コロナ禍以来、オフィス外から社内システムにアクセスする機会が増え、またクラウドシステムが導入されたことで、認証を必要とする作業が増えたという方も少なくないのではないだろうか。またそれに伴い、巧妙化し、増加を続けるサイバー攻撃のターゲットにされるリスクも高まっている。

サイバー攻撃や会社内部の不注意によって、ID＋パスワードが漏えいしてしまうと、悪意のある取得者による不正利用や、社内外の個人情報の流出につながる可能性もある。

警察庁サイバー警察局サイバー企画課が作成した「不正アクセス行為対策等の実態調査」によると、社外からのインターネット接続の認証方法では、「ID・パスワードのみでの認証」が最も多く、全体の43.9%を占める。

またIDやパスワードの管理方法については、パスワードを一定以上の長さにするほかに、異動などで使用しなくなったIDはすぐに削除することや、IDを複数ユーザーで使用しないなどの対策を行っている企業が多い結果となっているが、上述の対策だけでは十分とは言えないだろう。

特に、パスワードの定期的な変更は米国立標準技術研究所（NIST）の研究結果でも、推奨すべきではないとされている。何度も変更することで、かえって類似のパスワードの使い回しが増え、パスワードの強度が低くなるとのことだ。また、パスワードの管理に負担がかかることで、管理が煩雑になりセキュリティリスクが高まることも指摘されている。

そのような状況の中で、最近ではパスワードのみに頼らない多要素認証 (以下、MFA)を採り入れるサービスも増えてきている。

MFAとは本人確認の際に複数の要素で認証を行う方式だ。前提として認証要素は主に三つに分けられる。

このうち2段階認証とは三つの認証要素の中から、一つの要素を2回に分けて認証を行う認証方法であり、2要素認証は三つの認証要素の中から、異なる二つの要素を組み合わせて認証を行う認証方法だ。

また多要素認証：三つの認証要素の中から、異なる二つ以上の要素を組み合わせて認証を行う認証方法も存在する。

このようにIDとパスワードによる認証に加えて、所有するデバイスや生体認証を用いることで、サイバー攻撃や人為的なミスによる情報漏えいを最小限に抑えられる可能性が高くなる。

AWSやMicrosoft Azure、Google Cloudをはじめとしたクラウドサービスでは、オプションでMFA認証に対応している。

一つのクラウドサービスを用いる場合は、MFA認証に対応しているクラウドサービスを利用すれば良いが、多くの企業は複数のクラウドサービスを併用しているのではないだろうか。

MFAツールには、シングルサインオン対応型、多要素認証特化型サービスなどがあり、シングルサインオン対応型であれば、複数のクラウドサービス、アプリケーションを用いる場合でも、一つのMFAツールに統合して管理することができる。

中でも、シングルサインオン型のMFAでありつつ、ID管理、ログ管理もできるデジタルアーツ社の『StartIn』だと、一台で安全な認証を実現可能だ。

独自の認証機能で安全なID管理を実現できる『StartIn』の詳細はこちら

近年はサイバー攻撃にAIが活用されるようになり、MFAを突破する事件も発生している。

2024年5月に発見されたAndroid搭載機種向けの金融機関を標的にしたバンキング型マルウェア「Ajina.Banker」などは、MFAを回避してしまうため、MFAを導入しただけではサイバー攻撃の脅威から解放されたとは言えない。OSやアプリを常に最新に保つことや、怪しいサイトやマルウェアには気を付けるなどの従来の対策も組み合わせることが不可欠だ。

また、MFAにはSMSでワンタイムパスワード（OTP）を発行するタイプも存在するが、SMSは暗号化されていないため、ワンタイムパスワードがサイバー攻撃者に盗まれてしまうリスクが発生することも覚えておきたい。

関連記事：PCだけじゃない! スマートフォンを標的にしたマルウェアの危険性