不正アクセスの3つの原因、多要素認証は有効なセキュリティの手段

近年、インターネットバンキングでの不正送金、ネットショッピングでの不正購入など、不正アクセスを原因とした被害ニュースの報道が後を絶ちません。不正アクセスの方法には、フィッシング詐欺によるログイン情報の取得や、総当たり攻撃や盗み見によるパスワード盗難・推測などがあげられます。企業は間断なくその時々に応じたセキュリティを実装し続ける必要があります。

不正アクセスの被害に遭う原因としては以下が考えられます。

1. パスワード管理の甘さ
   パスワードの使いまわし、単純化、不適切な保管、複数メンバーでの共有など
   
   
2. 情報管理の甘さ
   システム入力の誤操作、メールの誤送信、デバイスの紛失/盗難など
   
   
3. セキュリティの脆弱性
   OSやソフトウェアのプログラムの不具合、設計上のミスなど

不正アクセスを防ぐための有効な手段として、近年「多要素認証」が広く実装されるようになりました。多要素認証は、通常ログインで使われるID・パスワードなどの知識情報の認証だけではなく、ICカードなどの所持情報、指紋や顔などの生体情報を組み合わせた、二要素以上の認証を指します。

いつどこで情報漏洩が起きているかわからない現代において、ID・パスワードのみといった１要素での認証や、１要素を繰り返す多段階認証では、十分なセキュリティを実装できているとは言えません。そのため、ECサイトやオンラインバンキングはじめ、機密情報を取り扱う全ての企業は、多要素認証を正しく実装する必要があると考えます。

多要素認証を実装するメリット/デメリットを考える

多要素認証を実装する際の、メリットとデメリットについて考えてみましょう。

【多要素認証のメリット】

1. セキュリティの向上
   ID・パスワードだけではなく、端末、指紋、秘密の質問への回答など、ログインに必要な要素が増えることで、アクセスが難しくなることは容易に想像できると思います。Microsoftの記事では、多要素認証を実装することで、アカウントを侵害する攻撃の99.9%以上をブロックできるとしています。
   

   
   参考：Microsoft社『Celebrate 20 years of Cybersecurity Awareness Month with Microsoft and let’s secure our world together』https://www.microsoft.com/en-us/security/blog/2023/10/02/celebrate-20-years-of-cybersecurity-awareness-month-with-microsoft-and-lets-secure-our-world-together/
   
   

2. パスワード管理の簡素化
   サービスごとに、予測されにくいパスワードを設定、記憶、定期的に変更するなど、適切なパスワード管理には多かれ少なかれ手間が発生します。多要素認証を取り入れると、自動発行されるワンタイムパスワードでの認証により、複数の異なるパスワードをそれぞれ管理する手間を削減できます。また、生体情報と所持情報での認証を採用すると、パスワードの入力を無くすことも可能です。結果的に、パスワードの使いまわしを減らすなど、パスワード管理の容易化につながります。
   
   
3. コンプライアンスの実現
   金融業界や医療業界など、様々な業界で多要素認証の実装は要請されており、ガイドラインとして定められています。多要素認証を要請する記述多要素認証を実装することで、コンプライアンスを遵守することになり、企業としての信頼度を高めることにつながります。
   
   
   参考：パスロジ株式会社『多要素認証を要請する主なガイドライン』https://passlogic.jp/passlogic_blog/guideline_multi_factor_authentication/
   
   

【多要素認証のデメリット】

1. 導入・運用コストの増加
   採用する認証によっては、専用の機器やシステムの導入が必要となります。システムや専用機器の導入・維持にコストがかかることが考えられます。
   
   
2. 認証による利便性の低下
   多要素認証には、最低でも二回の認証が必要になります。方法によっては認証に時間や手間がかかることがあり、仕事効率の低下につながる可能性もあります。
   
   

コストと手間がデメリットとして認識されていますが、実装せずに起きてしまう情報セキュリティ事故による損害の大きさや、事故後の改修対応などと比較すると、現時点で多要素認証を実装して得られるメリットの方が確実に大きいといえます。

令和5年版の情報通信白書によると、「日本では2021年度1年間で発生したセキュリティインシデントに起因した1組織あたり年間平均被害額は約3億2,850万円になると算出されている。」との調査結果がありました。個人情報漏えいによって生じる1件当たりの平均損害賠償額は、なんと6億3,767万円となっており、一度情報セキュリティ事故を起こしてしまった場合、企業の損害は莫大なものになることがわかります。

お金の問題にとどまらず、企業としての信頼を大きく失墜させる要因となりえます。多要素認証を実装し、セキュリティを高めることで、企業として長期的な目線での利益向上につなげましょう。

引用：「令和5年版情報通信白書」（総務省）https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a220.html

Assure MFAは別サーバー不要、IBM iに導入可能な多要素認証ツール！

堅牢なシステムであるIBM iでも、多要素認証は有効な手段です。近年、対話型のアクセスのみならず、外部接続や外部アプリケーション連携などさまざまな方法でアクセス可能となり、セキュリティリスクは高まっています。管理するアカウントが増える中で、インシデントやアクシデントを防ぐためにも、多要素認証の実装をおすすめします。

三和コムテックでは、IBM i上で多要素認証を可能にするツールとして、『Assure MFA』をご提供しています。別途認証サーバーの準備やアプリの改修は不要で、簡単にIBM i上に導入できます。

1. 　パスコードのメール通知  ：メールアドレスに送信されたPINコードを使用した認証
2. 　パスコードのPopUp通知：PC端末上のアプリケーションに表示されるPINコードを使用した認証
3. 　秘密の質問への回答    ：事前に設定した秘密の質問に回答することで認証
4. 　Radiusサーバー連携   ：Radiusサーバーで管理されるパスワードを使用した認証

以下は、通常のID・パスワード認証と、「①パスコードのメール通知」を掛け合わせた二要素認証の例です。

【二要素認証のサインオン成功の場合】

【二要素認証のサインオン失敗の場合】

AssureMFAによる認証履歴は、全てAssureMFAのログに書き込まれるため、ユーザーアクセスの監視にも役立ちます。IBM iの多要素認証にご興味があれば、ぜひお気軽にお問い合わせください！