Snowflakeの大規模なデータ侵害を受け、同社は全管理者向けに多要素認証を導入しました。しかしこれは後付けの対策であり、手遅れでした。また、4月1日に多要素認証プロバイダーを侵害したハッカー(エイプリルフールの冗談ではなく、実際に起きた事件です)が、そのシステムを利用して顧客にメッセージを送信した事例もあります。
シスコによると、この事件はDuoに影響を与え、メールを介して発生しました。これは直接的な技術攻撃ではなく、職場におけるソーシャルエンジニアリングが働いたものです。脅威アクターはセキュリティ対策が強化されると、手口を変えることをためらいません。通話記録には内容が含まれていなくても、電話番号、通信事業者、国、州、通話メタデータなどが判明します。これは膨大な情報源です!
では、多要素認証は安全なのか?信頼できるのか?答えはイエスです。ただし、プロバイダー次第です。大半の企業は多要素認証を採用しておらず、中小企業で導入しているのはわずか34%です。これは深刻な状況です。MFAなしでは、重大な脆弱性が悪用されるのを待っているようなものです。
本ガイドでは、多要素認証の意味を明らかにします。MFAが直面する課題、その克服方法、そしてMFAを成功裏に導入する方法を学びます。
多要素認証(MFA)とは?
多要素認証(MFA)は、機密リソースにアクセスするために2回以上の情報入力が必要な認証方式です。パスワード以外の要素を要求する、複数段階のアカウントログインプロセスです。MFAでは複数の検証要素を使用し、厳格な基準やチェックを設定できます。複数のチェックを組み込むことで、サイバー攻撃の成功確率を低下させることが可能です。
サイバーセキュリティにおける多要素認証の重要性
多要素認証が不可欠な理由は、現代のパスワードが十分に強固ではないためです。パスワードは推測されやすく、破られる可能性があります。たとえ世界最高のパスワードを使用したり定期的に変更したりしても、ハッカーがキーロガーソフトウェアをネットワークやシステムに注入すれば、すべて終わりです。パスワードを再利用している場合、脅威アクターは複数のアカウントにもアクセスできます。
多要素認証はサイバーセキュリティに追加の防護策を提供します。これにより、たとえパスワードが盗まれても、こうしたハッカーによるアカウントの乗っ取りやアクセスを防止します。つまり、簡単に回避できない追加のセキュリティ層が設けられ、予測も困難になります。
MFAは単一要素認証(SFA)とどう違うのか?
単一要素認証(SFA)では、アカウントやシステムへのアクセスにユーザーが提供する認証方法は1つだけ(通常はパスワード)です。つまり、攻撃者がユーザーのパスワードを入手できれば、アカウントにアクセスできてしまいます。
一方、多要素認証(MFA)では、異なるカテゴリに属する複数の認証方法をユーザーに提供する必要があります。たとえば、パスワードに加えて、指紋や携帯電話に送信されるワンタイムコードの入力が要求される場合があります。これは、攻撃者がユーザーのパスワードを入手できたとしても、アカウントにアクセスするには別の認証方法が必要であることを意味します。これにより、MFAで保護されたアカウントやシステムを攻撃者が侵害することははるかに困難になります。
多要素認証方法の種類
以下は、現在組織で使用されている最も一般的な多要素認証の方法です。
- Yubikey ハードウェアトークンは、USB または近距離無線通信 (NFC) によってコンピュータや物理デバイスに接続します。ロックを解除するには、キーを物理的にデバイスに挿入する必要があります。攻撃者がトークンにアクセスできない場合、システムを乗っ取ることはできません。Yubikey はソフトウェアのみに依存して認証コードを生成しないため、フィッシング攻撃に対して最も脆弱性が低い。
- 生体認証MFAをご存知でしょうか。センサーに指を置いて指紋情報を入力する方式です。身体の固有パターンをスキャン・照合して本人確認を行うため、MFAの中でも最良の形態の一つです。ただし攻撃者は指紋を盗むために接触する必要があり、これが課題となります。したがって、なりすましは困難です。
- SMS認証コードは、MFAの中でも最も普及し認知されている手法の一つです。2FAよりも高度で、携帯電話のコードにセキュリティ層を追加します。ただし、このMFA方式を利用する際は、SIMスワッピングなどのケースに注意する必要があります。
- 銀行、政府機関、認可された団体は、時間ベースのワンタイムパスワードを使用して身元を確認します。ログインを試みると、コードが携帯電話に送信されます。アプリやサービスによっては、コードの有効期限が5分から15分と設定されています。
- 攻撃者が解読・推測・計画を立てる十分な時間を与えません。認証情報は安全に保持され、共有秘密鍵はQRコードとして提示可能です。時間制限付きコードが有効なのは、たとえ攻撃者がコードを入手しても、後に失効して無効化されるためです。アカウントを乗っ取るには新たに生成されたコードが必要となるため、侵入試行を継続する手段がなく、最初からやり直しとなります。
- モバイルプッシュ通知は、ユーザーがデバイスにログインしようとするたびにポップアップ表示されます。ユーザーはリクエストを承認または拒否できます。拒否するにはタップするだけです。
MFA利用の主な利点
MFAは複数の認証要素を使用するため、攻撃者が1つの要素を入手または操作しても、機密リソースへの無制限なアクセスは得られません。
MFA利用の主な利点は以下の通りです:
- 多要素認証の第一の利点は、セキュリティを劇的に向上させることです。MFAはフィッシング攻撃から保護します。ユーザーがオンライン上のウェブサイトで誤ってパスワードを漏洩した場合でも、他の認証要素が関与しているため、それによって侵害されることはありません。
- 多要素認証では、ユーザーの役割、データの機密性、または場所に基づいて設計することで、セキュリティ機能を完全にカスタマイズできます。
- 金融取引には生体認証を追加でき、プッシュ通知で一般告知を受け取ることで利便性を損なうことはありません。
- 多要素認証(MFA)はセキュリティと利便性を融合し、日常的なアクセスを安全かつユーザーフレンドリーな方法で制限します。これによりユーザーの信頼を大幅に高めることが可能です。
- 企業と従業員は、機密情報が適切に保護されていることを確信できます。この信頼性の向上は、顧客ロイヤルティの大幅な向上、従業員満足度の向上、そして機密データの完全性を確保するために大きく貢献します。
- 多要素認証ソリューションは、従来のパスワードのみのシステムほど簡単に破られることはありません。使いやすさを犠牲にすることなく、セキュリティを強化します。MFAメカニズムは既存システム、アプリ、クラウドサービスにシームレスに統合可能です。
- MFAシステムは将来を見据えたセキュリティ対策の一部となりつつあります。これらの技術は新たな脅威に対応し進化を続けます。MFAが乗っ取られる事例は稀です。しかし、技術が脅威アクターを上回る速度で進化するにつれ、これは不可能になるでしょう。
MFAの仕組みとは?
MFAは単純な仕組みではなく、様々な方法で機能します。それが高度なセキュリティ対策であり、突破が容易でない理由の一つです。多要素認証では、ユーザーはパスワードだけでなく追加の認証情報を提供する必要があります。パスワードだけではアカウントやアプリにログインできません。携帯電話、メール、その他のデバイスに送信されるコードの入力が求められる場合があります。これは一定時間経過後に変更されるワンタイムパスワードである場合もあります。
指紋スキャンや生体認証の確認を求められることもあります。セキュリティ質問を使用したり、USBデバイスやスマートカードなどのハードウェアトークンを採用する多要素認証システムもあります。
MFAは非常に適応性が高い特性も備えています。つまり、不審なログイン試行を認識し、追加の検証ステップを要求または追加することができます。異なるデバイスや場所からのログイン試行があった場合、必要な対策を講じます。
業界横断的な一般的な MFA の実装
インダストリー 4.0 では、製造現場を守るために多要素認証を使用しています。データ交換のための多数のアクセスポイントを保護します。MFA は、強力なデータ生成をユーザーに保証し、遠隔の企業作業環境における機密リソースへのアクセスを確保します。これにより、消費者データをID盗難から保護します。
MFAは、仮想プライベートネットワーク(VPN)銀行では、銀行口座の保護、金融取引の安全確保、顧客本人確認のために利用されています。
組織でMFAを有効化する方法とは?
組織でMFAを有効化するための手順は以下の通りです:
- 経営陣のコミットメントと関係者の賛同を得る。
- 使いやすさを重視したMFAソリューションまたはサービスプロバイダーを選択する。ITチームやスタッフにとってMFAが複雑になりすぎないようにしましょう。導入が簡単で、既存のインフラと併用できるソリューションに焦点を当ててください。
- MFAが安全かつ効果的かどうかを確認してください。オンラインとオフラインの両方で機能する必要があります。MFAが地理的位置、時間帯、同時接続数などのコンテキストアクセス要因による検証に依存している場合は、それが適切です。
- 必要な場合にのみMFAを使用し、過剰投資を避ける。MFAは最小権限アクセス原則を適用し、ゼロトラストセキュリティを強制するために使用されるべきです。ゲストアカウントにはMFAは不要です。日常的にリソースにアクセスする承認済み個人およびユーザーのみに適用してください。
- MFAのバックアップを作成し、認証キーが盗難に遭った場合の代替手段(プランB)を用意してください。ユーザーが代替認証手段を確保できるようにする。こうしたケースは稀だが発生する可能性があるため、常に備えておくこと。
MFAの課題と制限事項
MFAの課題と制限事項は以下の通り:
- ユーザーがMFAについて知識不足または認識していない場合、サービスを適切に利用できない可能性があります。
- ハッカーが偽のネットワークでユーザーを誘い込む場合、中間者攻撃(MITM攻撃)によってユーザー認証情報が危険に晒される可能性があります。
- MFAは単一障害点の影響を受けやすいです。ユーザーがデバイスからログアウトしても、この問題を完全に回避することはできません。
- 悪意のある攻撃者は依然として従業員を騙して機密情報を漏洩させることが可能です。信頼を得た後は、それを悪用して情報漏洩を引き起こすのは容易です。
MFA導入のベストプラクティス
組織におけるMFA導入のベストプラクティスを以下に示します:
- 組織内の全ユーザーにMFA/2FAを有効化してください。MFAアプリを活用し、従業員の使用を推奨しましょう。アプリはデバイスにインストールでき、オフラインでも動作します。
- 必要な認証レベルを決定するには、状況に応じた適応型MFA制御を使用すべきです。適切に実施すれば、MFAはユーザーにシームレスな体験を提供できます。
- パスワードレス認証ソリューションはMFA分野で注目を集めています。生体認証やハードウェアトークンを利用し、フィッシングやクレデンシャルスタッフィングのリスクを排除します。
MFAの具体例
2025年に見られる一般的なMFAの例を以下に示します:
- 2025年までに、すべてのGoogle CloudアカウントでMFAが必須化される見込みです。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISAは、MFA利用者はハッキング被害を受ける確率が99%低いとの声明を支持しています。
- AWS組織内の全メンバーアカウントは、今後1年間でMFAを有効化する必要があります。AmazonはMFAの段階的導入を間もなく開始し、2025年春までに実用化すると発表しました。
- バンク・オブ・アメリカが顧客保護に多要素認証を採用していることは驚くに値しません。サードパーティサービスがSMS経由で顧客に6桁の確認コードを送信します。
- GitHub、Facebook、Appleなどの他社も、ユーザーがアカウントログイン時にMFAを有効化できるようにしています。ユーザーは携帯電話を使用した認証を選択することも、オプトアウトすることも可能です。
SentinelOneの活用方法
Singularity™ Identityは、組織をIDベースの攻撃から保護します。Active Directory や Entra ID に内在する、攻撃者が最も悪用するギャップをこのソリューションで塞ぐことができます。
Identity Threat Detection and Response を使用すると、ドメイン コントローラーやエンドポイントを標的とした進行中の ID 攻撃を、OS を問わず、管理対象または非管理対象のあらゆるデバイスから検出でき、攻撃者が昇格した権限を取得する前にその進行を阻止できます。’s progress before they gain elevated privileges.&
Singularity Network Discovery組み込みエージェント技術を活用し、能動的・受動的にネットワークをマッピングします。資産インベントリや不正デバイスの情報を提供可能です。管理対象/非管理対象デバイスが重要資産とどのように相互作用しているかを調査でき、統一インターフェースからデバイス制御機能を利用し、IoTデバイスや不審/非管理デバイスを管理できます。
Singularity Cloud Security は、SentinelOneの統合型エージェントレスCNAPPであり、企業に包括的で回復力のあるクラウドセキュリティを提供します。コンテナ、Kubernetes、仮想マシン、物理サーバー、サーバーレス環境を保護する業界トップクラスのクラウドワークロード保護プラットフォームを含みます。
SentinelOneのAIセキュリティポスチャ管理は、AIパイプラインとモデルの発見、異常の修正を支援します。AIサービスに対するチェックの設定が可能です。SentinelOneの攻撃的セキュリティによる検証済みエクスプロイトパスは、攻撃発生前に予測します。これは、ゼロデイ攻撃、マルウェア、ランサムウェア、フィッシング、高度持続的脅威(APT)、既知および未知の脅威に対抗する優れた方法です。CNAPPには、組織内での多要素認証の強制やゼロトラストセキュリティアーキテクチャの構築に適した機能も含まれています。その一部には、シークレット検出(750種類以上を検出可能)、GitHub/GitLabコードリポジトリスキャン、IaCスキャン、シフトレフトセキュリティ機能、外部攻撃面管理(EASM)、完全なフォレンジックテレメトリ、グラフベースの資産インベントリ管理、Kubernetesおよびコンテナセキュリティポスチャ管理などです。SentinelOneはまた、企業がコンプライアンス違反に陥らないよう保証し、HIPAA、CISベンチマーク、NIST、ISO 27001、SOC 2、その他のフレームワークなど、最も厳格かつ最新の規制基準への準拠を支援します。
結論
多要素認証(MFA)はもはやオプションではありません。必須であり、2要素認証(2FA)/シングルサインオン(SSO)をまだ使用している場合は、アップグレードすべきです。
SentinelOneはバックエンドで学習した全情報を相関分析し、既知・未知のデバイスを識別します。ネットワークディスカバリー機能はIP対応デバイスに関する重要情報を明らかにし、地域や全世界にわたるインベントリを数秒で生成します。
ピアツーピア展開により、SentinelOneエージェント展開のギャップを発見・解消できます。多要素認証の導入でお困りの方、またはサポートが必要な方は、本日中にSentinelOneにお問い合わせください。
"多要素認証に関するよくある質問
多要素認証の定義によれば、複数のセキュリティチェックを実行することでユーザーとアカウントを認証する方法です。これらのチェックはパスワードに限定されず、生体認証、位置情報に基づくアクセス、その他の検証要素を含みます。
"MFAは防御層を構築し、ユーザーが通過またはクリアしなければならない複数の検証手段を追加する方法です。組織の防御を強化し、不正アクセスを防止するため重要です。
"最も一般的なMFAの種類は、位置情報に基づくアクセス、SMS MFA、ワンタイムパスワード、モバイルプッシュ通知、ハードウェアトークンです。
"2FAは2つの認証要素のみを必要としますが、MFAは複数のタイプを組み合わせられます。ほとんどの2FA対策はパスワードとワンタイムパスワードを使用しますが、MFAは生体認証を組み込むことでセキュリティを強化します。
"技術的にはMFAを乗っ取ることはできません。ただし、ソーシャルエンジニアリングや感情操作によって回避される可能性があります。エンドユーザーが直接攻撃を受けた場合、MFAは保護できません。
"AIはネットワーク、クラウド、デバイス全体で不審な行動を分析できます。日常活動の基準値を設定し、多要素認証の体験を個人に合わせて最適化します。
"オンラインアカウントやシステムのセキュリティを重視するすべての方がMFAの利用を検討すべきです。個人からあらゆる規模の組織まで対象となります。
さらに、ペイメントカード業界データセキュリティ基準(PCI DSS)や医療保険の携行性と責任に関する法律(HIPAA)などの規制要件の対象となる組織は、これらの規制に準拠するためにMFAの使用が義務付けられる場合があります。
"多要素認証(MFA)は、企業に推奨される最も一般的なセキュリティ対策の一つとなっています。有効な第一防衛線ではありますが、最近のIDベースの攻撃の成功例が相次いでいることから、MFAを実装するだけでは企業を絶対的な防御にすることはできないことが明らかになっています。
MFAシステムは、主に人間の行動や意思決定に依存しており、この要素によって企業は様々な攻撃経路にさらされる可能性があります。MFAは最も脆弱な要素の強度しか持たないため、それを運用する個人のサイバーレジリエンスに依存している。
MFAはユーザー名とパスワードに加えてセキュリティ層を追加することでサイバー脅威から保護します。不正アクセスを大幅に複雑化し、AI脅威検知と組み合わせることで悪意のある内部関係者も防止できます。
"シングルファクター認証では、ログインにユーザー名とパスワードのみが必要です。MFAでは複数の認証要素が必要となります。
"