TOPセキュリティ > Microsoft環境での2要素認証の見直し、そのポイントと...

セキュリティ

Microsoft環境での2要素認証の見直し、そのポイントとは(前)

2022/05/10

Susan Bradley CSO

 クラウドにせよオンプレミスにせよ、2要素認証には攻撃を抑制する効果がある。2要素認証が導入されているのを見て、攻撃者があきらめてくれれば申し分ない。しかし、それでも攻撃を仕掛けてくるとしたらどうだろうか。現在の2要素認証で、攻撃をきちんと防御できるだろうか。場合によっては手法や設定の見直しが必要だ。

Credit: Farakos / Getty Images
Credit: Farakos / Getty Images

 筆者がかつて2要素認証を導入する際に考えたのは、シンプルかつ効果的に機能する仕組みであること、邪魔にならないこと、不正な認証の余地をなるべく与えないことだった。そのうえで社内の環境を防御する必要性と、リモートアクセスを実現する必要性とのバランスを考える必要があった。2要素認証の導入に関与したことがある方は、おそらく同じような経験をしてきたものと思う。

スマホで本人を確認

 筆者の場合、2要素認証の要件を初めて準備したときは、まずスマートフォンを持っている人といない人を洗い出す必要があった。2要素認証では2番目の要素として何らかの物理デバイスを利用することも多い。初期のころは、セキュリティーキーなどのデバイスが必須となることが多かった。さらに、そのデバイスを使ったアクセスがうまく機能しなかったときに入力する予備のコードを生成したものだ。だがその後、スマホのアプリを使って承認のための通知や数字を受け取る仕組みも取り入れられるようになった。ユーザーがスマホ上で所定の操作や入力を行うと、アクセスが可能となる。

 2要素認証に関して、スマホのSMSにのみ依存した手法は必ずしも安全ではないとの指摘がある。SIMのクローンやスワップなどの手法により、電話番号の乗っ取りやなりすましの被害に遭う恐れがあるからだ。しかし、例えばSMSを使った2要素認証にのみ対応しているオンラインバンキングがあったとしても、アクセスをパスワードのみで行うのに比べれば、SMSを組み合わせる方がやはり安全と言えよう。ただし、SMSのみを使う2要素認証は米国立標準技術研究所(NIST)も推奨していない。

↑ページ先頭へ