Categories: セキュリティ

まずは多要素認証(MFA)から。リモートワークにおいて必要なセキュリティ対策とは?

世界的な状況により、多くの企業がリモートワークを取り入れるようになりました。ただ、突然の対応を迫られたため、セキュリティ面での対策が十分にとれないまま導入し、不安を感じている情報システム管理者も少なくないのではないでしょうか。そこで今回は、リモートワークを実施する企業が注意すべきセキュリティリスクについてお伝えするとともに、その有効な対策の1つである多要素認証について解説します。

リモートワークが増え、セキュリティ環境はどう変わった?

世界的な状況により、リモートワークが増えたことで、情報セキュリティを取り巻く環境も大きく変化しました。なかでも、注意すべき変化が2つあります。

変化1:リモートからアクセスするユーザの増加

社員が会社以外の場所から、自宅のネット回線や公衆 Wi-Fi などを通じて社内システムにアクセスする機会が多くなったことです。さらに、会社から支給されたパソコンだけでなく、個人所有のパソコンやスマートフォン、ネットカフェのパソコンなど、さまざまな端末からアクセスするようになりました。

変化2:クラウドサービスの利用が増加

さまざまなクラウドサービスを利用する機会も増えました。以前からクラウドサービスを活用している企業は多かったと思いますが、リモートワークに対応するために、オンラインストレージによるデータ共有、チャットや Web 会議などのコミュニケーション、労務管理システムなど、あらゆるシーンでクラウドサービスの利用が増加したのです。

こうした変化は働き方の多様化をサポートしてくれましたが、一方でセキュリティリスクの高まりが不安視されています。たとえば、深刻な問題の1つがリモートアクセス VPN やリモートデスクトップを攻撃対象とするサイバー犯罪の増加です。2020年には VPN サービスの脆弱性をついた攻撃で、暗号化キーや ID、パスワードなどが盗まれる事例が多発しました。同年8月の NISC(内閣サイバーセキュリティセンター)による調査では、グローバルで900件、日本で数十件程度の ID 情報漏洩事故が明らかになっています。

加えて、ID やパスワードの管理がこれまで以上に困難になっていることも課題です。たとえば、業務で使用するクラウドサービスの数が増えれば、サービスごとのパスワードを覚えておくことが難しくなります。結果的にパスワードの使い回しなども増え、リスクが高まります。パスワードがわからなくなったという社員からの問い合わせへの対応や、定期的なパスワード変更の作業などによって、管理者の負担も大きくなっています。また、社員がさまざまな場所・端末からアクセスするようになったため、パスワードの漏洩リスクも高まっています。カフェやコワーキングスペースで盗み見られたり、ノートパソコンやスマートフォンを置き忘れた際に抜き取られたりする可能性もあります。

ID・パスワードだけでは危険!セキュリティ強化のためには多要素認証を

さらに今、ID とパスワードによる認証そのものを見直す動きが起きています。パスワードは長くて複雑なものを設定し、頻繁に変更していたとしても、第三者に盗まれてしまえば、簡単に不正アクセスにつながります。現実に、セキュリティ侵害の約80%はパスワードの流出が関わっています。

そこで、有効な対策の1つとされているのが多要素認証です。多要素認証(MFA:Multi-Factor Authentication) とは、パソコンなどの端末やサーバにアクセスしたり、Web サービスにログインしたりする際に、2つ以上の要素を組み合わせて行う認証方式です。知識情報、所有情報、生体情報の3つの要素の中から、2つ以上を採用します。それぞれの具体例を以下の表にまとめています。

認証の3大要素

要素 内容
知識情報 本人のみが知っている情報 ID / パスワード、PIN 番号、秘密の質問など
所持情報 本人のみが所持している物品 IC カード、USB デバイス、スマートフォンなど
生体情報 本人の身体的特徴 指紋、顔、虹彩、網膜、静脈など

異なる複数の要素を組み合わせることでセキュリティの強度を高めることが、多要素認証のポイントです。たとえば、知識情報であるID / パスワードで最初の認証を行った後に、スマートフォンのプッシュ通知などの所有情報、または指紋などの生体情報によってもう一度認証を行う。このような方法であれば仮にパスワードが盗まれても、もう1つの要素による認証を突破できないため、不正アクセスを防ぐことができます。

多様な働き方をする社員にとって使いやすい認証システムの導入を

最後に、リモートワークを実施している企業が多要素認証を導入する際のポイントについてお伝えします。

ポイント1:どの認証方式を選ぶかより、まずは導入することが重要!

多要素認証には、さまざまな認証方式があります。導入する際は自社ではどれを採用すればいいのか悩むかもしれませんが、どの方式を選ぶかということ以上に「ID / パスワードのみの認証から、多要素認証へ切り替える」ということがまずは重要です。多くの要素を組み合わせるほど、セキュリティ強度は高まります。

ポイント2:リモートワーク環境で使いやすいソリューションを

コストや運用の手間、ユーザビリティなどを考慮し、自社にとって適切なソリューションを検討しましょう。たとえば在宅勤務をする社員が多い会社の場合は、社員に新たにデバイスを配布し、使用法をレクチャーするのは手間がかかることもあるでしょう。そのような場合、スマートフォンへのプッシュ通知などであれば、社員が業務で使用しているスマートフォンにアプリをダウンロードするだけで始められるのでおすすめです。

ポイント3:緊急度の高いものからスタートし、段階的に強化

多要素認証を自社に導入する際、まずどこから手をつけるべきでしょうか。最初は SaaS などのアプリケーションや、社外から社内へのリモートアクセスに対して、多要素認証を導入するところから始める企業が多いようです。特に SaaS などは、リモートワークにおいて多くの人が業務の中で利用しているため、セキュリティ強化は急務です。また、比較的簡単に導入できるサービスが多いため、第一歩としてはおすすめです。その後、自社サーバへのアクセスにも多要素認証を採用するなど段階的に導入を進めていくこともできるでしょう。

リモートワークを実施するなら、セキュリティリスクについても改めて考え、対策を講じる必要があります。多要素認証はその対策の肝となるでしょう。そのメリットはもちろん、ユーザビリティや運用の手間、コストなどをバランスよく考えた上で、自社にとって最適な多要素認証ソリューションを検討していただければと思います。

関連記事

自社にあった方法はどれ?多要素認証(MFA)ソリューション選びのポイント
現代のセキュリティ問題を解決する「SASE」。導入する前に知っておきたいこと
中小企業も知っておきたい、リモートワーク時代のセキュリティに必須の「ゼロトラスト」とは?
【セキュリティ用語入門】EDR とは?主要な機能、EPP や XDR との違いも解説
【セキュリティ用語入門】SASE(サッシー)とは?概念や構成する要素を解説
【セキュリティ用語入門】多要素認証(MFA)とは?概要やメリット・デメリットを解説!
【セキュリティ用語入門】ゼロトラストとは?概要やメリットなどを解説!

Cisco Blog ゼロトラスト考察関連

[1] ゼロトラスト考察 – NIST SP 800-207 (Draft2)
[2] ゼロトラスト考察 – Forrester Zero Trust eXtended (ZTX)
[3] ゼロトラスト考察 – The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020
[4] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 1
[5] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 2
[6] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 3

Duo の無料トライアルをお試しください

購入前にお試しいただけます。30 日間の無料トライアルをご利用ください。いつでもどこでも安全安心な Duo のセキュリティを体験していただけます。

Share
豊島 かおり

2008年シスコシステムズ入社。

セキュリティ専任エンジニアとして、業界を問わず国内案件のセールス活動や技術サポートを行う。

ファイアウォール、侵入検知(IPS)を含むネットワーク セキュリティから、認証サーバ、運用管理ソリューションまで幅広い自社製品を担当。デモンストレーション構築を含む販売促進コンテンツの作成にも注力し、セキュリティ ソリューションの普及に邁進中。