デジタル社会の発展にともなう情報セキュリティリスクの高まりを受けて、各業界のセキュリティガイドラインでは、ログインする際の認証方法に、「多要素認証(Multi Factor Authentication。略してMFA)」を要請もしくは推奨しています。
この多要素認証の導入には、「PassLogic」によるパスワードを用いない多要素認証、「パスワードレス多要素認証」の採用が効果的です。
この記事では、なぜPassLogicが各業界のセキュリティガイドラインに対応する多要素認証としておすすめなのか、その理由について解説します。
各業界ガイドラインが求める多要素認証
不正アクセスによる情報漏えいリスク
テレワークやリモートワークなど新しい働き方が定着した一方で、社員が社外から情報にアクセスする機会が増え、情報漏えいなどのセキュリティリスクが高まっています。
東京商工リサーチの調査によると、上場企業において2023年の情報漏えい事故件数は175件で、3年連続で過去最多を更新しています。
原因別では全175件中93件(53.1%)と最も多かったのが「ウイルス感染・不正アクセス」でした。「情報漏えい・紛失事故」は、年々増加傾向であり、その原因は「不正アクセス」によるものが多いことが分ります。
情報漏えい・紛失事故件数
出展 東京商工リサーチ:2023年「上場企業の個人情報漏えい・紛失事故」調査
業界ガイドラインが多要素認証の適用範囲を拡大
不正アクセスへの対策として、各業界のセキュリティガイドラインでは、システムへの入り口の認証を強化する「多要素認証」の適用範囲を拡大しています。医療業界、教育業界、行政の本人確認手続きなどでは、多要素認証の適用範囲が特に拡大されており、この傾向は他の業界のガイドラインでも徐々に広がっています。
多要素認証とは
では、多要素認証とはどのような認証方法なのでしょうか?
多要素認証とは、認証の信頼性を高めるために、「知識」「所有物」「生体情報」の3つの認証要素のうち、異なる2つ以上の要素を組み合せることで、認証を強化する方法です。事実上、二要素あれば成立するので、二要素認証とも呼ばれます。
多要素認証導入時のポイント
高いセキュリティを保ちつつ、 ユーザビリティとコストパフォーマンスも追及するためには、どのようなことに注意すれば良いのでしょうか。そのポイントを整理します。
ポイント1 パスワードには問題点がある
認証方式として、最もよく使われているのは「パスワード」です。しかし、パスワードには、大きく2つの問題点が存在します。
1つ目は「簡単なパスワードにすると推測されやすい」ということです。覚えやすいように、簡単なパスワードに設定すると、類推攻撃や、リスト型攻撃、辞書攻撃などによって推測されやすく、不正アクセスを受けてしまう可能性が高まります。なお、IPA(独立行政法人情報処理推進機構。国のIT政策実施機関)の調査結果によると、他人に推測されやすいパスワード(氏名や誕生日など)を設定していると答えた人は全体の25%でした。
2つ目は、「漏えいすると容易にログインされてしまう」ということです。特に問題なのは、パスワードの使いまわしをしていると、どこかのサービスで漏えいしたパスワードを使って、別のサービスで不正アクセスされる危険性が高まる点です。同じIPAの調査では、複数のサービスで同じパスワードを設定していると答えた人が、なんと全体の半分以上もいました。
出展 IPA:「2022年度情報セキュリティの倫理に対する意識調査_職業軸」報告書
さらに問題なのは、パスワードポリシー(長く複雑なパスワードの設定、使いまわしの禁止など)を利用者に教育しても、管理者が確認する方法がなく、セキュリティリスクが残り続ける点です。
ポイント2 知識認証は優れている
パスワードには「簡単なパスワードにすると攻撃されやすい」「漏えいすると容易にログインされてしまう」という問題点があり、管理が難しいため、セキュリティリスクがあります。
しかし一方で、知識認証には、自分の脳内から出さずに秘密にしておく限り、盗難の心配はない、という強みがあります。本人が明かす意思がない限り、脳内にある知識情報を外部から奪うには、犯罪をともなう攻撃をしなくてはなりません。これは、所有物における紛失・盗難のリスクや、顔や指紋といった生体情報を複製されるリスクとは比較にならないほど小さなリスクです。
また、所有物や生体情報のように、ICカードやスマートフォン、スキャナーやカメラといった「モノ」が不要というのも強みとなります。 そこで、この強みを生かした「パスワードではない知識認証」を使うことが考えられます。
多要素認証におすすめのPassLogic「パスワードレス多要素認証」
多要素認証の導入を検討中の方におすすめなのが、PassLogic「パスワードレス多要素認証」です。どんなメリットがあるのか、おすすめの理由を解説します。
パスワードに代わる知識認証で高いセキュリティ
PassLogicの認証方式は、「パターン」による高いセキュリティの知識認証を利用します。ログイン画面に乱数表が表示され、事前に決めておいたパターンに沿って読み取ることで「ワンタイムパスワード(デバイスレス・ワンタイムパスワード
)」として利用できます。複数のパスワードを覚えたり、管理したりする必要がなく、当然ながら、使いまわしの心配もありません。
デバイスレス・ワンタイムパスワードの仕組み
別の機器が不要なので手間がかからない
PassLogicの多要素認証は、”本人だけが知っているパターン(デバイスレス・ワンタイムパスワード)” と ”会社が許可した端末を持っている(クライアント証明書)” という、知識+所有物の2つの要素により「パスワードレス多要素認証」を実現します。
この認証方式では、多要素認証であっても、ブラウザ上だけで認証が完結するので、ハードウェアトークンや、スマートフォンなどの機器が不要なため、管理や持ち運びなどの手間がかかりません。
導入・運用コストを低く抑えられる
別の機器を用意する必要がないため、セキュリティ・利便性が高いことに加えて、導入・運用コストが低く抑えられます。
PassLogicのその他の機能
PassLogicは多要素認証によるセキュアなアクセスだけでなく、認証プラットフォームとして企業様の多様なニーズにお応えします。
・シングルサインオン(SSO)
・WindowsOS認証強化
・アクセスコントロール
・ユーザー情報の自動更新 など
導入事例
PassLogicの多要素認証を、ご導入いただいた事例をご紹介します。
まとめ
各業界のガイドラインが要請する「多要素認証」に対応することで、不正アクセスに対するセキュリティを強化するだけでなく、関連する規制要件に適合し、企業の信頼性を向上させることができます。
多要素認証は、認証情報同士が相互に補完し、強みを生かす組み合わせが重要であり、そのひとつには、脳内の情報を利用する知識認証を使うことが大切です。
パスワードに代わる知識認証で「パスワードレス多要素認証」を実現するPassLogicは無料評価版もご用意しています。ぜひ、ご検討ください。
