企業で多要素認証を行う難しさ
認証系の製品のサポートを行うことが多い立場柄、多要素認証が導入できていないお客様には、多要素認証の重要性や必要性を説明する機会も多いのですが、「うちの会社では〜〜〜だから、多要素認証できないんですよ」みたいな事を言われるケースが多くあります。確かに、多要素認証をユーザーの方にセットアップしていただき、使っていいただくという事は様々な観点での課題があると思いますし、それらの課題を解決していくというのは、大きな会社になればなるほどかなり大変だと思います。
会社の IT を管理していたり、アカウント/認証系のシステムに携わっている方には耳タコだと思うので今更、多要素認証の重要性や必要性をつらつらと記事にする必要はないかと思いますが、やりたいとは思っていても様々な要因で多要素認証を適用できていない状況の会社は意外と多いと感じましたので、私が出会った課題やそれぞれについての対応案・考え方についてまとめてみようと思います。
企業内で多要素認証を適用したいが、課題に直面してしまっている方の一助になれば幸いです。
スマートフォン配ってない/配れない問題
一番よくある話。多要素認証といえばスマートフォンのアプリを使ってというイメージも浸透してしまっているという気もします。
個人で持っているスマートフォンを利用させる。
個人で持っているスマートフォン端末で Microsoft や Google の多要素認証アプリを利用させるのが一番コストは掛からないでしょう。
令和4年の総務省の調査結果によると、個人でのスマートフォン保有割合は77.3%(令和四年通信利用動向調査)となっており、8割弱の人はスマートフォンを持っています。持っていない人のことはもちろん考える必要がありますが、個人のスマートフォンを利用させることで約8割の人には MFA をかけることができると考えて良いはずです。
会社で使うシステムで、個人の端末を利用させるという事はできない
会社のシステムの利用に個人の端末を利用させるのなんて駄目だと言う考えの組織も多いでしょう。ただ、アプリで一般的に使われるような時間ベースの OTP の仕組みはデータを保持するものではありません。個人の端末の多要素認証アプリを利用することで会社データが個人の端末上に保持されてしまったり、データ漏洩などのリスクを上げるものではありません。
会社指示で業務を行わせる場合のモバイル通信費用の負担をどうするかという話のケースもあるかと思います。時間ベースの OTP 自体がほぼネットワークを必要としません。Microsoft Authenticator のプッシュ通知やバックアップなどの仕組みでモバイルデータ通信が必要となりますが、参考までに私の Microsoft Authenticator は約1年9ヶ月間ほど利用してモバイルデータ通信量としては114MBでしたので、月当たりの通信料は5.5MBくらいになっていました。MVNOの1GBプランで500円とかがあるので、プランの通信料あたりの単価をベースにコスト換算すると、月当たり約3円となります。在宅勤務を行っている企業であれば、在宅勤務中の電気代とか通信費とかと比べると微々たるものになると思います。この費用の処理の手続きを考えることはあまり効果的とは言えないのではないかなと思います。(私は特に業務上 Authenticator の利用多いほうだと思いますので一般的なユーザーはもっと通信料が少ないかもしれません。)
でもやっぱり個人の端末使わせられないんだよね・・・
とはいえ、デバイスを持っていない人や、会社のデータに影響はないし、通信費用とかもほぼ無視していいレベルだというのはわかったけど、それでも個人のデバイスは使わせたくない(規定などのルールを変えられないから使わせられない、業務委託者などのビジネス パートナーに個人デバイスの利用をさせることが出来ない、仕事場に個人のスマートフォンを持ち込めないようになっている等)というケースもあるでしょう。そのような場合はどういった対処があるかの例を以下に記載します。
1. Windwos Hello for Business (WHfB) の利用
認証システムに Microsoft Entra ID(以前の Azure AD)を利用しており、Windwos 端末を利用している場合の一番の推奨は Windwos Hello for Business (WHfB) を利用することです。WHfB は Microsoft Entra ID の多要素認証として利用することが可能です。
WHfB はセットアップ時に他要素認証が必要になりますが、現在は TAP (Temporary Access Pass)を利用することで、セットアップすることも可能になっています。
2. PC に多要素認証のアプリを導入
WHfB が利用できない場合の選択肢としては、業務利用する Windows 端末や Mac 端末上で動作する多要素認証アプリを利用するというのがあります。Microsoft や Google などが提供しているアプリはないため、利用可否の判断やサポート面などは各社で判断、検討頂く必要がありますが、サードパーティ製の認証アプリはいくつか存在しておりますので、それらを利用することで追加のデバイスを導入することなく多要素認証に対応することが可能です。
3. セキュリティ ハードウェア トークンなどを配布
追加費用が掛かってしまいますが、FIDO2 に準拠したセキュリティ ハードウェア トークンを配布することで多要素認証を実現することも出来ます。
作業場所が、スマートフォンを持ち込めない場所
でもやっぱり個人の端末使わせられないんだよね・・・と同じように、Windows Hello for Business、サードパーティ製の TOTP、 ハードウェア トークン、などを検討しましょう。
偉い人に多要素認証を掛けれない問題
大きな企業でよくあるのが役員クラスの偉い方に対して、多要素認証といったことをやらせるのは無理と考えられているケースです。Microsoft Entra ID の条件付きアクセスはポリシーの除外対象を指定することもできるので、もちろん特定のユーザーは多要素認証を掛けないといった事もできます。ただ、本当にそれでいいのでしょうか?
役員クラスなどの偉い方のアカウントこそ、乗っ取られると多大な経営への影響が出てきてしまうのではないでしょうか?サイバーセキュリティは経営問題です。CIO / CISO といった情報セキュリティを管轄する役員の理解を得て役員まで含めた認証情報をきちんと守るように考えていくのが重要だと思います。(IT の担当者がそういったところまで説明したり、理解を得るための社内調整を行うのはとても大変なこととは思いますが・・・)
運用に不可かかるだろ問題
MFA を始めると、MFA 用のスマートフォンを忘れた、無くした、などの問い合わせが増えるのではないかという懸念もあると思います。もちろん MFA を利用していなかった際にはなかった、そういった問い合わせが増える可能性はあります。しかし、Microsoft Entra では MFA の登録を行うことで、パスワード リセットを自身で行わせることができるようになります。パスワードを忘れた、リセットしたいといった問い合わせはヘルプデスクに対しても約半数の割合を占めており、1回あたり残すとも多くかかっているとの調査結果もあるようです。[1]
そのため MFA の導入に合わせてセルフ パスワード リセットを可能にして、現状のヘルプ デスクへの問い合わせを下げることで、単純な運用負担増となることを防ぐようにすることが対策として考えられます。
そもそもユーザビリティ、利便性・生産性が犠牲になってしまう問題
サインイン・ログインの度に、MFA を聞かれるのって面倒だし、生産性が落ちてしまうのではないかという考えもあります。サインインの度にスマートフォンのアプリを開いて、番号を入力してという動作は確かに面倒くさいものがあります。可能であればパスワードレスを利用いただくのがベストです。
パスワードレスとは
パスワードレスはパスワードを使わずに個人の認証・サインイン・ログインができるようにすることです。多要素認証から、パスワードが減ってしまうとそれは多要素認証じゃないのではないかと思う方もいるかも知れませんが、パスワードレスは多要素認証の拡張になります。特定の所持しているデバイス + そのデバイスの PIN や 生体情報と、多要素認証の要素はみたいしています。Windows であれば Windows Hello for Business を構成することで、端末へのサインインから Microsoft Entra ID と連携しているシステムへのサインインまでを PIN または指紋や顔等の生体認証で利便性を損ねずに MFA を実現していくことが可能です。
IP アドレス制限しているから問題ないだろ勢
その IP アドレスからアクセス際に使われた ID はなりすまされている可能性は絶対にないのでしょうか?現在のサイバー攻撃は、組織内のコンピューターを侵害し、社内の環境で活動を広げて行く事は一般的な手法です。重要なシステムへのアクセス時には信頼できる IP アドレスからのサインインでも、MFA の再認証をかけるということで防げる被害があると考えられます。
また、直近の数年間は大きく会社の働き方が変わっているかと思います。テレワーク、ハイブリッドワーク、スマート デバイスの活用など、柔軟な多様性のある働き方が増えている中、会社のネットワークからだけで業務をするとは限らなくなってきていると思います。そのような変化の中でも自分の会社ではギチギチに社内ネットワークでしか業務をさせないようにしているということは競合との競争力の低下を招く可能性もあるという点も踏まえ、本当に IP アドレスだけで制限をして行くことでいいのかを考えてみてください。
デバイス認証しているから問題ないだろ勢
私の会社は特定のデバイスでしか、アプリにアクセスさせないようにしているから大丈夫という考えの方もいると思います。ただ本当にそうでしょうか?デバイスの認証をどう行うかにもよりますが、そのデバイスは本当に健全で侵害されていない端末として考えられますか?そのデバイスが使われていても、明らかに悪意のある IP アドレスからのアクセスも端末が信頼できるからと言って、他のチェック無しでアクセスを許可して良いのでしょうか?
もちろん会社支給のデバイスだけに制限することはセキュリティ上意味があり、重要な対策ですが、それだけで多要素認証を行わなくても良いということにはならないと思います。
もちろんすべての条件で会社支給のデバイスに加えて追加の多要素認証を求めるということはしなくても良いと思いますが、アクセスするアプリケーションや、リスクに応じて多要素認証を求めるという事は組み合わせて考えることで軽減できるリスクがあるはずです。
さいごに
私がよく聞いてきた多要素認証の導入の課題となっているようなお話をまとめてみましたが、各社固有の事情というものは多くあると思います。しかし、Microsoft のこのブログにもあるように多要素認証はアカウント乗っ取りのリスクを99%以上軽減すると言われています。是非前向きに多要素認証の導入を検討いただければと思います。
上記以外にもこういった課題があります、こういう対応でうまく多要素認証を導入したといったお話があれば是非コメントで教えていただけると嬉しいです。
Discussion