多要素認証
ランサムウェアの被害が拡大する中、情報セキュリティを強化する上で「多要素認証」の導入を進めている企業や病院が増えております。
ユーザー管理システムと同様、一つのパスワードのみで運用管理をすることは漏洩時の被害度が大きいため、複数の要素をもって認証を行う事が必要となります。
多要素認証のメリット
-
不正アクセスの防止
パスワードだけが流出されても直ちに不正アクセスに利用される可能性が低くなります
-
従業員への啓蒙となる
従業員がそれぞれ行う認証となるので情報セキュリティに対する意識が強まります
-
アクセスの真正性の向上
本人によるアクセスであることがより強く証明されます
例えば、特定のパソコンにログインする際、パスワード(知識情報)と社員証(所持情報)や、パスワード(知識情報)と指紋認証(生体情報)の2つを合わせて初めてログインができるような仕組みが多要素認証にあたります。 ユーザー管理システムの様に、IDとパスワード等で認証する方法とは違い、あくまでも複数の「要素」が認証の鍵となっている所が多きなポイントとなります。
パスワードが外部へ漏洩された場合、重要なのは漏洩に至った迄のルートや、それらが起こりうる状況であったという事実です。
その場合、例えIDとパスワードの2つで認証を行う方法を取っていたとしても、両方とも漏洩がされる可能性は決して低くはありません。
それらを防止するために、「知識情報」「所持情報」「生体情報」の中の複数の要素を取り入れた認証が必要となります。
パスワード(知識情報)の漏洩がされても、社員証(所持情報)の漏洩に直ちに繋がる可能性は限りなく低いという考え方です。
多要素認証とは?
認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。
知識情報…パスワードや合言葉など、人の記憶による情報
所持情報…ICカードや社員証など、物理的な所有物
生体情報…指紋や静脈認証など、人間の生体的な情報、バイオメトリクスとも言います
多要素認証の導入方法
具体的な多要素認証の導入方法はいくつかありますが、代表的な物だけご紹介させていただきます。
【ハードウェアトークンを利用した方法】
ハードウェアトークンとは、認証を行う際にユーザー宛にワンタイムパスワードを表示させる機械であり、非常に低コストで導入できるシステムとなります。
最初のステップとして自身のIDやメールアドレスを入力すると、ハードウェアトークンの方にその時一度きり有効なパスワード(ワンタイムパスワード)が表示されるようになり、ユーザーをそれを確認し、入力することで初めて認証が成功となります。
IDやメールアドレスの知識情報、ハードウェアトークンの所持情報の2要素での認証となります。
【スマートフォンアプリを使ったソフトウェア認証】
ハードウェアトークンとは違い、スマートフォンのアプリを使った多要素認証も広く浸透しております。
原理はハードウェアトークンと同じで、IDやメールアドレスを入力後、スマートフォンアプリにトークンと同じように通知が来ます。
システムによって様々ですが、そのアプリ上に表示されたワンタイムパスワードや、または「認証する」等のボタンをプッシュして初めて認証が完了となります。
IDやメールアドレスの知識情報、スマートフォンの所持情報、スマートフォンに生体ロックをかければ3要素での認証となります。