デジタル資産を守る--サイバーセキュリティのベストプラクティス

2要素認証でセキュリティ強化--設定方法、認証アプリ、保護すべきアカウント

Ed Bott (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2024-02-13 07:30

 たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。

 長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。

 強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。

 その解決策が、2要素認証、すなわち2FAだ(細部にこだわる一部のサービスは、多要素認証や2段階認証と呼んでいるが、最も広く使用されているのは2FAという用語だ。そこで本記事では、2FAを使用することにした)。

 サービスで2FAを有効にすると、セキュリティ要件が変わり、少なくとも2種類の身元証明を提示して、保護されたサービスにアクセスしなければならない。この2種類の認証形式は、以下の要素の少なくとも2つを任意に組み合わせたものになる。

  • 「自分が知っていること」。パスワードやPINなど。
  • 「自分の特徴」。指紋やその他の生体認証IDなど。
  • 「自分が所有しているもの」。確認コードの生成や受信が可能な信頼できるスマートフォン、ハードウェアベースのセキュリティデバイスなど。

 何者かがパスワードを盗んで、未知のデバイスからサインインしようとすると、2つ目のID証明の提供を(通常は数字コードの形式で)求められる。そのサインイン要求を出したのが、アカウントの認証情報を盗んだ者だった場合、そこから先に進むことはできない。その数字コードがなければ、サインインプロセスを続行できないからだ。

 現在導入されている2要素認証システムでは、多くの場合、最初の要素(パスワード)と最後の要素(スマートフォン)が使用される。スマートフォンは広く普及しているため、最適なセキュリティデバイスとなっている。

 スマートフォンは、サインイン時にパスワードと併せて使用する固有のコードを提供することで、認証を支援することができる。そのコードを取得する方法は2つあり、サービスからテキストメッセージとして送信させるか、スマートフォンにインストールされたアプリで生成する(一部のサービスでは、スマートフォン上でプッシュ通知を承認することもできる)。

 Microsoftのレポートは、2FAがうまく機能し、自動化された攻撃の99.9%をブロックしていると結論づけた。サービスプロバイダーが多要素認証をサポートしている場合は、それがSMSベースのワンタイムパスワードのような単純なものであっても使用した方がいい、とMicrosoftは推奨する。Googleによる別のレポートも同様の結論だった。

 2要素認証は、偶発的な攻撃のほとんどを阻止するが、完璧ではない。断固たる決意で特定のアカウントを直接標的にする攻撃者は、2FAを回避する方法を発見できるかもしれない。特に、復旧用のメールアカウントの乗っ取りが可能な場合や、通話やSMSメッセージを自分の管理するデバイスにリダイレクトできる場合は、その可能性が高まる。しかし、何者かがそこまでの確固たる意思でアカウントに侵入しようとしているのなら、もっと大きな問題がある。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]