MFA の見極めを効率化 – 多要素認証ソリューションを手早く評価するための 5 つのヒント
2020 年 2 月 14 日 Sam Manjarres 著
MFA を試用する時のヒント
IT リーダーが多要素認証ソリューションを評価するとなると、すべてを試して、自分の組織の需要に最も適していると自信が持てるソリューションを選びたいものです。しかしそこで同時に課題にも思い当たります。IT が抱えるタスクが増加するにつれ、ますますスタッフの数や技術が追いつかなくなっている、という事実もその 1 つです。そこでテストを効率よく行うことを考えます。MFA プラットフォームの違いが最も顕著に表れる、注目すべき部分はいったいどこなのでしょうか?
まずは現実に目を向けると、MFA ソリューションなしでは危険だということは明白です。最新のセキュリティ侵害に関するニュースはチェックし、サイバー攻撃に対応する保険会社と相談し、企業コンプライアンスイニシアチブのリーダーとも交流しているのであれば、今や企業の大小を問わず誰もが MFA をセキュリティ対策の重要な一部であり、速やかに何らかの MFA 対策が必要であることがわかります。
もし充分に時間があるのならば、いくつか試用をしてみて、さまざまなソリューションの中から手をつけられる範囲のすべてをテストするべきです。しかし、もし手早く評価を済ませたいというのであれば、以下の 5 つのポイントに絞ってテストをすることで、現在市場にあるソリューションの違いを理解する手助けになるはずです。
1. グループとユーザの設定
これはどのような MFA ソリューションであっても、正常に機能させるために必要な基本的な機能です。注目すべきは、ワークフローと、どこまで細かい管理ができるか、ということです。特に確認すべき項目は以下です。
- アクセス可能なリソースごとにユーザをグループ化できる。
- 少なくともテスト目的では手動でユーザを生成でき、AD あるいは LDAP とも同期できる。
2. シングルサインオンポータルを定義する
一部の MFA プラットフォームによくある機能として Identity Portal (IdP)や Web シングルサインオン(SSO)ポータルがあります。これは、ユーザが業務用のアプリケーションにアクセスする際のログインを一度で済ませ、生産性を上げるためのものです。IdP がホストされる場所には違いがあり、それぞれのソリューションごとにコストや価値が大きく異なります。この違いを確認するためには、以下が可能であることを確認してください。
ユーザが 1 度 MFA で認証をすれば、SAML をサポートし、かつ許可されているクラウドアプリケーションのすべてに SSO アクセスができること。Web サーバのインストールと保護や、電子署名など、追加のコスト無しにすべての IdP の設定をクラウド上でできることが望ましいでしょう。
企業独自の URL を入手できること。自社の URL を使用することで、従業員がポータルが正規であることを明確に把握できるようにするべきです。
3. トークンを有効にする
トークンの有効/無効化は管理者の日常的なタスクなので、技術的なスキルがあまり高くない従業員でも直感的に操作でき、IT 管理者にとってもワークフローがスムーズなソリューションであるべきです。以下を確認しましょう。
- スマートフォンにアプリをダウンロードします。できれば IT 部門ではない従業員に試してもらい、手順を簡単に進められるかどうか確かめましょう。
- 有効化の手順を試し、使いやすく、セキュリティも最高であることを確かめます。
- トークンの有効化は一意である必要があり、QR コードにはシークレットが含まれないよう、動的に生成される認証情報を使用します。これは、同一の QR コードの使い回しができるかどうかを確かめれば簡単にテストができます。もし使い回しができるのであれば、攻撃者も同じようにログインでき、安全性が高いとは言えません。
- 複製されたトークンやスマートフォンの情報が使用できる状況は避けてください。このビデオで、テスト方法をご覧ください。
- トークンを新しいスマートフォンに移してみる。IT 管理者が関わる必要なく、従業員がこれを単独で行えるべきです。
4. オンラインとオフラインの認証をどちらも試す
MFA ソリューションは、おおむねデバイスがインターネットと社内ネットワークのどちらか、または両方に繋がれていれば効果を大きく発揮するものですが、同じように従業員がオフラインで業務を行う際も、熟慮された信頼性のある認証プロセスが提供されているべきです。以下のケースについても、最も安全なアプローチをテストしましょう。
- プッシュ型の認証を実行し、プッシュ通知に関する情報を探す。たとえばどのようなリソースがアクセスされているか、どこから通知が来ているか、など。リクエストを受け入れるか拒否するか、従業員が自信を持って判断するのに充分な情報があるべきです。
- 次にオフライン認証を試して、安全なチャレンジ & レスポンス方式の QR コードがあるかどうか確かめてください。サービスを設定する時、認証の方法は個々のケースに応じて選べる方がよく、チャレンジ & レスポンス方式はソーシャルエンジニアリングに強いため、オフラインでの使用時に最も安全な方法です。
- ワンタイムパスワード(OTP)認証を許可する場合は、タイムベースのものにしましょう。場合によっては、イベントベースの OTP しか選べない場合もありますが、こちらはコピーしたり書き写したりことで繰り返しの使用が可能で、安全性が低くなります。
5. コンピュータのログインを保護する
従業員が会社のノート PC を使って公共のスペースで仕事をする機会が増えています。ノート PC が盗難に遭った場合に、データやネットワークが晒されるリスクを避ける必要があり、ログイン時の MFA 保護を追加すればセキュリティを効果的に高めることができます。以下の場合にどのように動作するかを確かめましょう。
- Windows マシンが MFA 認証を要求するように設定します。標準的な Microsoft のソフトウェア配布ツールを使えば、設定用ファイルを埋め込んだ AuthPoint エージェントを自動でデバイスに簡単にインストールできます。
- ログインを、オンラインとオフラインの両方で試しましょう。たとえば、長時間のフライト中コンピュータにアクセスできなかったがために仕事が終わらなかった、などと従業員からクレームの電話がかかってくる事態だけは避けなければなりません。オフラインの状況を想定したテストは重要です。
- リモートデスクトッププロトコル(RDP)が、再認証せずに動作することを確認しましょう。RDP を使ってユーザや顧客に対して技術サポートを提供する場合は、これが重要です。
これら 5 つのタスクをテストすれば、それぞれの製品の違いを理解し、組織にあったソリューションを選ぶことができるはずです。
まだ AuthPoint の試用版をお試しでない場合は、こちらからお試しください。