TAP IMAGE TO ZOOM IN

2021年1月15日

多要素認証でリスクを最小限に抑える

認証方式の種類によってその強度は異なりますが、最も強力な認証では複数の要素が使用され、ソーシャルエンジニアリングへの耐性があります。

エンタープライズシステムとデータをうまく保護するには、セキュリティと利便性のバランスが大事だと言われています。これはほぼ正しいと言えるでしょう。使いやすいシステムはセキュリティが低く、セキュリティ制御で制限されたシステムは使いにくいという傾向があります。パスワードは良い例です。パスワードは十分に使いやすいですが、あまり効果的なセキュリティは確保されません。

最新のVerizon社によるデータ侵害調査レポートによれば、さまざまな攻撃手法の中で認証のハッキングが蔓延しています。インシデントの45%で、攻撃者は何らかの認証ハッキングを用いており、これには、パスワードを標的としたブルートフォース攻撃が含まれていますが、この種の攻撃は最も多く引用されています。実際に、攻撃の37%で認証情報が悪用されていました。認証情報ベースの攻撃は、攻撃の17%で使用されていたマルウェアをはるかに上回っています。

 

好調な多要素認証の市場

もちろん、企業も手をこまねいているわけではなく、アクセス認証情報を中心に防御を強化しています。認証プロセスを防御する最も効果的な方法の1つは、正常にログインするために必要な要素の数を増やすことです。要素ごとに検証チェックが追加されると考えてみましょう。これらの検証チェックを構成するのは、ユーザーが知っている情報 (ユーザー名、パスワード、PIN)、ユーザーが所有しているもの (スマートカードやハードウェアトークン)、人に備わっている特徴 (指紋や虹彩などの身体的な特徴) です。多要素認証では、複数の要素を使用してユーザーが本人であることを検証します。

多要素認証はセキュリティを高めてくれますが、これまでは積極的に採用されていませんでした。これにはいくつかの理由があります。多要素認証は、企業にとってパスワードの管理よりもはるかにコストがかかります。また、パスワードのみを使用する場合と比べて、ユーザーは不便になります。追加のコストがかかり、利便性が低下するので、多要素認証を多数の企業に販売することは簡単ではありませんでしたが、使用されるテクノロジーが手頃な価格になり、使いやすくなると、状況は変わりました。

パスワード管理プロバイダーであるLastPass社が実施した約47,000の組織を対象とする分析によれば、57%の組織が多要素認証を採用していると回答しています。前年比で12%の増加であり、かなりの伸び率です。この分析によれば、多要素認証を使用する従業員の95%がアプリケーション内で認証を行っていました。興味深いことに、トークンなどのハードウェア認証を使用していたのはわずか4%で、生体認証を使用していたのは1%にすぎませんでした。

在宅勤務への大規模な移行は、多要素認証の販売にとって大きな追い風となりました。
多要素認証の導入は増え続けると予想されています。Global Industry Analysts社のレポートによれば、多要素認証の業界は2027年までに毎年約14%成長していき、その内、Two-Factor認証の市場は毎年約13.2%成長して2027年までに149億ドルに達すると予想されています。

在宅勤務への大規模な移行は、多要素認証の販売にとって大きな追い風となりましたが、リモートワークは攻撃者に多くのチャンスを与えています。リモートで働く従業員は家庭のネットワークからアプリケーションにアクセスすることが多く、侵入検知システムや侵入防止システム、異常検知、Webコンテンツ制御などの高度なエンタープライズ向けの防御策を持っていないので、彼らのシステムは攻撃を受けやすくなっています。おそらく最も大きな脅威は、ユーザー名とパスワードを入手しようとするフィッシング攻撃です。

多要素認証は、このシナリオを防ぐことを目的としています。攻撃者が侵入するには、ワンタイムパスワードの入力、ハードウェアトークンの使用、または生体認証の突破が必要になるため、認証プロセスを通じたシステムの侵害は大幅に難しくなります。同様に、多要素認証は企業がキーロガー、クレデンシャルスタッフィング、さらには中間者攻撃を防ぐために役立ちます。クレデンシャルスタッフィング攻撃では、攻撃者はあるサイトから保管してあるユーザー名とパスワードを入手し、他のサイトでその認証情報を試します。ユーザー名とパスワードを使い回す人が多いので、この手法は成功を収めています。

 

多要素認証による攻撃者との競争

もちろん、これらの多要素認証の手法は絶対に安全というわけではありません。たとえば、SMSベースの認証 (ユーザーの携帯電話にワンタイムパスワードが送信されます) に対して、攻撃者はSIM (加入者識別モジュール) スワッピング攻撃を行うようになってきています。SIMスワッピング攻撃では、攻撃者は通常、携帯キャリアをだまして新しいSIM (攻撃者が所有するもの) をアクティブ化させようとします。成功すると、攻撃者は標的となるユーザーの携帯電話番号、さらにはSMSベースの第2要素による認証を乗っ取ることができます。

昨年、FBIは、インターネット犯罪苦情センターへの苦情が増えていることを挙げて、SIMスワッピング攻撃が増えており、攻撃者がSIMスワップを使用して攻撃することが増えていると企業に警告しました。

攻撃者がTwo-Factor認証をバイパスすることができる自動フィッシング攻撃ツールも存在します。昨年、Webプロキシとして機能するツールキットがHack in the Boxカンファレンスで注目を浴びました。被害者が誤って悪意のあるWebサイトで認証を行うと、そのセッショントークンが攻撃者に提供されます。そのトークンを使用すると、標的となるWebサイトの認証を行うことができます。本物のWebサイトはこれを正しく認証されたユーザーセッションと解釈するのです。

さらに、Two-Factor認証は、その実装の弱点や他のシステムの弱点を攻撃することでバイパスできます。1つの手段として、セルフサービスによるパスワードのリセットを悪用することが挙げられます。ユーザーがパスワードのリセットを行うと、第2要素による認証が求められずに直接アプリケーションやサービスにアクセスできる場合があります。攻撃者がそのプロセスに割り込むことができれば、アクセス権を得ることができます。

その他の例では、シングルサインオンシステムが悪用される場合があります。このシステムでは、ユーザーが第2要素による認証を必要とするサイトにログインすると、別のサイトがOAuth要求を通じてその認証を信頼し、そのサイト自体は追加の認証を要求しないという仕組みになっています。攻撃者がこの弱点を悪用すると、他のサイトへのアクセスが可能になります。(OAuthは、あるサイトが、別のサイト (通常はGoogle、Apple、Amazonのような有名なサイト) にユーザーの認証をまかせることができるWeb標準です。)

このような状況によって、多要素認証の将来はどのようなものになるでしょうか。おそらく、多要素認証の普及がさらに進み、新しい取り組みが生まれるでしょう。また、ユーザーが攻撃者の半歩先を行こうとすることで、認証方法が進化して使いやすさとセキュリティが向上していくと考えられます。

 

多要素認証の進化

長年にわたって、企業はRSAハードウェアトークンやスマートカードをユーザーに所持してもらうことを試みていましたが、不便で費用がかかるため、これらはニッチなデバイスのままでした。しかし、スマートフォンの普及によって状況が変わりました。スマートフォンを使用することで、ユーザーは、指紋認証や顔認識による生体認証や、SMSを通じて送信されるかアプリ内から信頼できるデバイスにプッシュされるワンタイムパスワードによる認証に慣れていったのです。

今や、モバイル形式の認証を使用して財務アプリ、ソーシャルメディア、企業のコラボレーションツールにアクセスすることは一般的になっています。モバイル認証の普及によって、将来の多要素認証の多くは持ち込み型のものになるでしょう。ITチームがハードウェアトークンやスマートカードを導入する代わりに、ユーザーは各自の認証デバイスを持ち込みます。アプリケーションに組み込まれた独自仕様の認証サービスに加えて、Authy、Google Authenticator、Microsoft Authenticatorなどの第2要素による認証サービスが利用されるようになり、使用するソフトウェアによって、利用するサービスが決まります。

セキュリティが強化されるだけでなく、これまでに説明した攻撃手法の影響を受けにくいため、ハードウェア認証キーも成功を収めつつあります。ハードウェアトークンを使用する場合、ユーザーがその場にいる必要があるので、これらのキーは、SMSを通じて送信されるワンタイムパスコードより堅牢なセキュリティを確保できます。たとえば、ハードウェア認証キープロバイダーのYubico社は最近、YubiKey 5C NFC (近距離無線通信) トークンを発表しました。このようなセキュリティキーでは、キーを挿入した後に、パスワードを入力するかYubiKeyにタッチして指紋認証を行うことで、ユーザー認証を行うことができます。

ハードウェア認証キーは単独で使用できますが、さまざまなプロトコルをサポートしています。対応するプロトコルには、FIDO2、WebAuthn、スマートカードPIV (個人識別認証)、OATHプロトコル、OpenPGP、YubiOTP、チャレンジレスポンスなどがあります。これにより、複雑なエンタープライズ環境でアイデンティティ管理システムやアクセス管理システムと組み合わせて使用することができます。

ソフトウェアアプリケーションやオンラインサービスプロバイダーにおける多要素認証は、広く受け入れられるようになっています。最近、ManageEngine社は、自社のセルフサービス型パスワードソフトウェアADSelfService Plusでの生体認証、プッシュ通知、時間ベースのワンタイムパスワードなどの多要素認証のサポートを発表しました。また、グループビデオ会議サービスを提供するZoom社は、Zoom独自の認証情報に加えて、スマートカード、モバイルデバイス、生体認証を利用できるように多要素認証機能を拡張したことを発表しました。

 

将来の認証が目指すもの

これまでに説明したようなトレンドから、パスワードは過去のものとなり、ユーザーは自身のリソースにアクセスするために追加の認証要素を指定するようになるのでしょうか? そうなることはないでしょう。企業はおそらく今後も、ユーザーのリスク、データの機密度、アクセス対象のアプリケーションに応じて認証方式を選択します。リスクの低いアプリケーションやデータには、ユーザー名とパスワードによる認証が引き続き使用され、機密データや規制されたデータへのアクセスなど、よりリスクの高い状況では、企業は従業員に対して複数の認証方式を使用するように求めるでしょう。

残念ながら、より強力な認証を使用すると、セキュリティが強化されても利便性が下がってしまいますが、より優れた分析とリスクベースの意思決定が、将来の解決策の一部になるかもしれません。機械学習を活用したり、従業員の利用状況データを大量に収集して分析したりすることで、近いうちに適応型認証のような新しい手法が企業に普及する可能性があります。

適応型認証では、任意の時点でのユーザーとトランザクションの状態に応じて必要な認証レベルが決定されます。あらゆるトランザクションには、そのリスクを変える可能性がある多くの要素があります。たとえば、ユーザーが使用しているデバイスが信頼できるかどうか、ユーザーがいる場所 (オフィス、自宅、コーヒーショップなど)、ユーザーがアクセスしているアプリケーションの種類、ユーザーがその特定のアプリケーションによくアクセスしているかどうかといったことです。一般的な既知のトランザクションであればリスクは低いので、必要な審査は少なくて済みますが、一般的でないか安全でないトランザクションであれば、より多くの認証、つまり、ユーザー名とパスワードだけでなく、トークンや生体認証も必要になります。

今後、どの認証方式が主流になるかについて明確な答えはありませんが、1つ明らかなことは、認証プロセスを保護するための戦いは当分終わらないだろうということです。使いやすさを維持しながらセキュリティを強化する認証のイノベーションは進化し続けるでしょう。

 

多要素認証: リーダーのためのアドバイス

  • 信頼性を効果的に確保するには強力な認証が欠かせません。
  • 昔ながらの方法では不十分です。強力なパスワードであっても、それだけではあまりにも脆弱です。
  • 暗号トークンのような非常に高度な認証方式は、実際にはかなり安価に利用できます。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。

enterprise.nxt
ニュースレターのご登録

enterprise.nxtから最新のニュースをメールで配信します。