fbpx

MFAが企業とその顧客を保護する方法

企業には問題があります。そして、それは成長しています。米国では、データ漏えいにさらされたレコードの数は、2017年の1億9,800万から2018年には4億4,600万に増加しました。Microsoftによると、フィッシング攻撃は2018年に250%増加しました。ランサムウェア攻撃も増加しています。サイバースパイや伝統的なサイバー犯罪も同様です。最近の攻撃の一部を次に示します。

  • 2018年- 暗号化されたクレジットカード情報を含むMarriott Starwoodのゲストデータベースへの不正アクセスにより、5億件のレコードが盗まれました。
  • 2018年-State FarmとDunkin Donutsはどちらも、クレデンシャルスタッフィング攻撃の犠牲になりました。ハッカーは漏えいしたユーザー名とパスワードの組み合わせを使用し、アクセスするまで他のアカウントで試しました。
  • 2019テキサス州の自治体— 22の自治体がランサムウェア攻撃の被害を受け、ハッカーは250万ドルを要求しました。攻撃者は、フィッシングメールを介して侵入する可能性が最も高く、そのような攻撃の最も一般的な方法です。
  • 2019 Quest Diagnostics — 患者の財務および医療情報を含む、1190万件のレコードが公開されました。無許可のユーザーが、データが含まれているAmerican Medical Collection Agencyシステムにアクセスしました。

ハッカーは、多くの場合フィッシングメールや認証情報の詰め込みを通じて、ユーザー名とパスワードを入手することに集中しています。顧客とビジネスをどのように保護しますか?シングルサインオンの上に多要素認証を重ねることにより保護します。

ステップ1:シングルサインオンでパスワードの数を減らす

Verizonの2019年のデータ侵害調査レポートによると、侵害の29%は資格情報の盗難に関係しています。パスワードは脆弱なリンクです。調査によると、72%の人がパスワードを思い出せないため、70%の人がパスワードを再利用しています。だからチャンスがあり、その盗まれたパスワードは、どこか別の場所で使用することができます。

企業が問題に対処する1つの方法は、従業員がリソースにアクセスするために必要なパスワードの数を減らすことです。このようにして、IT部門はユーザーが覚えておく必要がある1つのパスワードが安全なものであることを確認することに集中できます。パスワードの削減を可能にするテクノロジは、シングルサインオン(SSO)と呼ばれます。

シングルサインオンを使用すると、ユーザーは1組の資格情報(ユーザー名とパスワード)だけで1回ログインするだけで、複数のアプリケーションとWebサイトに安全にサインインできます。SSO は、従業員、請負業者、およびパートナーが必要とするパスワードの数を減らします。SSOを正しく実装すると、ユーザーは1つのパスワードを使用して、すべてのクラウドアプリとすべてのオンプレミスのレガシーアプリにアクセスできます。

SSOはどのように機能しますか?

SSOは通常、アプリでの認証にSecurity Assertion Markup Language(SAML)と呼ばれる標準プロトコルを使用します。SAMLは、XMLベースのオープンスタンダードであり、OASISセキュリティサービス技術委員会の製品です。ほとんどのSaaSベンダーは既にSAMLをサポートしているため、SSOソリューションを簡単に使用できます。たとえば、多要素認証の広範なアプリカタログには、G Suite、Office 365、Workday、Box、Salesforce、その他数千のアプリのSAML統合が含まれています。

SAML SSOを使用すると、アプリケーションはユーザーを直接認証しなくなります。アプリはユーザーパスワードを保存しませんが、代わりにIDプロバイダー(SSOソリューション)に依存して認証を実行し、IDデータをアプリケーションに渡します。IDプロバイダーのみがIDデータを渡すことができるようにするために、2つのパーティはデジタル署名に依存しています。これにより、アプリケーションは、IDデータが信頼するIDプロバイダーからのものであることを確認できます。

会社がすでにActive DirectoryまたはLDAPを使用してIDを管理している場合は、それを多要素認証に接続するだけで、ADまたはLDAPをシステムとして使用できます。多要素認証は、Active DirectoryおよびLDAPコネクタを介して、複数のフォレストおよびドメインを持つ複雑なディレクトリインフラストラクチャに簡単にプラグインできます。コネクタにより、ディレクトリ内のユーザーおよびグループメンバーシップへの変更がすべて自動的にプッシュされます。

パスワードなしの認証への移行

シングルサインオンには、セキュリティ上の大きなメリットがあります。ユーザーがパスワードを思い出せない場合、次の傾向があります。

  • すべてに同じパスワードを使用する
  • パスワードを変更しないでください
  • パスワードをプレーンテキストで保存する

最悪の場合、パスワードを忘れてリセットを要求するだけです。ITスタッフがユーザーパスワードのリセットに何時間も費やすので、何度も何度も時間とお金が失われます。

そのため、将来はパスワードなしの認証になります。SSOを使用すると、ほとんどの方法でアクセスできます。

パスワードをなくすと、文字通りハッカーの機会が減ります。 ただし、企業データと犯罪者の間の唯一の障壁がパスワードである場合、盗まれた1つのパスワードでも多すぎます。

そこで多要素認証が登場します。

ステップ2:多要素認証でセキュリティギャップを埋める

Multi-Factor Authentication(MFA)は、侵害される可能性のあるパスワードだけに依存するのではなく、複数の認証要素を要求することによってユーザーのIDを検証します。通常、1 分以内に期限が切れるワンタイムコードや、指紋や顔認識などの生体認証要素など、追加の認証要素はより強力です。

強力な認証要素は、簡単に侵害されることがないため、ユーザーのIDに関する保証を強化します。MFAを使用すると、サイバー犯罪者はユーザー名とパスワードを盗む可能性がありますが、ログインを試みるときに別の方法で身元を確認する必要があるため、犯罪者は妨害されます。

MFAの歴史

認証はテクノロジーとして進化し、進化を続けています。通常、認証の歴史における3つのフェーズについて説明します。

フェーズ1

パスワードやPIN など、知っていること(知識)に基づく認証。

含まれるもの:

  • ユーザー名
  • パスワード

フェーズ2

バッジやスマートフォンなど、知っているものと持っているもの(所有物)に基づく認証。

含まれるもの:

  • 電話
  • スマートカード
  • 物理デバイス

フェーズ3

指紋や顔認識などのバイオメトリクスによって示される、知っているものとあなたが持っているもの(継承)に基づく認証。

含まれるもの:

  • 指紋
  • アイスキャン
  • 顔認証
  • 個人のセキュリティ問題

どのような追加の要素もないよりは優れています

それに直面してみると、追加の要因が役立ちます。このホワイトペーパーの冒頭で説明したデータ侵害が示すように、サイバー犯罪者がユーザー名とパスワードを盗むのはあまりにも簡単です。

しかし、犯罪者がラップトップや電話などの物理的なデバイスも盗む必要がある場合、犯罪が成功する可能性は低くなります。特定のユーザーの電話をユーザー名とパスワードとともに盗むには、はるかに協調した努力が必要です。 ユーザーにスマートフォンから指紋を入力するよう要求するか、顔認識を使用するよう要求すると、ハッキングに対する別の大きな障害が発生します。

そのため、多要素認証の追加を検討する企業が増えています。そして、サイバー保険会社が多要素認証の使用を保証する機関をますます必要とするのはそのためです。

ステップ3:適応認証で旅を合理化する

だれも仕事を遅くしたくありません。 MFAを追加するとワークフローが複雑になったり遅くなったりすることが懸念される場合は、妥協できない1つのことはセキュリティであるため、オプションがあります。

そこで最新の認証イノベーションが登場します。これは、リスクベース認証または適応認証と呼ばれています。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、企業のWi-Fiを利用しているからといって、必ずしもユーザーのログインが安全であるとは限りません。逆に、これがそのデバイス上でのユーザーの通常の場所と行動であれば、自宅のコンピューターから自宅にアクセスする従業員は完全に信頼できる可能性があります。適応認証では、このようなユーザーコンテキストが考慮されます。

リスクベース認証は、機械学習を使用して場所やデバイス全体のユーザーの行動を追跡し、そのユーザーの行動プロファイルを構築して、リアルタイムで認証決定をリスクスコアリングし、多要素認証をトリガーするために使用できます。リスクベース認証は、次のような幅広い入力に基づいて、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。

  • ユーザーの場所と最近の旅行パターン
  • ユーザーが使用しているIPアドレス
  • ユーザーがログインしている時刻
  • ユーザーがアクセスしているデバイス

リスクベース認証は、ユーザーが作成したプロファイルに基づいて、新しいログイン試行のリスクをスコアリングします。リスクスコアが高いログイン試行には、より多くの認証が必要です。

さまざまなユーザーとグループについて、デフォルトで追加の要素をユーザーに求めるようにするかどうかを決定し、リスクプロファイルが低い場合にのみユーザーに少ない要素を求めるようにします。これは、財務データや顧客の個人情報にアクセスできる人には適しているかもしれません。または、デフォルトでユーザー名とパスワードを要求し、リスクプロファイルがより高いリスクを示している場合は追加の要素を要求することもできます。このレベルの制御により、各タイプのユーザーが適切な認証プロセスを取得し、安全である限り常に合理化された状態に保つことができます。

結論

企業は、企業と顧客のデータを保護する必要があります。2018年の違反の平均コストは、レコードあたり148ドル、米国では790万ドルでした。影響も続き、NASDAQでの企業のパフォーマンスは、違反から3年後に-15.58%低下しています。ビジネスを保護する必要がある一方で、生産性を維持するには、従業員の認証を迅速かつ簡単に維持する必要もあります。

そのためには、シングルサインオンとMFAが重要です。シングルサインオンは、ユーザーが必要とするパスワードの数を減らし、ハッカーの機会の数を減らします。多要素認証は、他の認証要素を追加するため、保護としてパスワードだけに依存しているわけではないことを保証します。また、適応型認証とその機械学習を使用して、必要な場合にのみ追加の要素をユーザーに要求できます。

SNSでもご購読できます。