「Identity and Access Management Recommended Best Practices Guide for Administrators」と題された27ページのガイダンスは、3月に国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティー庁(CISA)との合同によって公開された。*1
冒頭、悪意ある者がよく用いる方法として、次のような手法が用いられていることを指摘している。尚、ここでは多くの方にイメージいただき易いよう多少の意訳を行っているため、厳密な表現については原文をご覧いただきたい。
そして、これらの脅威を軽減するために、デジタルアイデンティティを管理するためのビジネスプロセス、ポリシー、技術のフレームワークであるアイデンティティとアクセス管理(以下、IAMと表記する)について本ガイダンスでは述べている。
IAMの主な目的は、適切な資格情報を持つユーザーのみがデータにアクセスできるようにすることである。これは物理的なユーザーだけでなく、サービスやシステムアカウントも対象としている。クラウドやハイブリッドコンピューティング環境への業界の推進によってIAMはますます重要になっているが、同時にデジタルアイデンティティの複雑さを管理することは困難な課題でもある。
そして、IAMを実現するためのシステムはセキュリティに基本的な認証および承認機能を実装するため、ソフトウェアの脆弱性にも影響する。そのため、IAMインフラストラクチャを保護することも重要なポイントとなる。
IAMの重要な取り組みとしてガイダンスで説明しているものは、IDガバナンス、環境の強化、外部の認証サーバを利用してサインインするIDフェデレーションとシングル サインオン (SSO)、多要素認証 (MFA)、監査と監視である。今回はこの中から多要素認証 (以下、MFAと表記する)について見ていく。
MFAとは、ユーザー名とパスワードだけでなく追加の認証要素を複数用いることで、セキュリティ強化を図る認証方法のことである。例えば、携帯電話の認証アプリに送信されるコードなども用いて認証情報を検証していく。仮にパスワードを悪意ある者に知られてしまっても、認証アプリに送信されたコードが分からなければ侵害される可能性は低くなる。
MFAにはいくつかの種類があり、携帯電話の認証アプリを用いるなどの所持品ベースでの認証では、スマートカードやセキュリティトークンなど、ユーザーが持っているものを用いて検証を行う。また、知識ベースでの認証では、ユーザー名とパスワードに加えて第二のパスワードや暗証番号などユーザーが知っている情報を用いることによって検証を行う。そして、指紋や顔認証、虹彩などのユーザーの身体的特徴を用いた生体認証がある。
これらの認証要素を組み合わせることによってセキュリティが向上し、不正アクセスを防止することができる。最新のMFA技術ではAIや機械学習を活用し、ユーザーの行動パターンを分析してリスクを評価し、認証要素を適用するダイナミックMFAと呼ばれるものも登場している。
MFAを用いることによって、近年厳格化されている法規制や業界規則への対応も助けることになる。例えば、電子決済サービスに関する欧州規制(PSD2)で要求されている強力な顧客認証(SCA)などの要件を満たすことができるし、クレジットカード情報を安全に扱うためのデータセキュリティ基準であるPCI DSSにおいてもMFAを必須としている。
また、セキュリティ面においても、従来のユーザー名とパスワードの認証方法に対して追加のセキュリティレイヤーを提供することになる。このことで悪意ある者が機密情報へ不正アクセスすることをより困難にすることができる。
近年被害事例も多いランサムウェア攻撃の場合、標的となるアカウントの認証情報にアクセスしたところから始まるため、悪意ある者は認証情報を盗む能力に大きく依存していることが多い。特に、脆弱なVPN(仮想プライベートネットワーク)やRDP(リモートデスクトッププロトコル)などが狙われ易い。
MFAが導入されている環境では、悪意ある者が正当なユーザーになりすますことが難しくなる。また、標的となったアカウントの所有者が予期しないMFAの通知が発生することで攻撃に気付き易くなり悪意ある者を締め出すために即座に行動を起こすことができる。このように、MFAはランサムウェア攻撃を防いだり被害拡大を防いだり遅らせたりすることも期待できるのだ。
MFAの利用方法については、Windows Active Directory (AD)ユーザーログインや多くの管理者ツールなどでMFAを有効にできる。ただし、悪意ある者は潜在的な攻撃可能な脆弱性を特定するために一般的なポートやプロトコルをスキャンしていることが多いため、MFAが有効になっているアカウントの抜け漏れが無いよう注意を払う必要がある。実際、MFAが有効になっていないほうのアカウントから不正アクセスをされ、ランサムウェア攻撃の被害に遭う事例は少なくない。
MFAは金融機関や企業の内部システム、政府機関など、さまざまな領域で既に多く活用されている。また、IoTデバイスやスマートホームなど、個人の生活に密接に関わる分野においても導入が進んでいる。
次世代のMFAでは、難攻不落のセキュリティと使いやすさを兼ね備え、ユーザーの利便性を損なうことなく利用でき、悪意ある者が抜け穴を見つけて利用するのを防ぐことが期待されている。
例えば、今後は生体認証技術の発展も考えられるし、AIや機械学習を活用したダイナミックMFAが一般化することによるスマートな認証プロセスが実現されることも考えられる。また、それぞれが異なる認証要素を持ったNFCを複数実行するということや、NFCやBluetoothなどの無線技術を活用することによるスマートフォンやウェアラブルデバイスと連携した認証が一般化するなど、MFAが進化していくことが予想される。
しかし、ハードウェア鍵の使用に必要なコストや手間、フィッシングやソーシャル・エンジニアリングなどの攻撃に対する知識ベースでの認証の脆弱性、所持要素の紛失や盗難のリスクなど、MFAにはまだ課題が残っているのも事実である。また、MFAソリューションの中には、MFAをバイパスする攻撃に対して脆弱なものも存在することが確認されている。
これらのことからも、次世代のMFAではセキュリティ強化と利便性の向上とのバランスを取ったものが登場することが期待される。
*1 CISA and NSA Release Enduring Security Framework Guidance on Identity and Access Management
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。
