ID・パスワードだけによる認証から、複数の認証要素を組み合わせる多要素認証(MFA)を採用するケースが増えています。なりすましや不正アクセスのリスクを減らすことができるからですが、多要素認証(MFA)のために、よく使われる端末がスマートフォンです。ただ、企業や団体にとって、スマートフォンを多くの社員に配布するにはコストがかかってしまいます。そこで、スマートフォン以外の手段で多要素認証を実現する方法に関心が集まっています。
多要素認証は、2つの異なる認証要素を提供するようユーザーに要求する認証方法です。このため、パスワードと PIN の両方を入力しなければならない認証システムは、どちらも「知識情報」要素を使っているので、多要素認証ではありません。
多要素認証で、2つの異なる認証要素から、2要素を提供するために最も良く使われる端末はスマートフォンです。電話やSMS、認証アプリを多要素認証に利用するものが数多くあり、ワンタイムパスワードをメールやSMS(Short Message Service)、スマートフォンのアプリなどでその都度ユーザーに通知する方法が一般的です。
スマートフォンを使わない多要素認証の方法も数多くあります。例えば、USBの物理キー使う方法です。パソコンのUSBインターフェースに物理キーを挿して生体認証(指紋)で本人認証します。物理キーなので、スマートフォンのように月額利用料金や経費管理などの煩わしさを心配する必要がありません。
ICカードを利用した本人認証の方法もあります。社員証や入館証など、既存のカードを利用して認証を行います。ICカード(所持)とパスワード(知識)の二要素を使うことで、パソコンを利用した個人を特定できる他、勤怠管理などにも使うことが出来ます。
また、ユーザーごとに固有の乱数表カードを発行し、列と行でランダムに指定される文字を入力して認証を行ったり、他にもパソコンなどの端末の初回認証時にIPアドレスなどのユーザー固有情報を収集し、データベースで自動保管する方法などもあります。
各ビジネスツールでは、ダウンロードしたスマホアプリでワンタイムパスワードを表示し、そのワンタイムパスワードを入力して多要素認証を行うケースが多いです。例えば、Microsoftは、「Microsoft Authenticator」、Googleは「Google Authenticator」、Salesforceは「Salesforce Authenticator」と呼ばれているアプリをスマートフォンにダウンロードし、ログイン時にワンタイムパスワードを表示します。
ワンタイムパスワードトークン認証専用デバイスを活用するメリットは、社用スマホを支給していない従業員だけに専用デバイス配布することができる他、コールセンターやデータセンターなど、スマートフォンが持ち込めないオフィス環境などにおいても、多要素認証に対応することができる点です。
またワンタイムパスワードトークン認証専用デバイスは、ユーザー自身が画面に表示されたQRコードを読み取るなど簡易な方法で登録ができ。管理者に負担をかけることもなく運用することが可能です。電源を立ち上げるとワンタイムパスワードが表示され、ログイン時にそのパスワードを入力するなど操作も簡単です。
■スマホアプリに代わるOTPトークン認証専用デバイス
*「Google」「Google Authenticator」は Google LLCの登録商標または商標です。
**「Microsoft」「Microsoft Authenticator」「Microsoft Entra ID」はMicrosoft Corporationの米国およびその他の国における登録商標または商標です。
***「Salesforce」「Salesforce Authenticator」はsalesforce.com,Inc.の登録商標または商標です。
****QRコードは(株)デンソーウェーブの登録商標です。
*****その他の商品名、会社名、団体名は、各社の登録商標または商標です。
スマホアプリにOTPなどを通知する方法が普及
多要素認証で使われる認証要素は3種類あります。一つは、パスワード、PIN、セキュリティ質問に対する回答などの「知識情報」、もう一つは指紋、顔、虹彩などの「生体情報」。3つ目は「所持情報」で、スマートカードやUSBセキュリティキーなどの物理的なトークンや、ユーザーのスマートフォン上の認証アプリによって生成される、ワンタイムパスワード(OTP)などの仮想トークンがあります。多要素認証は、2つの異なる認証要素を提供するようユーザーに要求する認証方法です。このため、パスワードと PIN の両方を入力しなければならない認証システムは、どちらも「知識情報」要素を使っているので、多要素認証ではありません。
多要素認証で、2つの異なる認証要素から、2要素を提供するために最も良く使われる端末はスマートフォンです。電話やSMS、認証アプリを多要素認証に利用するものが数多くあり、ワンタイムパスワードをメールやSMS(Short Message Service)、スマートフォンのアプリなどでその都度ユーザーに通知する方法が一般的です。
物理キーや乱数表カード…スマホ以外の多要素認証(MFA)
ただ、社員全員にスマートフォンが配布されていない会社の場合は、個人用のスマホにアプリ等をインストールしなければなりません。その場合、個人用スマホを会社が管理する必要性が生じるため、経費の精算や労務管理、セキュリティの確保などに手間とコストが掛かってしまいます。スマートフォンを使わない多要素認証の方法も数多くあります。例えば、USBの物理キー使う方法です。パソコンのUSBインターフェースに物理キーを挿して生体認証(指紋)で本人認証します。物理キーなので、スマートフォンのように月額利用料金や経費管理などの煩わしさを心配する必要がありません。
ICカードを利用した本人認証の方法もあります。社員証や入館証など、既存のカードを利用して認証を行います。ICカード(所持)とパスワード(知識)の二要素を使うことで、パソコンを利用した個人を特定できる他、勤怠管理などにも使うことが出来ます。
また、ユーザーごとに固有の乱数表カードを発行し、列と行でランダムに指定される文字を入力して認証を行ったり、他にもパソコンなどの端末の初回認証時にIPアドレスなどのユーザー固有情報を収集し、データベースで自動保管する方法などもあります。
Salesforceなどビジネスツールでも多要素認証(MFA)が必須に
最近は、Microsoftのoffice365やGoogle Workspace、Salesforceなどのビジネスツールを法人利用するにあたり、ログインする時に多要素認証(MFA)を必須条件とするケースが増えています。リモートワーク環境に移行する企業が増えるに従い、セキュリティ対策の強化がこれまで以上に重要になっています。各ビジネスツールでは、ダウンロードしたスマホアプリでワンタイムパスワードを表示し、そのワンタイムパスワードを入力して多要素認証を行うケースが多いです。例えば、Microsoftは、「Microsoft Authenticator」、Googleは「Google Authenticator」、Salesforceは「Salesforce Authenticator」と呼ばれているアプリをスマートフォンにダウンロードし、ログイン時にワンタイムパスワードを表示します。
専用のトークンデバイスを導入し、低コストで多要素認証
こうしたビジネスツールを導入している企業にとっては、多要素認証のために全社員に社用スマートフォンを配布するのはハードルが高いと言えます。解決策のひとつとしては、ビジネスツールを使う人に対し、ワンタムパスワードを生成する認証専用器を配布する方法があります。ワンタイムパスワードトークン認証専用デバイスを活用するメリットは、社用スマホを支給していない従業員だけに専用デバイス配布することができる他、コールセンターやデータセンターなど、スマートフォンが持ち込めないオフィス環境などにおいても、多要素認証に対応することができる点です。
またワンタイムパスワードトークン認証専用デバイスは、ユーザー自身が画面に表示されたQRコードを読み取るなど簡易な方法で登録ができ。管理者に負担をかけることもなく運用することが可能です。電源を立ち上げるとワンタイムパスワードが表示され、ログイン時にそのパスワードを入力するなど操作も簡単です。
■スマホアプリに代わるOTPトークン認証専用デバイス
*「Google」「Google Authenticator」は Google LLCの登録商標または商標です。
**「Microsoft」「Microsoft Authenticator」「Microsoft Entra ID」はMicrosoft Corporationの米国およびその他の国における登録商標または商標です。
***「Salesforce」「Salesforce Authenticator」はsalesforce.com,Inc.の登録商標または商標です。
****QRコードは(株)デンソーウェーブの登録商標です。
*****その他の商品名、会社名、団体名は、各社の登録商標または商標です。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて