データ保護が必要になった時代からこれまで、パスワードは、ユーザーが本人であることを確認する基本手段として使用されてきました。この間に、ユーザー人口は増え、さまざまなモバイル機器からのアクセスが必要になり、サーバーやクラウドに保存される情報の量も増大を続け、移動中に仕事をする機会も増えてきました。
このような利用機会の増加とともに、その情報を利用しようと狙うハッカーも増え、脆弱性が高まってきました。ユーザーの側も、忙しいために、企業ネットワークやクラウドストレージにアクセスするときのパスワードは、より簡単で憶えやすいものにしたいという誘惑にかられます。
このような状況を踏まえ、ここでは、御社をセキュリティ侵害から守るためには強力な二要素認証システムの開発と実装がどれほど必要なものであるか、一緒に見てみましょう。
二要素認証とは?
二要素認証は 2FA(Two-Factor Authentication)とも呼ばれ、ユーザー名とパスワードからなる基本的なセキュリティモデルよりも高度な認証と検証を行える追加のレイヤーです。二要素認証を行わない場合は、ユーザー名とパスワードを入力するだけです。パスワードは、認証の 1 つの要素ですが、同じユーザー名とパスワードを複数のアカウントに使用すると、ID 情報を盗まれるリスクが大きくなります。
二要素認証は機密データ保護のために推奨されている最善手法であり、扱う情報の種類によっては、この二要素認証を使用するように法律で規定されています。
なぜ二要素認証が必要なのか?
無断でデータにアクセスする際に必須なのが、パスワードなどのユーザー認証情報の不正入手です。この認証情報を使用してアカウントにアクセスし、サーバーやデータベースに不正侵入したり、マルウェアをもぐり込ませて機密情報を盗みます。ユーザーが、それぞれのサービスごとに強度の高い異なるパスワードを設定していれば、二要素認証はそれほど必要ありません。
ところが、さまざまなアカウントごとに強度の高い異なるパスワードを決めて憶えておくことは難しいこともあり、多くのユーザーは安全を犠牲にしても便利な方を選んでしまいます。 Verizon(ベライゾン社)による 2014 年の情報漏えい調査報告書 では、漏えい事故の 2/3 はパスワードの弱さやパスワードの盗難が原因となっています。
二要素認証を使用していれば、1 つの要素が見破られても、攻撃者にアクセスを許しません。つまり、1 つの要素であるパスワードが脆弱であることが分かっても、第 2 の要素でユーザーを保護できるのです。
二要素認証の動作原理
二要素認証を使用する場合は、基本的なログイン手順にもう 1 つの操作手順が追加されるため、ハッカーは 2 段階の保護機構を破らなければならなくなります。一般的には、これにより、攻撃の成功率が大幅に下がります。パスワードへの依存性を低くすることは、ユーザーにとってメリットがあるだけでなく、最終的にはネットワーク全体の脆弱性を小さくできます。
さまざまな認証方法
「二要素」認証を実現するにはさまざまな方法がありますが、ほとんどの場合は、別の独立した要素を付加することでユーザー名とパスワードによる認証の強度を高めています。
代表的な認証方法は次の 3 つです。
- ユーザーが知っている何らかの情報(パスワード、暗証番号、パターン、パスコードなど、ユーザーだけが知っているはずの情報に基づく検証)
- ユーザーが持っているもの(スマートカード、トークン、キー、電話、仮想スマートカード、その他の電子機器) - ユーザーが保有しておりユーザーに固有な物理的なもの
- ユーザー自身の属性(指紋、声紋、網膜スキャン)
一般に使用されている二要素認証のいくつかの例を以下に示します。
- (ユーザーが持っている)銀行カードと(ユーザーが知っている)暗証番号を使用して、ATM で預金口座から現金を引き出す。
- 企業の IT 部門から発行された(ユーザーが持っている)ハードウェアトークンで、(ユーザーが知っている)ユーザー名とパスワードを含む固有の番号を発生させ、企業ネットワークにログインする。
- (ユーザーが知っている)ユーザー名とパスワードを使用して事前に認可された(かつユーザーが持っている)スマートフォンやタブレットのアプリを使用して、プライベートバンキングにアクセスする。
- (ユーザーが知っている)自分のユーザー名とパスワードを入力すると、ユーザーが指定した(ユーザーがアクセス可能な)電子メールアカウントに確認情報が送られ、その確認情報を使用して、セキュリティ確保されたさまざまな Web サイトにアクセスする。
- ユーザーが指定した(ユーザーが持っている)スマートフォンに SMS メッセージで番号コードが送られ、その番号と、(ユーザーが知っている)ユーザー名とパスワードを使用して、セキュリティ確保されたサイトにアクセスする。
注:SSH キーまたは SSL 証明書を使用するログインを二要素認証と見なすこともでき、ユーザーが(自分が持っている)キーを提示し(自分が知っている)パスフレーズを使用することでロックを解除できます。ただし、この場合はユーザーがパスフレーズを使用したのかいなかをサーバーが認識できないため、二要素認証か一要素認証かがサーバーには分かりません。
二段階認証と二要素認証の比較
二段階認証では、パスワードを含むログイン操作と、スマートフォンまたは固定電話への物理的アクセスとを組み合わせることで、アカウントへのアクセスが認可されたものであるかどうかを検証します。セキュリティ確保されたサービスにログインする際に、ユーザーは ID とパスワードを入力した後、アカウントに対応する電話番号で、SMS ショートメッセージサービスまたは音声通話によりワンタイムコード(OTC)またはワンタイムパスワード(OTP)を受け取る必要があります。このワンタイム認証情報を入力するという追加操作が、検証の第 2 段、または認証の第 2 要素になります。このため、正しいアカウントパスワードを知っており、かつ物理的に必要なものも持っている人物しか、アカウントにアクセスできないことになります。
この手法は、新しい機器からアカウントにアクセスする際のユーザー認証の方法として、多くのサイトで採用されています。たとえば、あるユーザーが新しいデスクトップコンピュータを購入した場合や、新しいモバイル機器から接続する場合、あるいは以前使用していたものとは異なる機器から接続する場合などに、ユーザーが追加の認証手続きを行うように要求されます。
多くの場合、このようなタイプの高度なログインセキュリティは「二段階検証」と呼ばれます。多くのデータセキュリティ専門家、報道機関、Web サイトでは、このタイプの認証を「二要素認証」と呼んでおり、2 つの用語が同じ意味で使われ始めています。一方、業界内でも、暗号専門家や高度な認証ソリューションの開発者など他の一部の人たちは、2 つの用語を異なるものとして定義し、両者には大きな違いがあると説明しています。その大きな違いとして挙げているのは、基本的にはセキュリティインフラストラクチャと方式の違いであり、ユーザーや企業をハッキングから保護するさまざまな認証方法のデータセキュリティのレベルや性能を理解するうえで、きわめて重要です。
二要素認証はどれくらい安全なのですか?
二要素認証のセキュリティのレベルは、実装状態や導入のシナリオ、あるいは選択されている二要素認証方法を破ろうとしている攻撃側が利用可能なリソースにより、大きく異なります。
二要素認証はどのように実装されるのですか?
二要素認証に使用される方法のほとんどでは、ユーザー名とパスワードに、その他の独立した要素を追加して補っています。二要素認証によく使用されている方法とその問題点を、以下に示します。さらに高度な保護を行うため、3 つ以上の要素を組み合わせて 多要素認証(MFA)という形にすることも可能です。
オフラインのワンタイムパスワード(OTP)発生器
オフラインの OTP 発生器には従来型の OTP トークンが含まれます。このタイプでは、ハードウェアかソフトウェアにより複数桁のコードを発生させ、そのトークン発生器を保有していることを確認します。このタイプのトークンでは、発生器とサーバーの両方に、元になるシード(種)という同一の対称な秘密鍵を与え、現在時刻かカウンターの値に基づいて数学的アルゴリズムによりワンタイムパスワードを発生させます。このタイプのソリューションは、独立した個別のハードウェアという形で実装するのが理想的ですが、モバイル機器上で実行可能なソフトウェアという形で実装される場合もあります。この方法では、発生器をネットワークに接続せずに認証を行えます。
システムのセキュリティレベルは、主に以下のようないくつかの要因によって決まります。
- シード(種)のセキュリティ:パスワードの検証に使用される OTP 発生器またはサーバーが攻撃者により攻略され、シードにアクセスできてしまうと、セキュリティが破られます。この状態になると、攻撃者はいつでも正しい OTP を生成できるため、その攻撃者が認証の第 1 要素(ユーザー名/パスワード)も知っていれば、エンドユーザになりすますことができます。
- OTP の送信に使用されるチャネルのセキュリティ:上記のように OTP 発生器自体はオフラインですが、OTP 発生器で発生させたワンタイムパスワードは、ネットワークに接続された機器でユーザーにより送信されます。運悪く、この OTP の送信に使用される機器がマルウェアに侵されていたり、ユーザーが詐欺的な Web サイトにこの情報を送信するように社会的に誘導されると、攻撃者がユーザーになりすまして 1 回の認証を行うことができます。
- トークンハードウェアのセキュリティ:ハードウェアトークンが、正しいエンドユーザーに配達されること、および途中で横取りされないことが重要です。
ハードウェア OTP トークンには、セキュリティに関する上記のリスクの他にも、さまざまな欠点があります。
- 使い勝手の悪さ:エンドユーザーは、トークン機器から OTP をコピーし、認証が必要な機器に入力しなければなりません。6~8 桁の数字を正しくコピーして入力するのがユーザーにとって難しい場合もあります。また、ワンタイムパスワードのコピー入力に失敗してイライラし、二要素認証を使いたくないと感じる可能性もあります。ソフトウェアアプリ式の OTP をモバイル機器に導入した場合も、ユーザーは機器やアプリを切り換えて OTP を発生させ、また元の機器やアプリに戻して OTP を入力しなければならず、操作性が悪くなります。
- 導入に関する問題:ハードウェア式 OTP トークンの場合は、トークンの購入、設定、エンドユーザーへの配達などに費用がかさむ場合もあります。その場合、多くの大企業は一部のユーザーにしか二要素認証を導入しなくなります。モバイル機器を OTP 発生器として使用すれば、多少は費用を削減できますが、モバイル機器上でマルウェアにより OTP 生成アルゴリズムの元になる対称秘密鍵が盗まれる危険が高まります。
- メンテナンス性:OTP トークンには、その他にも目に見えないコストがかかります。ハードウェアトークンの場合は、電池が必要であるうえ、ユーザーが紛失したり置き忘れたり、故障する可能性があります。交換したり一時的な代用品を送る費用がかさむ可能性もあります。また、ハードウェアトークンによっては、有効使用期限が設定されているものもあります。トークンは、基本的には、指定された期間後は賞味期限切れになる生鮮食品のようなものです。
トークンはハードウェアによりセキュリティを提供するものですが、セキュリティが保たれるのは、ベンダーのセキュリティが侵略されず、ユーザーたちが自分の OTP をランダムに入力せず、OTP サーバーの OTP 秘密鍵が保護され、関連コストが負担にならない場合だけです。モバイル機器上の OTP 発生アプリは、ハードウェア式トークンに関するいくつかの問題に対処できる一方、携帯電話に物理的にアクセスするかどうかかにかかわらず、携帯電話に格納されている対称秘密鍵が攻撃者に盗まれる可能性が高くなります。
SMS/音声によるワンタイムパスワードの送信
一部のベンダーは、専用のハードウェアトークンもアプリケーションも使用せず、サーバーで生成された OTP を、(ユーザーが知っている電話番号あてに)SMS ショートメッセージサービスで送信したり音声合成で読み上げて音声通話により送信するソリューションを提供しています。
このソリューションを使用したシステムのセキュリティを左右する要因は、前記の例とは多少異なります。
- OTP の送信に使用されるチャネルのセキュリティ:OTP の受信に使用される電話番号の保有状態が、このソリューションでは特に重要性の高いセキュリティ要素です。エンドユーザーの電話が盗まれ、その犯人が持ち主のユーザー名とパスワードを知っている場合は、エンドユーザーになりすますことができます。また、攻撃者が携帯電話の SIM カードのクローンを作成して、エンドユーザーの SMS メッセージや電話を受け取る可能性もあります。あるいは、単純に攻撃者が電話会社やサービスプロバイダーを社会的にそそのかして、SMS メッセージや音声通話を別の番号に送らせる可能性も考えられます(「電話を紛失したので、私への通話やメッセージを xxx-xxxx に送ってもらえますか」と言ってだますなど)。さらにまた、オンラインバンキングアプリケーションに対する、より高度な Hesperbot 攻撃の場合のように、ソフトウェアをインストールしたくなるようにユーザーを誘い込み、そのソフトウェアで通信に介入してOTPを攻撃者に転送することも考えられます。
- OTP の送信に使用されるチャネルのセキュリティ:ユーザーが安全に OTP を受け取れたとしても、セキュリティが破られているアプリケーションや Web ブラウザに OTP を入力してしまうと、攻撃者が、リアルタイム攻撃を行ってサービスプロバイダーとの間に有効なセッションを確立することができます。
SMS や音声による OTP 送信ソリューションを使用する方法では、従来型の OTP 発生器の配布やメンテナンスに関する問題は避けられるものの、やはり使い勝手に関しては同様な多くの問題が残ります。その他に、以下の欠点もあります。
- コストの変動:場合によっては、二要素認証の料金が、1 回の SMS 送信や音声通話ごとに固定された料金で管理されるため、処理量の予測が難しかったり、配信料金が変動する可能性もあります。このために、IT 企業の予算計画が難しくなる可能性があります。
- 信頼性:ユーザーが自分の電話を持っていて SMS や音声で送信される OTP を受信できることが必要です。このことが、状況によっては特に問題になる可能性があります。たとえば、国境を越えて移動中のユーザーは、タイムリーに SMS メッセージを受信できなかったり、追加の通信費がかかる場合があります。また、運用環境によっては電話の使用が禁止されたり混信が発生する場合もあります。特に、電磁的に遮蔽された区域のある医療現場では通信が制約される可能性があります。
ほとんどの場合、SMS は導入が容易で比較的低コストなため、消費者向けの銀行業務やインターネット向けには魅力的ではあるものの、使い勝手は悪く(特にモバイル専用アプリの場合)、セキュリティも必要レベルには達していないと思われます。
プッシュ通知を利用した認証
プッシュ通知ソリューションは、専用のモバイルアプリを使用して要求を受信し、認証を許可します。
プッシュ通知を利用した認証のセキュリティは、ソリューションの実装状況によって左右されます。
- 暗号化される対象のセキュリティ:モバイルアプリでは、プッシュ通知により送信されるチャレンジに対して電話が暗号化された応答を返せるように公開鍵暗号を使用する場合や、対称秘密鍵を使用する場合があります(プッシュ通知が通常の OTP の上のレイヤとして機能する場合もあり、その場合アプリは基本的に OTP の使い勝手の問題に対処するために使用されます)。これらのソリューションのセキュリティは、機器に与えられる対称鍵、秘密鍵、またはセッショントークンのセキュリティによって決まります。
- プッシュ通知を送信するチャネルユーザーのセキュリティ:利用するプッシュ通知サービスによりセキュリティが左右されます。
プッシュ通知を利用したシステムでは、従来型の OTP 発生器の配布やメンテナンスに関する問題や、SMS や音声を使用した OTP ソリューションの費用に関する問題を解決できます。また、認証要求の許可に使用される機器やチャネルが、認証要求に使用された元のチャネルからは独立しているというメリットもあります。
一方、このソリューションにもやはり次のような問題点があります。
- 信頼性:SMS や音声で送信される OTP と同様、プッシュ通知を利用したソリューションの有効性は、データ接続の信頼性に左右されます。一方、毎回の認証処理ごとの料金はかからないため、こちらの方がコストは低くなります。
- 機器のセキュリティ:場合によっては、エンドユーザーの機器を手に入れさえすれば、そのユーザーのアカウントを攻略できてしまいます。ソリューションによっては、ユーザー名やパスワードがなくても認証できるものや、電話に関する認証を行わなくても認証要求が許可されるものもあります。
重要ポイント
データ保護の必要性が増しているのは、オンラインビジネスやリモートアクセスの増加だけが理由ではなく、攻撃者の目標や方法が進化していることも一因です。
シマンテックは、注意深く使用するようにユーザーを教育、訓練するとともに、特定可能な情報がハッカーに漏れないようにするための方法を開発していますが、手軽さや便利さに対する欲求が脆弱性に関する理解を上回ってしまうことも多いのです。
二要素認証は、合法的に認められた人物以外は機密情報にアクセスしないようにするための保護レイヤーを提供します。
二要素認証についてのシマンテックのメリットを教えてください。
シマンテックの強力な ユーザー認証ソリューション は、一般消費者、ビジネスパートナー、従業員などの間のオンラインによる ID や情報の通信を保護するための、使いやすい、安全な、クラウドを使用した、二要素ユーザー認証と公開鍵基盤(PKI)サービスを提供します。
Symantec Validation and ID Protection Service(VIP)は、ユーザーがスマートフォンやタブレットからのログイン認証を行うのにきわめて便利です。シンプル、スマート、セキュア。