Authenticator(認証アプリ)は、多要素認証(MFA)などでユーザーの本人確認を証明するための安全で便利な認証方法のひとつです。スマートフォンやパソコンにインストールすることで、アプリ上で一定時間有効な認証コードを生成します。私物のスマートフォンにアプリを入れることに不安を感じる場合は、トークン認証機能を備えた代替機を使う方法があります。
多要素認証に利用する要素としては、「記憶」、「所有」、「生体」の3要素がありますが、その中でも、記憶要素である「パスワード」は盗まれやすい、推測されやすい、管理が難しいなどの課題があります。認証を多要素にするための追加手段としては、主にスマートフォンなどの情報端末にインストールできるAuthenticator(認証アプリケーション)を活用する方法が増えています。
具体的なAuthenticatorとしては、Microsoft AuthenticatorやGoogle Authenticatorなど、各社IDaaSが認証のために提供しているアプリケーションをスマートフォンなどの端末にインストールし、プッシュ通知やワンタイムパスワードを組み合わせた多要素認証の要素として利用します。
従業員にとっては、何かと制限が多い支給された業務用スマホよりも、日ごろから使い慣れた私物のスマホを使うのが簡単で便利です。しかし、私用スマホを業務に使うことには、大きなセキュリティリスクが潜んでいます。IDとパスワードの情報が得られれば業務システムにアクセスできてしまうケースもあるほか、会社の管理が行き届かないので、SNSツールを通じた情報漏えいや、端末の盗難・紛失などのリスクも伴います。
従業員側にとっても、個人のスマホの電話番号を伝えているため、休日など、オフの場合でも仕事の連絡が入ってしまい、業務時間外の対応が増えることもあります。また、端末の購入費は全面自己負担となるケースが多いほか、通信費に関しても、業務利用分の算出が難しく、従業員の負担はどうしても重くなる傾向にあります。
代表的なAuthenticatorの代替機が、ワンタイムパスワード生成機能などを搭載しているトークンです。クラウドサービスを導入する企業が増えるなか、オンラインでの決済や認証が増えており、いくつものパスワードの管理を必要としないハードウェアトークンが重宝されています。ワンタイムパスワードとは一度限り有効なパスワードです。
パスワードを生成するボタンを押すと、ワンタイムパスワードが発行される仕組みです。トークンの液晶画面にパスワードが表示されますが、一定時間が経過すると消えてしまいます。そして、新たなパスワードが生成されるため、利用するたびに異なる数字列が表示されます。
ハードウェアトークンには、持ち運びしやすいキーホルダータイプや、財布やカード入れなどで携帯できるカードタイプなどがあります。
ただ、ハードウェアトークンは、多要素認証の中で「本人しかもっていないもの」を利用した認証であり、パスワードと同様に厳重に管理する必要があります。使用時に紛失やバッテリー切れが起きていないように、普段から適切に管理することが重要になります。
スマホのAuthenticatorを使って、多要素認証でセキュリティ強化
攻撃者による不正アクセスが手の込んだものとなり、ID・パスワードの単一要素だけでは不正ログインを防ぐことが難しくなっています。セキュリティを強化する対策として推奨されているのが、多要素認証です。多要素認証は、パスワードやPINコードなど本人だけが知りうる情報、スマートフォンやセキュリティキー、デジタル証明書など、本人だけが所有しているもの、指紋や顔、手の静脈など本人の生体による認証のうち、2種類以上の要素を組み合わせた認証方法を指します。多要素認証に利用する要素としては、「記憶」、「所有」、「生体」の3要素がありますが、その中でも、記憶要素である「パスワード」は盗まれやすい、推測されやすい、管理が難しいなどの課題があります。認証を多要素にするための追加手段としては、主にスマートフォンなどの情報端末にインストールできるAuthenticator(認証アプリケーション)を活用する方法が増えています。
具体的なAuthenticatorとしては、Microsoft AuthenticatorやGoogle Authenticatorなど、各社IDaaSが認証のために提供しているアプリケーションをスマートフォンなどの端末にインストールし、プッシュ通知やワンタイムパスワードを組み合わせた多要素認証の要素として利用します。
私用スマホをAuthenticatorとして活用する場合のリスクに注意
企業が業務用にスマートフォンを支給することが一般的になっていますが、多要素認証は導入したいが、会社専用のスマートフォン端末を配布するためのコスト負担に課題を抱えている場合も少なくありません。こうした場合、私用のスマートフォンに認証アプリをダウンロードして使うという選択肢もありますが、これはBYOD(Bring Your Own Device)と呼ばれる方法のひとつです。従業員にとっては、何かと制限が多い支給された業務用スマホよりも、日ごろから使い慣れた私物のスマホを使うのが簡単で便利です。しかし、私用スマホを業務に使うことには、大きなセキュリティリスクが潜んでいます。IDとパスワードの情報が得られれば業務システムにアクセスできてしまうケースもあるほか、会社の管理が行き届かないので、SNSツールを通じた情報漏えいや、端末の盗難・紛失などのリスクも伴います。
従業員側にとっても、個人のスマホの電話番号を伝えているため、休日など、オフの場合でも仕事の連絡が入ってしまい、業務時間外の対応が増えることもあります。また、端末の購入費は全面自己負担となるケースが多いほか、通信費に関しても、業務利用分の算出が難しく、従業員の負担はどうしても重くなる傾向にあります。
Authenticatorの代替機を使うという選択肢
BYODでアクセスできる業務システムを制限したり、認証強度を強化するなどのセキュリティ対策を講じることによって、不正アクセスを封じ込めようとする企業もありますが、従業員にとっては、利便性が損なわれるというデメリットもあります。そこで、セキュリティキーや、ワンタイムパスワードを発行するハードウェアトークンなど、比較的、低コストで簡単に扱うことができるスマホアプリの代替機を導入する企業も増えています。代表的なAuthenticatorの代替機が、ワンタイムパスワード生成機能などを搭載しているトークンです。クラウドサービスを導入する企業が増えるなか、オンラインでの決済や認証が増えており、いくつものパスワードの管理を必要としないハードウェアトークンが重宝されています。ワンタイムパスワードとは一度限り有効なパスワードです。
パスワードを生成するボタンを押すと、ワンタイムパスワードが発行される仕組みです。トークンの液晶画面にパスワードが表示されますが、一定時間が経過すると消えてしまいます。そして、新たなパスワードが生成されるため、利用するたびに異なる数字列が表示されます。
ハードウェアトークンには、持ち運びしやすいキーホルダータイプや、財布やカード入れなどで携帯できるカードタイプなどがあります。
Authenticatorの代替機を使うメリットと注意点
会社にとっては、業務用スマートフォンを従業員に配布するよりも、ハードウェアトークンを配布するほうが、導入や運用にかかるコストを抑えることが可能です。ハードウェアトークンは直接ネットワークと接続しておらず、ワンタイムパスワードの発行などに機能を絞っているので、ハードウェアトークンを起点に業務システムに対する不正アクセスを許すリスクは少ないと言えます。ただ、ハードウェアトークンは、多要素認証の中で「本人しかもっていないもの」を利用した認証であり、パスワードと同様に厳重に管理する必要があります。使用時に紛失やバッテリー切れが起きていないように、普段から適切に管理することが重要になります。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて
●Amazon Web Services(AWS)MFAを必須化
●PCI DSS v4.0への更新で重要性増す多要素認証(MFA)