そもそも「多要素認証」とは？

まず、以前の記事「更によく理解出来るようになるかもしれない【認証】と【認可】」でも説明しましたが、クラウドサービスにおける認証とは「ログインすることで、どのアカウントであるか判明すること」であり、そのログイン手段のことを指します。例えば、一番有名なものは「IDとパスワードを入力」するものでしょう。

他には、ログイン時にその端末にクライアント証明書がインストールされていれば認証出来る、なんていうものもあります。また、別途設定したメールアドレスに送付されたり、または別途用意されたアプリに表示される、「一時的に発行されたパスワード」を入力するという、ワンタイムパスワードと呼ばれる認証方法も認知されるようになりました。スマホなどでは、いまや当たり前になってきた「指紋認証」や「顔認証」といったものもありますね。

そして「多要素認証」とは、これまで紹介した認証方法を複数組み合わせたものになります。例えば、ログイン時にID/パスワード入力後にクライアント証明書が必要になったり、ID/パスワード入力後にワンタイムパスワードの入力を求められたり、更にはID/パスワード+クライアント証明書+指紋認証といったものもあります。この認証の組み合わせが複雑になればなるほど「なりすまし」などを防ぐ強度が上がる、つまりセキュリティ強化につながりますが、あまり複雑だとエンドユーザのログイン時の手間が大変になってきます。

ID/パスワード認証のみの場合

それでは、今まで述べてきた多要素認証ではなく、ID/パスワードのみの認証の場合、どのようなリスクが有るのでしょうか。まずクラウドサービスにおけるIDはメールアドレスが多いようです。つまり、日頃やりとりしているメールのアドレスが他人にも知られている、と言えます。コーポレートサイトに記載されているメールアドレスなどもありますしね。

ただし、パスワードまでは他人に伝えるものではありません。ですので、誰か別の悪意を持った人があなたのIDを使ってクラウドサービスにログインしようと思っても、パスワードがわからないから大丈夫...とはならないんです。確かに「人間が手作業で」ひとつひとつパスワードを入力してログイン出来るかどうかを調べるのは、現実的に不可能でしょう。ですが、いまやコンピュータが自動的に全パターンのパスワードを使ってログイン出来るかどうかを調べることが出来る時代です。

クライアント証明書認証のみの場合

では、クライアント証明書のみによる認証の場合はどうでしょう。こちらの場合、ID/パスワードの入力はありません。クライアント証明書をインストールした端末からのみクラウドサービスを利用できるというもので、パスワード入力無しでクラウドサービスにすぐにログイン出来るので、利便性は大変高いです。

また、他の端末から他者がログインしようとしても、そもそもID/パスワードの入力が無いので、ログインすることが出来ません。結果、セキュリティ的も安心...とは言い切れないのです。確かにシステムだけでいえば強固なものかもしれませんが、扱うのは人間です。そして人間はヒューマンエラーを起こしてしまうものです。例えば端末の紛失等が考えられますが、昨今のテレワーク等の影響もあってか増加傾向にあり、報告されているセキュリティ事故の上位を占めるのが実情です。

組み合わせることによる抑制効果

そこで、これまでに述べてきたリスクを軽減するための解決策が「多要素認証」となります。今、あるクラウドサービスのログインにID/パスワード+クライアント証明書認証が設定されていたとします。ここで例えばパスワードが他者に漏れてしまったとしても、「クライアント証明書がインストールされている端末」しかログイン出来ません。

いよいよ多要素認証が必須に？

このように、クラウドサービスを安全に利用するにあたっては「多要素認証」が有効であることを述べてきましたが、いよいよメジャーなクラウドサービス提供者も利用者に向けて「多要素認証」を求める傾向が強まってきました。既に「多要素認証に変更するように」と通知を受け取った方もいらっしゃるかと思います。

Gluegent Gateでは既に対応済