Microsoft Entra ID (旧称 Azure AD)は、Microsoft 365をはじめ、さまざまなクラウドサービスの認証基盤として利用されています。IDとパスワードを使った認証方法の他、FIDOセキュリティキーやOATHに準拠したOTPトークンなどのデバイス認証を追加できるので、多要素認証(MFA)によるセキュリティ強化が可能になります。

クラウドサービス認証のセキュリティレベルを維持

システムがすべて社内サーバーの中にある場合は、オンプレミスのActive Directoryで一括管理ができていました。ただ、従来のシステムでは、複数のサービスにその都度ログインする必要があったので、IDやパスワードを忘れたり、同じパスワードを設定してセキュリティレベルを下げてしまうという問題点がありました。

デジタルトランスフォーメーション(DX)の進展に伴い、ゼロトラストセキュリティモデルの導入や、オンプレミス環境との統合が進むことが予測される中で、クラウドサービスへの移行によって業務の効率化や生産性の向上を実現することが求められています。クラウドサービスへの移行に伴い、業務に使用するSaaSサービスも増えており、それに対応したセキュアな認証基盤を採用する動きが増えています。

そして、クラウドサービス利用時の認証の問題を解消するために、一括で認証情報を管理する便利なサービスがMicrosoft Entra ID (旧称 Azure AD)です。シングルサインオンやデバイス管理、多要素認証などさまざまなメリットがあり、高いセキュリティレベルを維持しながら、クラウドの利便性を享受することが可能になります。

FIDOセキュリティキーを追加することでMFA実現

Microsoft では、Windows Hello や FIDOセキュリティキー、Microsoft Authenticatorアプリといった、安全なサインインイベントを提供可能なパスワードレス認証を推奨しています。FIDOセキュリティキーなどのデバイス認証をMicrosoft Entra ID (旧称 Azure AD)認証に追加することで、多要素認証(MFA)の実現が可能になります。

Web認証の定番であるパスワードには情報漏洩のリスク、管理に手間が掛かるというデメリットがあり、そこで近年注目を集めているのがパスワードレスでセキュリティと利便性を両立させる認証規格FIDO(ファイド)です。

FIDOは本人確認とサーバー認証を分けており、ネットワークに認証情報を流さずサーバーにも保管しないので、パスワードが漏洩するリスクがありません。本人認証情報が格納されているのは、セキュリティキーやスマートフォンなどのデバイスの中だけです。セキュリティキーで認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバーに送信し、公開鍵で署名を検証することで認証される仕組みです。

FIDOセキュリティキー

Microsoft Entra ID (旧称 Azure AD)の認証にトークンを活用

また、国際規格OATHに準拠したワンタイムパスワード(OTP)トークンをMicrosoft Entra ID (旧称 Azure AD)の認証に追加することで、多要素認証(MFA)を実現することも可能です。ワンタイムパスワード(OTP)トークンとは、使い切りのパスワードを生成するためのデバイスのことです。

一般的に、高いセキュリティを確保するためには、認証のためのパスワードは可能な限り頻繁に変更するのが望ましいとされています。しかし、都度パスワードを変更するのは現実的とは言えません。そこで考え出されたのが、使い切りのパスワードを電子的に生成して液晶画面に表示するワンタイムパスワード(OTP)トークンです。

ワンタイムパスワードは再利用ができないため、万が一フィッシングなどによって盗まれたとしても不正アクセスを許しません。また、固定のパスワードと併用することによって、手軽に二要素認証を導入することができます。

外回りの営業担当者が共有端末でログイン

企業がMicrosoft Entra ID (旧称 Azure AD)のクラウドサービスの認証基盤にデバイス認証を追加するのは、機密性と可用性を確保しつつユーザビリティにも配慮した、セキュリティの強化を実現できることが背景にあります。

具体的には
「リモートワーク社員も含めた全社員にMicrosoft Entra ID (旧称 Azure AD)の多要素認証を導入したい」
「社用スマートフォンを貸与していない社員には、ハードウェアトークンを配布してMicrosoft Entra ID (旧称 Azure AD)のMFAを運用したい」
「コールセンターなど、スマートフォンを持ち込めない環境においてMicrosoft Entra ID (旧称 Azure AD)のMFAを運用したい」
等々のニーズが高まっています。

実際の導入事例としては、多くの外回りの営業担当者が、外出先での接客後に商談情報をパソコンに入力するため、ビジネスアプリケーションにログインする際に使用しているそうです。個人専用のパソコンを持たず、チームで共有して使う場合でも、OTPトークンを活用すれば、高いセキュリティを維持できるからです。

これらの企業が、認証システムやデバイスを選ぶ際には、ユーザーインターフェースが直感的で操作がし易いことや、コストパフォーマンスの良さ、さらに、旧認証システムから移行する際に、シンプルで簡単に移行できることなどがポイントになっているといいます。


ワンタイムパスワード(OTP)トークン



関連記事

多要素認証(MFA)にはクラウドで

Microsoft Office 365の多要素認証(MFA)について

Authenticatorアプリの代替機を使った多要素認証(MFA)

Salesforceの多要素認証(MFA)の設定方法

Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

Amazon Web Services(AWS)MFAを必須化

コピープロテクトに最適なUSBドングル

PCI DSS v4.0への更新で重要性増す多要素認証(MFA)

Microsoft Entra ID – Azure ADから名称変更

情報セキュリティが脆弱に!BYODのデメリットとは