ID管理の世界(第1回) 多要素認証を考える

多要素認証(MFA: Multi-Factor Authentication)とは

先の疑問の解決策として、初めに挙げられるのが多要素認証です。
多要素認証(MFA: Multi-Factor Authentication)とは、ユーザー認証のために「知識情報：パスワードなど」「所持情報：ワンタイムパスワード生成器など」「生体情報：指紋など」の認証要素のうち、2つ以上の異なる要素を組み合わせてユーザー認証を行う方式です。

米国立標準技術研究所（NIST）ではデジタルアイデンティティガイドライン（NIST SP 800-63）を公開しており、その中で認証レベル（AAL：Authenticator Assurance Level）を定義しています。

多要素認証の普及率

Oktaの2023年版「セキュアサインインのトレンドレポート」によれば、アジアパシフィック地域におけるMFAユーザー導入率は62％。
業種別で見ると、テクノロジー企業は87％と高い導入率である一方、行政は48％、小売は42％、運輸/倉庫にいたっては39％と低い導入率になっています。

さらに、驚くべきことは組織規模別のMFA導入率です。 従業員数とMFA導入率は反比例しており、従業員数2万人以上の組織においては54％しか導入されておりません。

このレポートはOktaユーザーにおけるMFA導入率調査結果となっているため、全ての企業を対象にした調査を実施すれば違う結果になると思いますが、いずれにしても脆弱な認証方式を採用している企業や組織がまだまだ多いという事が分かります。

Okta:セキュアサインインのトレンドレポート

どのような脅威があるか

それでは、その現状を踏まえて攻撃者の心理で考えてみましょう。 どのような攻撃が想定されるでしょうか？

１． ブルートフォース攻撃

すべての可能なパスワードの組み合わせを試して、正しいパスワードを見つけ出す総当たり攻撃。

２． パスワードリスト攻撃

よく使われるパスワードや過去に流出したパスワードリストを使用して、システムへのログインを試行する。

３． フィッシング攻撃

ユーザーに偽のログインページやメールを送信し、パスワードやその他の認証情報を盗み取る。

４． ソーシャルエンジニアリング

電話やメールでユーザーから直接パスワードを引き出そうとする。 また、アカウントロックしたユーザーに成りすましてサポートデスクに連絡し、パスワードリセットを実行させる。

５． マルウェア

組織内のPCにマルウェアをインストールし、パスワードリストが記録されたファイルを盗む。また、キーロガーやスクリーンキャプチャ等を使用して認証情報を盗み取る。

MFAを導入していない組織は、常にこのような脅威に晒されることとなります。 攻撃者がまず狙うのは認証情報です。
認証情報を守ることとはセキュリティ対策の第一歩ですが、様々な理由により対策が遅れているというのが現状ではないでしょうか。

最後に

パーソルクロステクノロジーでは、認証情報の保護、認証強化、アクセス制御、など、アイデンティティに関する様々な課題解決を行っております。

・Okta 構築・導入・運用支援サービス
・CyberArk 構築・導入・運用支援サービス

セキュリティ情報配信サービスのお問合せは security-info@persol.co.jp まで