Zenn
🪪

MFAの導入に関するよくある課題 (会社デバイスは全員に配っていない問題)

に公開
MFA
idea

はじめに

私はゼロトラストセキュリティの導入にあたる業務を行っています。特に導入初期に検討を始めるIDやデバイスに関する部分の検討・設計・導入は、企業の大小問わず多く経験をしてきました。

その中で、MFA(Multi Factor Authentication:多要素認証)の導入に関して、表題の課題と個人的な考えについてまとめてみました。もし共感いただける方は「いいね」をいただけると幸いです。

MFAとは

上記で記述した通り多要素認証のことです。

最近は多くのサービスで本人確認を行うため、IDとパスワードを入力した後にSMSやスマートフォンの認証アプリ(Microsoft Authenticator,Google Authenticator...など)を使った認証を推奨しています。
IDとパスワードの組み合わせのように、本人の記憶にしかない情報だけでなく、本人が所有するもの、本人の生体情報の複数を組み合わせた認証を行うことをMFAと言います。

MFA導入にあたる課題

複数の情報を組み合わせた認証のことをMFAと呼びましたが、この中で比較的導入が簡単な組み合わせは、本人の記憶情報と本人の所有情報を組み合わせたものになります。
従来からある認証方法と携帯電話の普及率から、新たな仕組みやデバイスを用意しなくても良いということで、本人の記憶情報はIDとパスワード、本人の所有情報はスマートフォン・携帯電話を使うことが一般的です。
この時によく議論・相談に上がるのが、会社では全員に携帯電話を配布していません。そのため全員にMFAを適用が難しいと躊躇されるケースです。

MFAはどのデバイスでも同じではないか?

個人的な考えとして、「本人だけが所有する」ので、会社が配布した携帯電話であろうが、個人の携帯電話であろうが、セキュリティレベルは同じと考えています。
また、企業によっては正社員だけでなく、派遣や業務委託など社員ではないパートナーが利用するケースもあると思います。その場合、携帯電話を所持する正社員にはMFAを適用しますが、携帯電話を配布しない派遣・業務委託の場合はMFAを適用しないという、謎なルールになってしまう可能性があります。

そのため、会社で携帯電話を配布している・いないに関係なく、MFAの導入・適用はするべきだと考えています。

慎重な導入をするには

とは言っても、企業の社員リテラシーの問題や新しい仕組みを導入することによる問い合わせシステム部門への負荷、各部門・各部署への調整などあると思います。
どのように導入・展開するかは企業文化によりますが、部門や人ごとに徐々に試していくことも可能です。(少なくともMicrosoft Entra IDでは可能ですが、他のIDaaS製品も同様にできるだろうと思ってます。)

クラウド・SaaSがいつでも、どこからでもアクセスできる便利さがある一方で、本人以外がなりすまして利用する被害もあるため、組織のセキュリティ強化のために理解いただくよう働きかけることを推奨します。

提案や導入側としても、どういった動きになるのか・・・を説明・提示してすり合わせをした方が良いですね。とりあえず使ってみましょう!感想をください!

Discussion