COLUMN

2024.09.02

ITの引っ越し~持っていけば動くわけではありません~

多要素認証についての雑感

written by 古川 恒郎

生体認証の話題が続きましたが、今回はスマートフォンやドングルなど外部機器を使用した多要素認証に関する話題です。MicrosoftはMicrosoft365の法人版についてMicrosoftアカウントへのサインインを行う際、旧来のユーザー名とパスワードによる認証に加えてスマートフォンへの音声通話やSMSによるコード送信やAuthenticatorアプリを使用する多要素認証(MFA)の設定をオプション機能から必須機能とするように移行を進めています。

移行自体は数年前から始まっていて、法人テナントの管理者が旧来方式の継続をあらかじめ設定しておかないと、Microsoftアカウントへのサインインの際に移行を促すメッセージが表示され、その際に利用者が旧来のユーザー名とパスワードを継続することを選択せずに素直にダイアログの指示に従うとMFAの設定に進むという方式でした。このようにこれまでは移行作業の負荷、その他の理由でMFAなしでの運用も可能でしたが、今年の夏に入った頃、Microsoftから今年の10月15日からAzureポータル・Entra管理センター・Intune管理センターへのサインインはMFAが必須になるため、それまでに設定を済ませるようにという通知が届き始めました。今のところ各種サービスへの管理サイトへのアクセスに関してセキュリティ強化のために単純なユーザー名・パスワードによる認証ではなくMFAを必須にするという目的のようですが、今後遠くない将来には一般ユーザーのアカウントについてもMFAが必須の条件になるだろうと思います。

スマートフォンの普及以前に多要素認証を提供するためには、RSAのSecureIDなどのセキュリティトークンと呼ばれる外部機器を使用するのが一般的でした。ただし、自前で運用する場合には端末1台あたりで10,000円程度の費用と管理サーバーの設置・運用などが必要だったため、セキュリティの運用管理にそれだけの負担が可能な組織以外には非現実的な選択だったと言ってよいでしょう。こういった機器を認証用の機器として使用するには、なりすましなどの不正利用を防ぐためにその機器が世界中で間違いなく1台しかないという担保が必須ですが、スマートフォンやタブレットがほぼ一人に1台以上の数で世界中に普及した今では、端末ごとに固有の識別IDが割り当てられていることに加えて、携帯電話のSIMにも固有のIDが割り当てられているので、端末機器の唯一性が担保できようになりました。

MicrosoftアカウントのMFA必須もユーザー側が自前でこうった唯一性が担保された通信機能を備えた端末機を当たり前に所持しているようになったことが背景にあるだろうと思います。いくらセキュリティ機能強化という名目があっても、セキュリティトークンとその運用システムを利用者側に自前で用意しろとはとても要求できないでしょうが、利用者側が必要な機器を自腹で用意してくれているのですからこれに乗らない手はないでしょう。

一般的な利用者の承認に関してもMFAの使用が必要になることが増えていますが、今後もこの展開は継続していくのだろうと思います。

2024年9月


古川恒郎のコラム>>>
2024年10月以前のコラムはこちら>>>

一覧へ戻る →

ITシステムの導入や運用に関する
お困りごとがありましたら、
お気軽にご相談ください。

お問い合わせ

お問い合わせ