fbpx

学校での多要素認証:SSOとMFAを組み合わせて生徒を保護する

学校には問題があります。そして、それは成長しています。教育業界はサイバー犯罪者の攻撃を受けています。ランサムウェア攻撃は増加していますが、金銭的利益を得るためのサイバースパイや伝統的なサイバー犯罪も増加しています。以下は最近の攻撃のほんの一部です。

  • 2018年-イランのハッカーは、世界中の300の大学を攻撃して、貴重な知的財産とデータを公開しました。彼らは学校のウェブサイトの偽のバージョンを作成しました。ユーザーが偽のサイトでユーザー名とパスワードを入力すると、ハッカーがそれらを使用できるように、ログイン資格情報が取得されました。
  • 2018年- 従業員が別の大学から送信されたように見えるフィッシングメールの添付ファイルを開いた後、ハッカーが北東部のコミュニティ大学から$ 800,000を盗みました。添付ファイルはマルウェアを実行し、大学の銀行機関のように見える偽のサイトを作成しました。資格情報を取得し、ハッカーがログインして送金できるようにしました。
  • 2019年5月-ノースウエスタン大学の従業員がフィッシングメールのリンクをクリックした後、ハッカーは600人を超えるユーザーの個人情報にアクセスできました。ハッカーはまた、従業員のメールアカウントを使用して、全国にフィッシングメールを送信しました。
  • 2019年(報告済み)—中国のハッカーは、軍事研究開発における人工知能技術に関する情報を収集しようとして、24を超える大学を攻撃しました。ハッカーは、提携大学から来たように見えるスピアフィッシングメールを送信し、ユーザー名とパスワードを取得するために資格情報収集ツールをインストールしました。

よく見ると、これらの攻撃の共通点がわかります。ハッカーはユーザー名とパスワードを入手することに集中しており、フィッシングメールを利用することがよくあります。

パスワードの数を減らす:シングルサインオン

教育部門の違反の4分の1はWebアプリケーションに関係しています。また、80 %以上が盗まれた資格情報を使用していました。これが、学区、大学、カレッジがすべてシングルサインオン(SSO)ソリューションを急速に実装している1つの理由です。

シングルサインオンを使用すると、ユーザーは1組の資格情報(ユーザー名とパスワード)だけで1回ログインするだけで、複数のアプリケーションとWebサイトに安全にサインインできます。SSO は、学生、教職員、卒業生が必要とするパスワードの数を減らします。SSOを正しく実装すると、ユーザーは1つのパスワードを使用して、すべてのクラウドアプリと学校で管理されているすべてのレガシーアプリにアクセスできます。

SSOはどのように機能しますか?

SSOは通常、アプリでの認証にSecurity Assertion Markup Language(SAML)と呼ばれる標準プロトコルを使用します。SAMLは、XMLベースのオープンスタンダードであり、OASISセキュリティサービス技術委員会の製品です。ほとんどのSaaSベンダーは既にSAMLをサポートしているため、SSOソリューションを簡単に使用できます。たとえば、広範なアプリカタログには、G Suite、Office 365、Workday、Blackboard、Schoology 、その他数千のアプリのSAML統合が含まれています。

SAML SSOを使用すると、アプリケーションはユーザーを直接認証しなくなります。アプリはユーザーパスワードを保存しませんが、代わりにIDプロバイダー(SSOソリューション)に依存して認証を実行し、IDデータをアプリケーションに渡します。IDプロバイダーのみがIDデータを渡すことができるようにするために、2つのパーティはデジタル署名に依存します。これにより、アプリケーションは、IDデータが信頼するIDプロバイダーからのものであることを確認できます。

学生、教員、または従業員は、ポータルを介して、または直接アプリにアクセスして、アプリケーションを起動できます。ユーザーが学習管理システムなどのアプリにアクセスしようとすると、次のようになります。

  1. ユーザーがリモートアプリケーションにアクセスし、アプリケーションが読み込まれます。
  2. アプリケーションはユーザーの出所を識別し、アプリはシングルサインオン用に構成されているため、ユーザーをIDプロバイダーにリダイレクトし、認証を要求します。これは認証要求です。
  3. ユーザーは、まだサインインしていない場合は、ユーザー名とパスワードを使用してIDプロバイダーにログインします。
  4. IDプロバイダーは、ユーザーのユーザー名または電子メールアドレスを含むXMLドキュメントの形式でSAML応答を生成し、X.509証明書を使用してそれに署名し、この情報をサービスプロバイダー(アプリケーション)に投稿します。
  5. アプリケーションはSAML応答を受信し、SAML SSOセットアッププロセス中にサービスプロバイダーに以前に提供されたx.509 証明書を使用してそれを検証します。
  6. ユーザーのIDが確立され、ユーザーはアプリにアクセスできます。

パスワードなしの認証への移行

シングルサインオンには、セキュリティ上の大きなメリットがあります。調査によると、72%の人がパスワードを思い出せません。70%の人がパスワードを再利用するのも不思議ではありません。これは明らかにセキュリティに優れていません。ユーザーは次の傾向があります。

  • すべてに同じパスワードを使用する
  • パスワードを変更しないでください
  • パスワードをプレーンテキストで保存する

最悪の場合、パスワードを忘れてリセットを要求するだけです。ITスタッフがユーザーパスワードのリセットに何時間も費やすので、何度も何度も時間とお金が失われます。

教育の未来がパスワードなしの認証である理由です。SSOを使用すると、ほとんどの方法でアクセスできます。

パスワードをなくすと、文字通りハッカーの機会が減ります。ただし、パスワードが学校のデータとシステムと犯罪者の間の唯一の障壁である場合、盗まれた1つのパスワードでも多すぎます。

そこで多要素認証が登場します。

セキュリティギャップを埋める:多要素認証

Multi-Factor Authentication(MFA)は、侵害される可能性のあるパスワードだけに依存するのではなく、複数の認証要素を要求することによってユーザーのIDを検証します。通常、1 分以内に期限が切れるワンタイムコードや、指紋や顔認識などの生体認証要素など、追加の認証要素はより強力です。

強力な認証要素は、簡単に侵害されることがないため、ユーザーのIDに関する保証を強化します。MFAを使用すると、サイバー犯罪者はユーザー名とパスワードを盗む可能性がありますが、ログインを試みるときに別の方法で身元を確認する必要があるため、犯罪者は妨害されます。

MFAの歴史

認証はテクノロジーとして進化し、進化を続けています。通常、認証の歴史における3つのフェーズについて説明します。

フェーズ1

パスワードやPIN など、知っていること(知識)に基づく認証。

含まれるもの:

  • ユーザー名
  • パスワード

フェーズ2

バッジやスマートフォンなど、知っているものと持っているもの(所有物)に基づく認証。

含まれるもの:

  • 電話
  • スマートカード
  • 物理デバイス

フェーズ3

指紋や顔認識などのバイオメトリクスによって示される、知っているものとあなたが持っているもの(継承)に基づく認証。

含まれるもの:

  • 指紋
  • アイスキャン
  • 顔認証
  • 個人のセキュリティに関する質問

どんな追加の要素も、ないよりは優れています

それに直面してみると、追加の要素が役立ちます。このペーパーの冒頭で説明したデータ侵害が示すように、サイバー犯罪者がユーザー名とパスワードを盗むのはあまりにも簡単です。彼らはマルウェアを介してリモートでそれを行うことができます。

しかし、犯罪者がラップトップや電話などの物理的なデバイスも盗む必要がある場合、犯罪が成功する可能性は低くなります。特定のユーザーの電話をユーザー名とパスワードとともに盗むには、はるかに協調した努力が必要です。ユーザーにスマートフォンから指紋を入力するように要求するか、顔認識を使用するように要求すると、ハッキングに対する別の大きな障害が発生します。

そのため、より多くの教育機関が多要素認証の追加を検討しています。そしてそれが、サイバー保険会社が多要素認証の使用を保証する機関をますます必要とする理由です。

MFAの仕組み

MFAは、ユーザーの速度を低下させることなくセキュリティを向上させる、合理化された多要素認証ソリューションを提供します。MFAには以下が含まれます。

  • スマートフォンでQRコードをスキャンして簡単登録
  • 使いやすいプッシュ通知
  • デバイスを紛失した場合のバックアップと復元
  • デバイスの衛生状態を検証する機能

それは簡単な登録プロセスから始まります。学生や卒業生などは、携帯電話でQRコードをスキャンするだけで登録できます。長いパスコードを入力する必要はありません。ユーザーが複数のコードを入力しても遅延はありません。

プッシュ通知を使用して、高速認証を保証します。学生、卒業生、または従業員がアプリケーションにログインしようとすると、ユーザーにチャレンジします。学生がバイオメトリック対応のラップトップを持っているとしましょう。そのデバイスを介して学生にチャレンジし、学生はラップトップでバイオメトリクスを使用して確認します。

より一般的には、プッシュ通知はユーザーの電話に送信されます。ユーザーが携帯電話でアプリを開いてピンを見つけ、入力する代わりに、デバイスのボタンを押すだけです。必要に応じて、生体認証を備えたデバイスでも確認します。

MFAは、次のようなさまざまなプロバイダーとメソッドをサポートしています。

  • セキュリティに関する質問
  • SMS経由のワンタイムコード
  • 電話
  • Duoのセキュリティ
  • Google認証システム
  • Symantec VIP Access
  • ユビコユビキー
  • RSA SecurID

ユーザーのデバイスに制限を設定して保護を強化できます。たとえば、ジェイルブレイクされたデバイスをブロックしたり、ユーザーにロック画面を要求したりすることができます。また、デバイスが紛失または盗難にあった場合、バックアップと復元機能を使用していれば、MFA設定を新しいデバイスに復元できます。

多要素認証は、シングルサインオンを超えて、ユーザーアカウントとデータを保護します。シングルサインオンにより、ユーザーは1つのパスワードで必要なものすべてにアクセスできます。多要素認証は、追加のデータを要求し、アクセスを要求する人の身元を確認することにより、パスワードの盗難からユーザーを保護します。

適応認証:旅の合理化

MFAはコンシューマーエクスペリエンスで普及しており、ログインしている学生は、PINの入力、モバイル認証アプリの使用、その他の課題への対応に慣れています。それでも、MFAを追加するとワークフローが複雑になったり遅くなったりすることが心配な場合は、オプションがあります。妥協できないのはセキュリティです。

そこで、最新の認証イノベーションが登場します。これは、リスクベース認証または適応認証と呼ばれます。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、キャンパスのWi-Fiにあるからといって、必ずしもユーザーログインが安全であるとは限りません。逆に、自宅から自分のコンピューター経由でアクセスする教員は、これがそのデバイスでのユーザーの通常の場所と動作であれば、完全に信頼できる可能性があります。適応認証では、このようなユーザーコンテキストが考慮されます。

リスクベース認証は、機械学習を使用して場所やデバイス全体でユーザーの行動を追跡し、そのユーザーの行動プロファイルを構築します。これに対して、認証決定をリアルタイムでリスクスコアリングし、多要素認証のトリガーに使用できます。優れたサービス・プロバイダは機械学習を使用して、次のような幅広い入力に基づいて、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。

  • ユーザーの場所と最近の旅行パターン
  • ユーザーが使用しているIPアドレス
  • ユーザーがログインしている時刻
  • ユーザーがアクセスしているデバイス

リスクベース認証は、ユーザーが作成したプロファイルに基づいて、新しいログイン試行のリスクをスコアリングします。リスクスコアが高いログイン試行には、より多くの認証が必要です。

さまざまなユーザーとグループについて、デフォルトで追加の要素をユーザーに求めるようにするかどうかを決定し、リスクプロファイルが低い場合にのみユーザーに少ない要素を求めるようにします。これは機密扱いの研究プロジェクトに従事している人には適切かもしれません。または、デフォルトでユーザー名とパスワードを要求し、リスクプロファイルがより高いリスクを示している場合は追加の要素を要求することもできます。このレベルの制御により、各タイプのユーザーが適切な認証プロセスを取得し、安全である限り常に合理化された状態に保つことができます。

結論

キャンパスとデータを保護するための熱が学校にあります。教育は、2018年のセキュリティスコアカードレポートで、サイバーセキュリティに関してすべての業界の中で最下位にランクされました。また、評判の高いPonemon Instituteは、米国の教育業界におけるデータ侵害の平均コストはレコードあたり245ドルであることを発見しました。コストを超えて、違反はあなたの教育機関の評判と学生と教員を採用する能力に長期的な影響を与える可能性があります。

同時に、ユーザージャーニー、特に学生と卒業生のスムーズなジャーニーを維持する必要があります。競争力を維持するには、ユーザーが情報を入手してタスクを完了するための障壁を簡素化および低減し続ける必要があります。

そのためには、シングルサインオンとMFAが重要です。この強力な組み合わせは、教育機関のセキュリティの未来です。シングルサインオンは、ユーザーが必要とするパスワードの数を減らし、ハッカーの機会の数を減らします。多要素認証は、他の認証要素を追加するため、保護としてパスワードだけに依存しているわけではないことを保証します。また、適応認証の機械学習を使用して、必要な場合にのみ追加の要素をユーザーに要求できます。

SNSでもご購読できます。