなく、内部
攻撃、またはスパイ活動なども今後気に留めなければなりません。もしかすると、信頼を寄せていた従業員もある日、機密情報、資格情報やアイデンティティ情報を流出している人物になっているかもしれません。各社員が必要のない情報を流出させていないか、また流出したら困るようなビジネス上重要なデータなど不要な権限がないか、常に権限の統制などを意識する必要があります。
上記3パターンの例を紹介しましたが、これらのパターンで唯一共通しているのが、全ての焦点が資格情報とアイデンティティなっていることです。これら資格情報とアイデンティティを効果的に管理することができるアイデンティティとアクセス管理(IAM)や、アイデンティティ統制と管理(IGA)のソリューションの必要性が叫ばれています。
アイデンティティの取り組みについては、局所的ではなく、包括的なソリューションの考え方が必要ですが、何よりも優先事項として挙げられているのが多要素認証 (MFA) の必要性です。
今こそMFAが必要。それはどんな技術なのか?
パスワードが1960年代紹介されて以来、コンピュータシステムを保護するための事実上のデファクトスタンダートとなっています。しかし、パスワードでセキュリティ管理をする欠点は、パスワードを知っている人や推測できる人であれば誰でもアカウントにアクセスできるということです。そして、 50年余りが経った現在の私たちが住む社会は、もはやパスワードだけではシステムを保護することが困難になっている場所へと変容してきました。ありとあらゆるサイバーセキュリティ攻撃やソーシャルエンジニアリングなどで盗まれたパスワードは数え切れないほどあると想定されています。フィッシングメール、ロギングキーストローク、パスワードスプレー、辞書攻撃、および他の多くの無数の方法などの悪意のある技術は進化し続け、もはやパスワードだけでは安全でない状況になって来ました。ここで重要になってくるのが、多要素認証(MFA)です。
多要素認証 (MFA) は、認証に2つ目の層 (および場合によっては2つ以上) を追加する方法です。ユーザーは知識ベースの認証、継承認証、および所有認証の3つのどれかを登録する一方で、パスワードとサードパーティ製の認証アプリがワンタイムパスワード(OTP)を提供し、二要素認証(2FA)による保護層を追加できるようにします。認証方法の具体例としては、メール検証、SMS検証、Google 認証システム、デュオセキュリティ、RSA SecurID 、Yubikey 認証システムなどが挙げられております。
*ManageEngine ADSelfServicePlusと互換性のある多要素認証(MFA)のファクターについては、こちらを
チご覧ください。
MFA が新しいデファクトスタンダードとなる時代が到来 、準備はできていますか
実は長年にわたり、IT チームのリーダーは、多要素認証(MFA)が組織のセキュリティを確保するための効果的な方法であることは既にわかっていました。しかし、セキュリティや管理が改善される反面、利便性・自由度・アクセサビリティが損なわれるという印象があり、多要素認証(MFA)導入が二の足を踏んでいる状態が続いていました。今後も導入を検討する際、一部の個人や特定の事業部が難を示し、まだMFA未導入の企業が社内全体でのコンセンサスを得るためには、長いコミュニケーションの時間が必要となることでしょう。
しかし、昨今ではクラウドのサービスプロバイダーやその他の大手ベンダーが多要素認証(MFA)
を強く奨励し始めている動きがあります。
- 2014年、ホワイトハウスは、MFAによるアカウントの保護に焦点を当てて、行政命令13681に基づいて拡大するサイバーセキュリティ国家行動計画(CNAP)を発表しました。
- 2018 非営利組織である国家サイバーセキュリティアライアンス(NCSA)は、グーグル、フェイスブック、アップルなどの大手テクノロジーベンダーに対し、MFAの一種である2FAの使用を促進するよう指示しています。
- 2019 マイクロソフトは、ビジネス パートナーの一部をクラウド ソリューション プロバイダー パートナー プログラムに実装することを義務付けています
- Google はユーザーに対して必須 MFA の新しい標準を発表しました。
- 某大手CRM企業は、2022年2月までにMFAをエンドユーザー顧客に必須要件にするという大胆な選択をしました。
- 2022年8月にはバイデン大統領がグーグル、フェイスブック、アップル、アマゾン、JP モルガンらの幹部CEOに呼びかけ、MFAを含むより強化なサイバーセキュリティ対策の実装の呼びかけをしました。
多くの業者がゼロトラスト・セキュリティを実現するにあたって多要素認証(MFA)をユーザーやパートナー企業に圧力をかける動きが加速すると同時に、オンプレミス、クラウド、ハイブリッドなどで多様化するITインフラストラクチャ全体での多要素認証(MFA)のために、さらにそれらを管理、統制をするIAM、IGAソリューションへの着目が進むでしょう。アイデンティティ管理の課題や問題について考えることは、今後の組織にとって最優先事項の1つになる可能性が高いです。
では、日本の企業に対してどのように影響があるか?
中期的なITセキュリティ戦略の一環としてMFAを実装する
多要素認証(MFA)のような新しいセキュリティ対策の導入は欧米や一部のグローバル企業だけを中心とした動きだという印象を持たれるかもしれません。しかし、日本国内でも経済産業省をはじめとして、国内企業のIT投資やIT戦略へ指南する動きがあります。
2018年に経済産業省により発表されたデジタルトランスフォーメーションに於ける「2025の崖」
では、日本企業へのIT及びDX戦略に於ける考え方を指南しています。このレポートの作成された意図として、日本の経済全体が2025年以降に年間最大12兆円の損失を被らなければならないことを警告しています。様々な指標や要因は、日本全体のIT戦略や投資の考え方の大部分が、他のIT先進国に比べまだ遅れていることを示しています。
本レポートの中身としては、まず1つに5Gや自動運転車などの社会的に大きな影響を与える新しい技術への対応と、2つに2025年までに最大 430,000 人不足すると言われるIT人材面での指摘、3つに古いWindows OSや基幹システムなどのレガシーシステムから新しいシステムやクラウドの移行、及び4つにアジャイルソフトウェア開発のような新しい技術とその手法を取り入れることに対しての警告を鳴らしています。米国やヨーロッパでは法整備や政府からの直接的な呼びかけにより、ITの全般的な投資、またセキュリティへの投資を進める圧力が増してきています。
これは日本国内での同じような圧力をかける動きなのかもしれません。この2025年までのタイムラインの中には当然WindowsOSの各バージョンのサポート終了(EOS)なども含まれております。新しいバージョンにはMFAが標準搭載されているものあり、今後その機能を使うか否かを短期・中期・長期の戦略に組み込むときが来たのかもしれません。
これらMFA、IGA、IAMなどのようなデファクトスタンダードとなる製品は早い段階でPoC、動作検証、プラニングなどを含めてIT戦略に組み入れていく必要性があると考えられます。
2021 年後半から 2022 年初頭にかけては、ID 管理と ID 統制ソリューションの新時代が幕を開け、サードパーティベンダーなどの組織を含むベンダーが、エンドユーザーにMFAと効果的な IGA 戦略を採用するよう強制する動きが見えてきています。今こそ、組織の中期的なセキュリティ戦略の一環として、ADSelfService Plusなどの IAM/IGA ソリューションと共に包括的でセットアップが容易な MFA ソリューションを採用し、組織全体で ID を効果的に管理、また同時に包括的なレポート機能で法規制やコンプライアンス基準を満たすような体制を整えては如何でしょうか?
どのように管理するか?ADSelfService Plus
MFA は知識ベースの要因、継承要因、および所有要因を組み合わせたもので、パスワードとサードパーティ製の認証アプリの機能を有効にして、ワンタイム パスワード (OTP) を提供し、2 要素認証 (2FA) による保護層を追加します。
ADSelfServicePlusはセルフパスワード
リセットやアカウントのアンロックなどの機能を実現する、エンタープライズ向けのパスワード
管理ソリューションです。これらの中として、MFA、メール検証、SMS 検証、Google認証システム、Duo Security 、RSA SecurID、Yubikey認証システムなどと組み合わせることによって、より堅牢なアクセス制限をかけることができます。
また、 シングル サインオン (SSO) およびパスワード ポリシーエンフォーサ用の機能もパッケージの一部として含まれます。
>>ADSelfService Plusについてはこちら
AD360を使って管理することもできます。
MFA が今後のID保護の標準になるのと同じくらい、その使いやすさのパスワードは、ID 認証の 1 つのコンポーネントとして残る可能性が高くなります。ManageEngine AD360 ではパスワードマネージャーが含まれており、パスワードの長さ、複雑さ、有効期限などのネイティブツールで使用できるさまざまなポリシーを適用して、ユーザーの利便性が悪くなる可能性があります。
ManageEngine AD360 を使用すると、辞書の単語の使用を禁止する、OU とグループに対して異なるパスワードルールを細かく設定する、電子メール、SMS、またはプッシュ通知を通じてユーザーにパスワードの有効期限アラームを設定するなどのポリシーをさらに強制できます。
>>AD360についてはこちら
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。