【コラム】多要素認証
先月のメルマガでも触れましたが、コロナ禍で新しい働き方としてリモート・ワークが一気に社会に浸透しつつあるようです。メディアでも「テレワーク継続9割」と報じられておりました。皮肉にもコロナ禍がデジタル化を推進するきっかけになったようで、今後のデジタル化投資について国内主要企業132社の内63.9%が「増やす」と回答。対象としては87.0%が「リモートワークの設備・機材」、63.3%が「セキュリティ強化」と回答しているようです。
自宅等の社外から社内アプリケーションにアクセスするため、従来のID/パスワードだけでは成りすましが発生する危険性があり、セキュリティ対策の一つとして多要素認証が求められています。
では、多要素認証とは… 今回は改めて多要素認証を解説してみたいと思います。
そもそも認証とは、システムにアクセスする人が正規のユーザであることを証明する手段です。
その本人認証の基本は1. What you know?, 2. What you have?, 3. What you are? の3つが基本とされています。(最近の欧米の傾向では、「3. What you are? 」(生体認証)は認証(Authentication)では無く、Identificationと分類されているようです。(Man in the Middleでハッシュ化された生体Dataが中間搾取され、成りすましが発生する可能性があるためです)
この3つ要素の内、2つを組み合わせるのは二要素認証、2つ以上組合わせると多要素認証と一般的には言われています。
近年PCだけではなく、iPad等のタブレット端末、スマートフォンなど様々な端末が利用され端末の多様化が進んでいます。またその利用シーンも多岐に及んでおり、(多要素)認証の仕組みもそのような環境に柔軟に対応出来るソリューションが望ましいと言えます。
では、企業や自治体ではどのような仕組みが最適なのでしょうか。
先に記述した通り、企業、自治体では端末が多様化し、その利用シーンも多岐に及んでいます。その利用シーンは全て一律のセキュリティ強度を必要としているのでしょうか。ある利用シーン:例えば自宅等の社外ネットワークからのアクセスでは、最強の強度を必要とするでしょう。しかし、社内等の内部ネットワーク内からの利用シーンでは、社外ほどセキュリティ強度は必要としないでしょう。つまり、社外からアクセスする利用シーンでは二要素認証が必須。社内からのアクセスの場合には、機器を必要としない二段階認証(トークンレス・ワンタイムパスワード等(+αな付帯機器が不要な))で対応 。しかもそれらを別々のシステムで運用/管理するのではなく、同一システムで運用/管理出来ることがIT部門にとって望ましいシステムと言えるでしょう。
そのような便利なソリューションあるのか? という声が聞こえてきますが、それを実現出来るのがSwivel Secure社 AuthControl Sentry( http://www.securitystrings.com/products/sw/index.html)です。様々な企業、中央省庁/自治体等で採用されております。
|