fbpx

【ガイドライン】多要素認証ベンダーを選定する際の検討事項と前提知識

4つの重要な考慮事項 〜多要素認証の選択を導くために〜

多要素認証は、規模や業界を問わず、すべての組織にとって重要なセキュリティ要件です。しかし、すべての多要素認証システムが同じように作られているわけではありません。企業が投資を行うのであれば、多要素認証について十分に考え抜かなければなりません。選びぬいた多要素認証 ソリューションは、現在の要件を満たすだけでなく、将来のビジネスの成長と進化を可能にし、安全にする必要があります。

このガイドラインは、多要素認証に投資する際に考慮すべき重要な要素を理解するのに役立ちます。

①すべての従業員に対して1つのソリューションを: 業務フローと顧客をサポート

大抵のセキュリティ対策への検討は、内部のニーズを満たすことから始まります。多要素認証についても同様です。最初は、従業員や請負業者が企業のサーバーやアプリケーションに対して安全に認証できるようにするソリューションを探すことから始まります。組織が成長するにつれ、会社としてのプレゼンスが拡大し、強力な認証を必要とする顧客にもサービスを提供するようになります。モバイルアプリ、ウェブサイト、または顧客のログインを必要とするその他のデジタルな場を通じたサービスを提供することも考えられます。

IDとアクセス管理は、それぞれの立場によって異なるニーズがあります。
自社の社員と顧客では、それぞれのオーディエンスのニーズが異なります。例えば、一部の組織ではシームレスな多要素認証体験を社内のユーザーに提供することを重要視していないかもしれませんが、摩擦のない体験が顧客の満足度を高め、顧客との関係を維持するための重要な要件であることを理解しているでしょう。顧客へのサービス提供を拡大したいのであれば、顧客固有のニーズに対応するできる仕様が多要素認証ソリューションには必須となります。とはいえ、勿論多要素認証は社内のシステム利用者に対しても不足させるべきではありません。選択した多要素認証のベンダーが、社内ユーザーに可能な限り最高の体験を提供することも、同じくらい重要です。

既存の多要素認証システムが顧客認証のニーズに十分に対応できない場合、多要素認証のシステムを置き換えるか、2つ目の多要素認証ソリューションに投資するかの選択を迫られます。2つの多要素認証ソリューションを導入しても問題ないように思えるかもしれませんが、通常は継続的な問題や困難を引き起こします。まず第一に、2つの別々の多要素認証システムを維持することは、ライセンスコスト、管理作業、ヘルプデスクの負担を大幅に増加させます。第二に、多要素認証に関わるポリシーと機能に不整合が生じ、セキュリティ態勢にギャップが生じる可能性があります。多くの場合、このようなギャップは、企業の評判や財務状況にダメージを与えるまで気づかれずに進行します。

さらに悪いシナリオとしては、組織が単に顧客ユーザのために 多要素認証 を必要としないと判断した場合です。データ侵害の81%が脆弱なパスワードや盗まれたパスワードを利用したものであり、Google、Facebook、Twitter、Dropboxなど、かなりの数の公開アプリが顧客をより良く保護するために多要素認証を導入しています。顧客体験の中に 多要素認証 で保護されていないショッピングカートのアカウントが含まれている場合のように、直接的な金融攻撃への扉を開くことになるかもしれません。

多要素認証の必要性を評価する際には、単一部署の利害で考えるのではなく総合的に考え、将来を念頭に置いて計画を立てましょう。社内の従業員と外部の顧客の認証ニーズに完全に対応できるソリューションを選択してください。多要素認証システムは、市場投入のスピードを優先し、開発チームに負担をかけることなく、マーケティングや他の部門が作成したアドホックなプロジェクトに 多要素認証 を組み込むことができるようにする必要があります。また、多要素認証のシステムは、すべてのユーザー、特に社外に存在する実際の顧客に摩擦のない体験を提供する必要があります。

②多要素認証システムは複数の認証方法に対応していなければならない

多要素認証のベンダーを評価する際には、SMS、Authy のようなサードパーティ要因、プッシュ通知、 ハードウェア・トークン、FIDOなどの新しい仕組み、さまざまな要因を幅広く提供しているものを見つけることを最優先すべきです。これは、異なるタイプのユーザが異なるレベルのセキュリティと認証方法を必要とするからです。さらに、ユーザーに摩擦のない体験を提供するために、複数のオプションを提供できる必要があります。
オフィスの従業員に、プッシュ認証を主要な多要素認証 要素として使用させたい場合があるかもしれません。しかし、従業員の一人が誤って携帯電話を自宅に忘れてしまった場合はどうなるでしょうか。別の認証方法に対応していれば、他の選択肢をその従業員に提示することができます。

超機密情報へのアクセスの保護を強化するために、エンジニアや役員に U2F またはある種のバイオメトリクスの使用を要求したい場合があるかもしれません。また、時代遅れのハードウェア・トークンや高価なハードウェア・トークンのサポートを必要とするレガシー・システムを持っているかもしれませんが、多くのユーザに多要素認証要因として使用してほしくない場合もあるでしょう。 逆に、プッシュ認証や Authyのようなサードパーティ製の認証方法も顧客に選択させることができます。しかし、スマートフォンを持っていない、またはアプリをインストールしたくない顧客がいる場合はどうでしょうか?リスクの低い状況では、音声通話認証、電子メール、またはSMS認証などの他のオプションを選択させることができます。

多要素認証の認証方法に関しては、画一的なものしか提供していないベンダーだけではありません。さまざまなユーザーの固有の柔軟性、セキュリティ、ユーザビリティのニーズを満たすことができる多要素認証システムを選択し、適切な場合には費用対効果の高いファクターオプションを選択することができます。

③選択する多要素認証のベンダーは将来性があり、拡張が容易なプラットフォームでなければなりません。

成長と進化は、ビジネスが成功するためには当然のことです。多要素認証ソリューションは、その成長を可能にし、さまざまな分野でビジネスの進化を促進する必要があります。特に、昨今では労働環境が劇的に変わっており、ゼロトラストを実現することでそれに対応することも求められます。本当に様々な視点から多要素認証ベンダーを選定してく必要があります。

  • ビジネスの成長への対応
  • 他のID管理機能の追加
  • 多要素認証の適用範囲を拡大

事業成長への対応

事業が成長していくことを念頭に置いて多要素認証ソリューションを選択する必要があります。従業員、請負業者、顧客の数が増えるにつれ、多要素認証ソリューションは、新しいシステムの再導入や調達を必要とせずに、その拡大に対応する必要があります。これは、簡単に拡張できるだけでなく、新しいユーザーのオンボーディングを簡単かつシームレスに行う必要があることを意味します。

事業の成長は、新しいパートナーシップや合併につながることもあります。新しいビジネスユニット、パートナー、または請負業者のいずれかが独自のID管理 システムを持っている場合はどうでしょうか?選択した多要素認証ソリューションは、フェデレーションやプロビジョニングを活用してそのシステムと統合できますか?これらの新しいビジネスやパートナーが、モバイルや Web アプリなどの従来の方法ではない方法で新しいユーザーを獲得した場合はどうなりますか?選択した多要素認証のベンダーがこれらの異なるタイプの方法論と統合できるようにするために、追加のテクノロジーや異なるポイントに投資する必要があるでしょうか?多要素認証のソリューションを評価する際には、新しいユーザーを取り込む複数の多様な方法をサポートするために必要な柔軟性を備えた製品を選択するようにしてください。

アイデンティティマネジメント(ID管理)機能の追加

多要素認証 はID管理への始まりかもしれませんが、多要素認証を入れるだけではID管理の問題は解決しません。ビジネスが成長するにつれて、シングル・サインオン(SSO)、アカウント・ライフサイクル管理、さらには API ベースの認証などの機能を追加したいと思うかもしれません。たとえば、SSOソリューションを実装することで、多くの時間を従業員が時間を節約し、よりシームレスで摩擦のない業務の遂行を実現することができます。しかし、多要素認証ソリューションの中には、拡張を決定した後、SSOの調達、実装、および統合を手動で行う必要があるものもあります。さらに悪いことに、何年にもわかれたデータを同期し続ける必要があります。理想的には、次のような追加機能をサポートする多要素認証のプロダクトを選択すべきです。

  • ID管理を同一プラットフォーム上で実現
  • 拡張にはターンキーが必要で、追加の計画、ユーザーデータの移行、同期などを必要としない
  • 電源を入れるだけですぐに利用できるフルレンジのソリューション
  • 統合の手間で時間がかからない

多要素認証のカバレッジを拡大する

多要素認証は、単一の認証形態だけをサポートすることはほとんどありません。時間の経過とともに、提供するサービスやユーザー・エクスペリエンスの種類に応じて、様々なサービスやシステムに多要素認証を統合したいと思うようになるでしょう。その際、ヘルプデスクのチケッティング、人事サービス、顧客管理、プロジェクト管理、開発プラットフォーム、アプリケーション・デリバリ・コントローラ、その他多数のクラウド・アプリ(Office365等)、サービスが対象となります。

多要素認証のソリューションに投資する前に、現在提供している製品と将来的に提供される可能性のある製品をカバーするために、すぐに使える統合・連携機能が豊富に用意されているかどうかを確認してください。主要なソリューションとしか統合できない、あるいはベンダーに偏ったソリューションには注意してください。大規模なものから小規模なものまで、また確立された革新的な新しいソリューションまで、統合されていなければ、自分で統合を開発したり、そのための費用を支払ったりして、多大な時間と費用を費やすことになるかもしれません。さらに悪いことに、まったく統合できないことに気づくかもしれません。

構築済みの統合の大規模なライブラリを持つことに加えて、多要素認証を選択する際には、使いやすいSDK、ドキュメント、ウィジェットを備えた堅牢なAPIを提供し、カスタムWebアプリ、サーバーソリューション、iOSやAndroidアプリとの統合を容易にすることを確認してください。

④その多要素認証は、より最新の労働環境に適しているべき

多要素認証は、数年の間に大きく進化してきました。これは、2FA とも呼ばれる二要素認証から始まったもので、パスワードのセキュリティが十分に安全ではないという問題に対する最初の答えでした。2FAは通常、あらかじめ定義されたPIN番号またはSMSを使用して個人の身元を確認することで構成されていました。2FAの実装は通常、SMSゲートウェイや提供しているシステムやアプリケーションに統合するための社内開発を必要とするマニュアルな作業でした。

第 2 世代では、ハードウェア・トークンの使用により、本人確認が大幅に向上しました。 そのコンパクトな性質により、ユーザーはどこにでも簡単に持ち運べるようになりましたが、ハードウェア・トークンは簡単に紛失したり盗まれたりする可能性もあります。トークン 1 個あたり約 20 ドルのコストは低いように見えても、大規模な組織内のすべてのユー ザーに展開し、トークンを検証するために複数のサーバーをオンプレミスで維持することは、コスト面で不利になる。

第三世代の多要素認証は、ワンタイムパスワード(OTP)やプッシュ通知などのソフトウェアベースのモバイル認証機能を備えたクラウドに移行しました。ハードウェアトークンと同等の機能とセキュリティレベルを提供しますが、より低コストで機動性に優れているため、より活用しやすくなっています。クラウドの多要素認証は、セキュリティ、モビリティ、ユーザビリティ、柔軟性の面で多要素認証に大きな進歩をもたらしましたが、今日の現代のユーザーや組織が求める、より適応性の高い、シームレスで、摩擦のない、インテリジェントな機能という点ではまだ不十分です。

最新世代の多要素認証は、クラウド多要素認証をより広範なプラットフォームに拡張し、追加の統合作業を必要とせずにフルレンジの機能を提供します。組織は、多要素認証を選択する際に、次のような機能を提供していることを確認する必要があることを急速に認識しています。

  • リスクベースな多要素認証
  • 認証インテリジェンスとインサイト
  • 責任あるパスワードレス認証
  • ID・プロバイダの発見とルーティング
  • シングルサインオン、アカウントライフサイクル管理、APIとSDKを介したカスタム統合へのシームレスな拡張

リスクベースな多要素認証

リスクベースな多要素認証 は、多要素認証 にダイナミックでリスクベースのアプローチを採用し、認証セキュリティを大幅に強化すると同時に、これまで以上にシームレスで摩擦のないユーザー体験を提供します。リスクベースな多要素認証は、ユーザーとデバイスのコンテキスト属性を活用して、アクセス要求のリスクレベルをその場で評価し、その後、その要求に対する認証要件を拒否、ステップアップ、またはステップダウンするべきかどうかを判断します。以下のようなことを考慮することができます。

  • ユーザーの動作、デバイスの動作、または場所の変化としてユーザーが見慣れない場所や新しいデバイスから認証していないか?
  • 弱いパスワードが使用されていないか?
  • ブルートフォース攻撃の指標があるか?
  • ユーザーの行動に異常はありませんか?数分前や数時間前にログインしたばかりの場所から何千マイルも離れた場所からログインしようとしたか?

上記のケースのように、文脈上の指標がより高いレベルのリスクを示唆している場合、ポリシーは複数の層の多要素認証の必要性をトリガーにしたり、アクセスを拒否したりすることができます。

リスクベースな多要素認証の威力は、摩擦が必要ないときにはユーザーの摩擦を減らし、特定のリスク要因を検出したときにはセキュリティを厳しくすることができるということです。セキュアであることとユーザーフレンドリーであることのバランスは、リスクベースな多要素認証のない環境とリスクベースな多要素認証のある環境のアクセスポリシーをどのように構成するかで説明することができます。

例えば、リスクベースな多要素認証 を使用しない場合、ビジネスを行っておらず、ハッカーの活動の発信地として知られている特定の外国から認証を行おうとする人へのアクセスを拒否することができます。このような厳格なルールは、組織の安全を確保するのに役立ちますが、将来、新たな機会を求めてその国を訪問する可能性のある営業担当者や役員にとっては、ビジネスに大きな混乱をもたらす可能性があります。

このようなシナリオは、リスクベースな多要素認証を使用することで、安全でありながら、よりユーザーフレンドリーな方法で対処できます。特定の場所からのすべてのアクセスを拒否するポリシーを書く代わりに、リスクベースで判断した時に不審な疑いが高ければ、その時だけ追加認証を促すことができます。

また、リスクベースな多要素認証はポリシーとして、時間帯、使用しているデバイス、地理的な異常など、さまざまな文脈の条件を考慮して、認証要件をさらに厳しくしたり緩くしたりすることもできます。

スコアリングとインサイト

リスクベースな多要素認証では、スコアリングを活用して、疑わしいログイン動作と通常のログイン動作の違いを簡単に見分ける必要があります。そのためには、何千もの異なる組織から認証情報を収集し、何百万もの異なるログイン試行の属性を継続的に分析して比較する必要があります。
このようなスコアリングは、一見無実のように見えても、過去の分析に基づいて、この特定の条件の下では悪質である可能性が高いことを明らかにするログイン試行を可視化します。疑わしい活動の兆候があれば、多要素認証がポリシーに基づいて、アクセスの拒否や追加認証などの動的なアクションを決定することができます。

監視されたパスワードレス認証

多要素認証は、認証に余計なステップを追加することが多いため、一部の人は多要素認証自体に抵抗感を持つことがあります。しかし、スコアリングを活用し、リスクベースな多要素認証の動的なコンテキストに応じた追加認証と組み合わせることができれば、認証ステップとユーザーの摩擦を最大限減らすことができます。これには、パスワードの入力を促す代わりに、生体認証やプッシュ認証などの他の多要素認証要素を入力するだけの「監視された」パスワードレス認証を導入する機能が含まれます。監視されたパスワードレス認証と呼ばれるのは、パスワードレス認証を許可する前に、アクセスに関する文脈上の知識を実世界の関連するスコアリングを実施することで、アクセスの信頼性とリスクレベルを検証することです。

リスクベースな多要素認証 とスコアリングを組み合わせて、監視されたパスワードレスな認証を可能にする強力な側面の 1 つは、ユーザが何もしなくてもセキュリティを強化できることです。使用しているデバイスの知識、場所、アクセスした時間、過去のアクセスパターンなどのコンテキスト情報を利用して、非常に摩擦のない、それでいて安全な体験を実現することができます。

Idpの発見と採択

多要素認証を導入する際には通常、組織の IDおよびアクセス管理 (IAM) フレームワークの業務フローに統合します。しかし、内部システムへのアクセスを必要とするパートナーや請負業者の認証はどのように扱うのでしょうか?IAMフレームワークへのオンボーディングの作業を行っていますか?数人をオンボードするだけで済むのであれば、そうするかもしれません。しかし、それが数人以上の場合はどうしますか?

多要素認証のシステムは、IDのグルーピングを行ってくれるシステムを選定すべきです。 これにより、オンボーディングについて心配する必要がなくなります。パートナーや請負業者が独自の内部またはサードパーティの ID管理システムを使用できるようにするオプションを提供する必要がありますが、同時に、独自のポリシーに従って 多要素認証 を実施することもできます。

たとえば、パートナーのユーザーがポータルにログインすると、多要素認証システムは、そのユーザーがパートナーのIDPを使用する必要があることをユーザー名で検出し、認証のためにそのシステムを自動的かつ透過的に活用することができます。この機能により、請負業者やパートナーが独自の ID プロバイダを使用できるようになり、定義された 多要素認証 ポリシーに従って内部リソースへのアクセスを確保できるようになります。

多要素認証ベンダーを賢く選ぶ

多要素認証システムを提供するベンダーの選択は、社内のすべてのリソースへのアクセスをどの程度保護できるか、また、社内の従業員や外部の顧客に摩擦のない体験を提供できるかどうかを決定します。また、多要素認証の選択は、ビジネスを成長させ、新しい技術や将来のイノベーションを活用する能力にも影響します。よって、上記項目を全て考慮した多要素認証システムを、賢く選択しましょう。

SNSでもご購読できます。