前回の記事「クラウド利用におけるゼロトラスト対策 これからのIDaaS」で、「ゼロトラスト」対策の要となる「IDと認証管理」ツールに求められる、機能面・ビジネス面の最新特性について説明しました。
今回は、昨今サイバー攻撃・脅威が深刻化する状況を受けて、もっとも重要視されている「フィッシング耐性の高い認証」について見ていきます。
シリーズ「ゼロトラストセキュリティとIDaaSの活用」
#1 ゼロトラストセキュリティ 最新状況とメリット
#2 ゼロトラスト対策のポイントはIDと認証管理
#3 クラウド利用におけるゼロトラスト対策 これからのIDaaS
▶ #4 クラウド利用におけるゼロトラスト対策 フィッシング耐性の高い認証
「フィッシング耐性の高い認証」でサイバー攻撃から身を守る
近年、サイバー攻撃の高度化が進んでいます。その中でも、ユーザーの認証情報(ID・パスワード)を盗み、不正ログインを行う「クレデンシャルフィッシング」は、最も一般的な攻撃手法の一つです。
クレデンシャルフィッシング攻撃は、巧妙な偽のメールやWebサイトのURLを送りつけ、ユーザーの認証情報を騙し取る手口です。
従来の二要素認証(2FA)では、ID・パスワードに加えて、SMSやアプリによるワンタイムパスワード(OTP)の入力が必要になるため、ある程度の対策にはなりますが、それでも十分ではありません。なぜなら、最新のクレデンシャルフィッシング攻撃の一つであるAdversary-in-the-Middle(AiTM、中間者攻撃)では、ユーザーの認証情報そのものを盗むため、OTPも無効化されてしまうからです。
AiTM は、攻撃者がターゲットユーザーとユーザーがアクセスしたい Web サイト(攻撃者が偽装したいサイト)の間にプロキシサーバーを配置し、ターゲットのパスワードと Web サイトとの継続的かつ認証されたセッションを証明するセッション Cookie の窃取を目的としたフィッシング攻撃です。この攻撃は、セッションクッキーを盗むため、多要素認証 (MFA: Multi-Factor Authentication) の認証プロセスを回避して不正アクセスを実現します。
Microsoft のセキュリティ研究チームによると(※出典)、この攻撃は 2021 年 9 月以降、1 万以上の組織が標的になっていると見られ、フィッシング耐性の高い多要素認証(MFA)を導入することが、サイバー攻撃から身を守るためには重要です。
フィッシング耐性の高い認証とは?
フィッシング耐性の高い認証とは、ユーザーの認証情報だけでなく、ユーザーの所有するデバイスや生体情報など、複数の要素を組み合わせて認証(多要素認証、MFA)を行うものです。これにより、クレデンシャルフィッシング攻撃による被害を大幅に軽減することができます。
フィッシング耐性の高い認証、つまり多要素認証(以下、「MFA」)には、以下の2つの種類があります。
デバイスベースのMFA
デバイスベースのMFAは、ユーザーが所有するデバイスを認証要素として使用するものです。具体的には、デバイスにインストールされたアプリやデバイス固有のID・パスワードなどを使用して認証を行います。
デバイスベースのMFAは、フィッシング攻撃の対象となるユーザーの認証情報を分散するため、フィッシング攻撃の成功率を低下させることができます。
生体認証ベースのMFA
生体認証ベースのMFAは、ユーザーの生体情報(指紋、顔、静脈など)を認証要素として使用するものです。
生体認証ベースのMFAは、ユーザーの認証情報を完全に秘匿するため、フィッシング攻撃に対して最も強固な対策とされています。
フィッシング耐性の高いMFAを導入するメリット
フィッシング耐性の高いMFAを導入することで、以下のメリットが得られます。
サイバー攻撃による被害を大幅に軽減できる
フィッシング耐性の高いMFAを導入すると、攻撃者はユーザーのID・パスワードだけでなく、デバイスの所有権やユーザーの生体情報を盗む必要がある為、被害を大幅に軽減できます。
例えば、Googleの調査によると、デバイスベースのMFAを導入することで、アカウント乗っ取りのリスクを80%削減することができたとされています。
また、米国国立標準技術研究所(NIST)のガイドラインでは、多要素認証を導入することで、アカウント乗っ取りのリスクを99%削減できるとされています。
ユーザーの利便性を向上できる
従来のMFA又は2FA(二要素認証)では、OTPの入力が必要になるため、ユーザーにとって手間やストレスになる場合があります。
しかし、フィッシング耐性の高いMFAでは、ユーザーの認証情報を分散したり、生体情報を使用したりすることで、ユーザーにとってより利便性の高い認証を実現することができます。
フィッシング耐性の高いMFAを導入する方法
フィッシング耐性の高いMFAを導入するには、以下の2つの方法があります。
オンプレミス型MFAソリューションを導入する
オンプレミス型MFAソリューションは、自社でMFAサーバーを構築して運用する方法です。
オンプレミス型MFAソリューションは、自社のセキュリティポリシーや要件に合わせてカスタマイズできるというメリットがあります。
クラウド型MFAソリューションを導入する
クラウド型MFAソリューションは、クラウド上でMFAサービスを利用する方法です。
クラウド型MFAソリューションは、導入や運用が容易であり、最新のガイドライン・法規制・攻撃手法に対応した最新テクノロジーの恩恵を受けやすいメリットがあります。
フィッシング耐性の高いMFAの導入事例
フィッシング耐性の高いMFAは、すでに多くの企業で導入されています。
例えば、Googleでは、2022年から、すべてのユーザーに対してデバイスベースのMFAを導入することを発表しました。また、Microsoftでは、2023年から、すべてのユーザーに対して生体認証ベースのMFAを導入することを発表しました。
「Okta」のクレデンシャルフィッシング耐性
当社が取り扱うIDaaS製品「Okta」は、組織の従業員から関連するビジネスパートナー企業まで、すべてのユーザーペルソナをサポートし、組織の規模に合わせて、エンドツーエンドのアイデンティティ中心でフィッシング耐性の高い認証を提供します。
フィッシング耐性の高い認証を実現する仕組みとしては、以下の3つが挙げられます。
- 独自のデバイスベースMFA「Okta FastPass」の提供
- WebAuthnによるFIDO 2規格への対応
- PIVスマートカードに対応
Oktaのソリューションは、あらゆるデバイス管理ツールと連携し、フィッシングに強い認証フローを実現します。また、Oktaは、組織内のシステムやアプリケーションにアクセスするデバイスの最低限の要件を満たすために、管理者に認証のポリシールールにデバイスチェックを追加することもサポートしています。
当社でのご支援
NHNテコラスでは、IDaaS製品として、グローバルでトップシェアを誇るOkta社が提供する、従業員のID・アクセスを統合管理するクラウド型サービス「Okta Workforce Identity Cloud」を取り扱っています。ライセンス販売から、検討段階のヒアリング・検証・上流工程のコンサル支援・導入支援も行います。
また、インフラ・ネットワーク支援として、ご利用中のAWS(Amazon Web Services)・GCP(Google Cloud Platform)の現状分析・診断を始め、構築・運用・監視を「C-Chorus」というサービス名で提供しております。
ご興味がある方は、お気軽にお問合せフォームからご相談ください。
シリーズ「ゼロトラストセキュリティとIDaaSの活用」
#1 ゼロトラストセキュリティ 最新状況とメリット
#2 ゼロトラスト対策のポイントはIDと認証管理
#3 クラウド利用におけるゼロトラスト対策 これからのIDaaS
▶ #4 クラウド利用におけるゼロトラスト対策 フィッシング耐性の高い認証