多要素認証を活用しよう

はじめに

こんにちは、前回に引き続きマサキです。

ようやく秋らしい気候になったかと思えば猛暑がぶり返し、台風が逆走したと思えば次はダブル台風の到来。
なんとも波乱に満ちた八月もまもなく終わりますね。みなさま、いかがお過ごしでしょうか。

今回は『多要素認証』についてお話ししたいと思います。
この記事については、インターネットに触れるすべての方に一読していただきたい内容となっています。

後半は弊社、株式会社グローバル・ソリューションズ(以下GSOL)の製品もご紹介していきますので、最後までどうぞお付き合いください。

認証とは

まず、認証とは何でしょうか。

何かのサービスを受けるときに、自分が正規のユーザーであること、または『私が本物の私であること』を証明することを認証と言います。そしてそのために使うのが、秘密の文字や番号、生体情報です。 最近どんどん身近になっていますね。

例を挙げてみましょう。

このように、今や誰しもが自分だけのパスワードを持ち、日常的に認証を行っています。

多要素認証とは

では、多要素認証とは何でしょうか。

例えば『パスワードによる認証』に加え、もう一つ『指紋による認証』など別の認証を続けて行う方式のことです。複数の認証を必要とするから『多要素』と呼ぶ、分かりやすいネーミングですね。

多要素のイメージ
多要素のイメージ

また、異なる認証を二つクリアして初めてログインできるような仕組みのことは、特に『2段階認証』と呼びます。
2段階認証のイメージ
2段階認証のイメージ

最近になって増えてきたとされる認証方式ですが、一部銀行などではもっと昔から採用されていました。
利用者の大切な資産を守ろうとする金融機関の、セキュリティに対する厳格な姿勢がうかがえますね。

認証方法が変わってきた契機

最近になって増えてきた、と上述しましたが、それはなぜでしょうか。どんな契機があって、新しい認証方法が登場したのでしょうか。
実は昨年(2017年11月)、総務省の『国民のための情報セキュリティサイト』にて、こんな発表があったのです。

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

さらに、こう続きます。

むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。

このように、パスワードの定期変更はする必要がない、むしろリスクがある、と明記されています。

Tips
※下記サイトから引用しておりますので、全文はリンク先をご覧ください。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

驚いた方も多いのではないでしょうか。
ひと昔前は『パスワードは定期的に変更する』のが当たり前でした。
Webサービスなどでは、最後にパスワードを変更してから三カ月を経過したら、強制的にパスワード変更画面が表示される――ということもしばしばありました。

新しいパスワードを要求する画面イメージ
新しいパスワードを要求する画面イメージ

確かに、定期的にパスワードを考えるのも面倒なもので、つい『MGs1kIgs0l@0001』→『MGs1kIgs0l@0002』というような単純な変更にしてしまいがちです。
これが逆に危険ということで、定期的なパスワード変更を推奨しなくなった、ということですね。

日進月歩の情報分野では、今まで常識とされていたルールが目まぐるしく入れ替わる。これがITの難しいところであり、素晴らしいところでもあります。
パスワード認証についても、今回のことで大きな方針転換がなされたと言えるでしょう。

最適な認証

では、今日の『最適な認証』とはなんでしょうか?
最新のセキュリティ対策をまとめる『OWASP Top 10 - 2017』にはこのように記述されています。

かつてベストプラクティスとされてきたパスワードの定期変更や複雑性の要求は、ユーザーに弱いパスワードを繰り返し使うよう促すとの見方があります。そこで、あらゆる組織がNIST 800-63に従ってこのようなプラクティスをやめ、多要素認証を使うことが推奨されています。

Tips: NIST 800-63とは
アメリカの政府機関が、アメリカ政府各省庁・各機関に対して発行する電子認証ガイドライン

この記事の冒頭で触れた『多要素認証』が登場しました。
これまで使っていたパスワードの定期変更はやめて、多要素認証を使いましょう、という記述です。

Tips
全文は下記PDFをご覧ください。
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf

こういった流れの中で、日本でも多要素認証が広がりつつあるわけですね。

弊社GSOLの取り組み

NTTデータ・イントラマート社のパートナー会社である私たちGSOLでは、intra-mart製品として、2013年から『2段階認証&ログイン履歴』の仕組みを提供しています。

Tips: intra-martとは
『intra-mart Accel Platform』
NTTデータ・イントラマート社が販売している製品で、システム開発時に利用するアプリケーション構築基盤です。
詳しく知りたい方は、ぜひ検索してみてください。

intra-martで標準利用できるパスワード認証に加え、ワンタイムパスワード認証を使用することで、2段階認証を実現しています。

Tips: ワンタイムパスワード認証とは
一度のログインに一度きり使えるパスワードを通知して、それを入力することで認証をクリアする方式です。

ワンタイムパスワードはログインごとに別途通知されますので、万が一パスワードが盗まれていても、その通知を盗聴されなければ、なりすましログインの危険性は低くなります。

ワンタイムパスワードの通知方法は様々ありますが、弊社製品においては大きく二つあります。

  • スマートフォンアプリである『Google 認証システム』のコードを利用する
  • intra-martに登録したメールアドレスに都度送信する

どちらも原理は同じですが、『Google 認証システム』はスマートフォンAndroid / iPhone)を持っていないと利用できないデメリットがあります。

スマホアプリを利用しない人もいる
スマホアプリを利用しない人もいる

その点、メール送信なら、アドレスとネット環境があれば誰でも利用可能です。
このように、システム利用者の傾向を見つつ、最適な通知方法を選択することができます。

なお、『2段階認証&ログイン履歴』の設定は画面やAPIから可能です。
さらに、ノンコーディングシステム開発ができるIM-LogicDesignerとの連携することでも、2段階認証の設定が行えます。

Tips
詳しくは弊社のintra-mart ソリューション 製品情報サイトをご覧ください。
http://global-solutions.co.jp/documentation/index.html

まとめ

それでは、今回のまとめです。

  • 多要素認証を活用しよう!
  • GSOLの『2段階認証&ログイン履歴』をよろしく!

インターネット上のセキュリティ対策はイタチごっこです。今このとき最新最良のセキュリティも、十年もすれば時代遅れと言われていることでしょう。

十年後の技術
十年後の技術イメージ

インターネットと実生活が切っても切れないほど密接になった現代では、私たちのような情報技術者のみならず、すべてのネット利用者が、セキュリティを意識していかなくてはなりません。
今回の記事が、その意識向上の一助になればと願っています。

それでは、また次回もよろしくお願いいたします。