2要素認証でセキュリティ強化–設定方法、認証アプリ、保護すべきアカウント

今回は「2要素認証でセキュリティ強化–設定方法、認証アプリ、保護すべきアカウント」についてご紹介します。

関連ワード (デジタル資産を守る--サイバーセキュリティのベストプラクティス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。

 長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。

 強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。

 その解決策が、2要素認証、すなわち2FAだ(細部にこだわる一部のサービスは、多要素認証や2段階認証と呼んでいるが、最も広く使用されているのは2FAという用語だ。そこで本記事では、2FAを使用することにした)。

 サービスで2FAを有効にすると、セキュリティ要件が変わり、少なくとも2種類の身元証明を提示して、保護されたサービスにアクセスしなければならない。この2種類の認証形式は、以下の要素の少なくとも2つを任意に組み合わせたものになる。

 何者かがパスワードを盗んで、未知のデバイスからサインインしようとすると、2つ目のID証明の提供を(通常は数字コードの形式で)求められる。そのサインイン要求を出したのが、アカウントの認証情報を盗んだ者だった場合、そこから先に進むことはできない。その数字コードがなければ、サインインプロセスを続行できないからだ。

 現在導入されている2要素認証システムでは、多くの場合、最初の要素(パスワード)と最後の要素(スマートフォン)が使用される。スマートフォンは広く普及しているため、最適なセキュリティデバイスとなっている。

 スマートフォンは、サインイン時にパスワードと併せて使用する固有のコードを提供することで、認証を支援することができる。そのコードを取得する方法は2つあり、サービスからテキストメッセージとして送信させるか、スマートフォンにインストールされたアプリで生成する(一部のサービスでは、スマートフォン上でプッシュ通知を承認することもできる)。

 Microsoftのレポートは、2FAがうまく機能し、自動化された攻撃の99.9%をブロックしていると結論づけた。サービスプロバイダーが多要素認証をサポートしている場合は、それがSMSベースのワンタイムパスワードのような単純なものであっても使用した方がいい、とMicrosoftは推奨する。Googleによる別のレポートも同様の結論だった。

 2要素認証は、偶発的な攻撃のほとんどを阻止するが、完璧ではない。断固たる決意で特定のアカウントを直接標的にする攻撃者は、2FAを回避する方法を発見できるかもしれない。特に、復旧用のメールアカウントの乗っ取りが可能な場合や、通話やSMSメッセージを自分の管理するデバイスにリダイレクトできる場合は、その可能性が高まる。しかし、何者かがそこまでの確固たる意思でアカウントに侵入しようとしているのなら、もっと大きな問題がある。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Android用Windowsサブシステム」アップデート–「Android 12.1」に
IT関連
2022-05-26 23:25
日本では半数以上の組織が未登録デバイスで業務プラットフォームにログイン–シスコ調査
IT関連
2023-01-14 11:38
GitHub、「GitHub Copilot Chat」を一般提供–「GPT-4」に対応
IT関連
2024-01-01 08:26
Linuxのファイル可逆圧縮ツールにバックドア、JPCERT/CCが確認呼び掛け
IT関連
2024-04-03 15:15
Amazon Prime Day 2023を支えたAWS。GravitonプロセッサのAmazon EC2インスタンス投入で消費エネルギーが昨年比60%減に
AWS
2023-08-07 11:26
日本生命、ハイブリッドクラウドの中核システムに「IBM z16」を採用
IT関連
2023-03-16 07:16
「スライビング」な従業員の育成へ–パナソニック コネクト、23年度からジョブ型導入
IT関連
2023-02-24 01:52
オートバックスセブン、顧客ID統合基盤として「SAP Customer Data Cloud」を導入
IT関連
2024-03-31 15:17
オラクルがクラウド時代に企業へアピールするアプリケーションの姿
IT関連
2022-11-16 21:03
成城大学、NGAVとEDRを備えるエンドポイントセキュテリィ製品を導入
IT関連
2021-05-26 05:52
神奈川工科大学、「入学前教育プログラム」に学習プラットフォーム採用–学習習慣の醸成に
IT関連
2024-03-09 23:59
「プロセスマイニングを再発明する」Celonis、プロセス管理実行基盤に新機能
IT関連
2022-12-23 13:03
IBMが量子コンピューター分野の開発者認定資格をスタート–その背景と意義
IT関連
2021-04-15 08:29
オラクル、OpenJDKに静的なネイティブイメージの生成機能を組み込む方針を明らかに。GraalVMのOpenJDKへのコントリビュートで
Java
2022-11-01 22:19