フィッシング耐性のあるMFA(多要素認証) 導入の必要性

サイバー攻撃は、日々その手口が巧妙化し企業のセキュリティを脅かすリスクは増大しています。さらに近年、AI技術の進化と共にフィッシングはますます洗練されており、従業員向けにフィッシングに対する訓練を行っていても、ハッカーがより巧妙な手法や高度なツールを使うと、容易に社内システムへのアクセス権を与えてしまうかもしれません。特に、全国に支社がある企業や海外支社を有する企業、また、正社員だけでなく契約社員やパート・アルバイト社員の数が多い企業は、社内のセキュリティリテラシーの統一が難しいため、攻撃されやすい危険な環境となっています。
このようなリスクを軽減するために、多要素認証(以下、「MFA」)の導入がますます重要視されています。しかし、MFAにも様々な種類があり、導入したからと言ってすべての形態のフィッシングを解決するわけではありません。ソーシャルエンジニアリング攻撃(人間の隙やミスを狙って認証情報を盗み出す)やプッシュボミング攻撃(大量のプッシュ通知を送ることで、ユーザーに不正アクセスを承認させる)など、MFAをバイパスする攻撃を阻止するには、フィッシング耐性のあるMFA(Phishing-Resistant MFA)の導入が必要です。

では、フィッシング耐性のあるMFAとはどういった物を指すのか、また企業でどのように導入すれば良いのかといった疑問が出てくるかと思います。
本記事では、フィッシング耐性のあるMFAとその導入について解説します。

フィッシング耐性のあるMFA(Phishing-Resistant MFA)とは

フィッシング耐性のあるMFAは、従来のMFAと違い、認証要求元の確認ができます。従来のMFAで使われるSMSや電子メールによる認証方法では、正規のドメインと悪意のあるドメインの区別がつかないため、フィッシングに対して脆弱です。
一方、フィッシング耐性のあるMFAは、正規ユーザーの認証器とユーザーIDを暗号化して結びつけ、正規のドメインと悪意のあるドメインを区別することができます。そのため、攻撃者が認証情報やクッキーを入手してセッションを再現することを防ぎ、安全性が向上します。

MFAは、少なくとも2つの独立した認証要素を必要とします。この認証要素には、知識情報(例:パスワード、PIN、セキュリティ質問など)、所持情報(例:ワンタイムパスワード(OTP)、スマートフォン、セキュリティキーなど)、生体情報(例:指紋、顔など)が含まれます。
従来のMFAのほとんどは、1つ目の認証要素としてパスワードを使用しています。追加の認証要素には一般的に、SMS、電子メール、または認証アプリを介したプッシュ通知で送信されるワンタイムパスワード(OTP)が使用されます。しかし最近では、これらの方法を回避できる自動化されたフィッシングキットが出回り、攻撃者の間で容易に入手可能になっていることもフィッシングを増加させる一因となっています。



米国において、大手パイプライン社へのランサムウェア攻撃など国家を揺るがすほどのサイバー攻撃が多発していることを受け、米国政府は2021年5月、米国国家のサイバーセキュリティの向上に関する大統領令を発令しました。その具体的な行動指針の1つとして、米国行政管理予算局(OMB)は、すべての連邦機関とその請負業者に対して、2024年度末までにフィッシング耐性のあるMFAの実装を要求しています。

日本においては、内閣サイバーセキュリティセンター(NISC)が発行した「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」を始めとし、複数の省庁や行政機関がMFAの適応範囲を広げるガイドラインを発行していますが、フィッシング耐性のあるMFAを指定する動きはまだ見られていません。しかし、最近のフィッシングの巧妙さと、その後の被害の深刻さを考えると、フィッシング耐性のあるMFAはもはや選択肢ではなく、組織の安全を保護するための必須の手段と言えます。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が発表した「Implementing Phishing-Resistant MFA(フィッシング耐性のあるMFAの実装)」によると、現在広く一般的に利用可能なフィッシング耐性のあるMFAは、FIDOアライアンスが開発したFIDO認証だと説明しており、CISAはこれをフィッシング対策のゴールドスタンダードとしています。

株式会社インターナショナルシステムリサーチは、2014年にFIDOアライアンスに加盟し、FIDOによるパスワードレス認証の社内システムへの実装、自社サービスにおける提供を行っています。 FIDO認証における最新の技術規格であるFIDO2は、私たちが日常的に使用しているデバイスでも利用可能です。FIDO2に対応する認証デバイスは、パソコンの場合、Windows PC(Windows 10 Version 1903以降)、Touch ID搭載の Mac PC(macOS Big Sur)、スマートデバイスの場合は、iOS(iOS 14/iPadOS 14以降)、Android(Android 7.0以降)です。企業で導入を検討する場合、現在市場に出ているほとんどのスマートデバイスが上記のバージョンを満たしているため、社員にスマートフォンやタブレットを配布している場合はFIDO2によるMFAを導入する環境は整っていると言えます。

スマートフォンを支給されていない社員へのMFAの導入方法は?

しかし、全社員にスマートフォンを配布している企業は多くはないと考えられます。会社からスマートフォンを支給されていない社員に対するMFAの導入方法についてご紹介をします。

まず、社員へ支給しているパソコンの仕様を確認します。Windows PCの場合は「Windows Hello」、Mac PCの場合は「Touch ID」が搭載されており、かつ前述のバージョンを満たしている場合、FIDO2認証の導入が可能です。


前述のバージョンを満たしていない場合、外付け型の認証器であるセキュリティキーを利用することができます。FIDO2に対応したセキュリティキーは、種類も価格も様々ですが、認証器が搭載されたパソコンやスマートフォンを別途購入(リプレイス)するよりもはるかにコストは抑えられます。

また、社員私物のスマートフォン(BYOD)を認証器として利用することも可能です。2023年に発表された総務省の調査によると、個人のスマートフォン保有率は77.3%(2022年8月末時点)で、これはほとんどの人、特に働く世代はプライベートで最低1台はスマートフォンを持っていると言うことになります。BYODのために体制やルールを設ける必要はありますが、使い慣れているスマートフォンを利用できるとユーザーの負担は少なくなり、企業側の新規調達や故障修理などのコストも抑えることができます。

最適なセキュリティキー選択の4つのポイント

外付け型の認証器として、またバックアップとして、セキュリティキーは利用できますが、種類・価格が様々です。そのため、どのように選択をすればよいか悩むかもしれません。そこで、セキュリティキーを選択する際に押さえるべき重要なポイントをご紹介いたします。

● FIDO2対応:フィッシング対策のゴールドスタンダードで、パスワードレス認証システムやパスキーにも対応したFIDO2対応のセキュリティキーを選択することをお勧めします。

● 価格:購入時の初期費用はなるべく抑えたいものです。バックアップとして複数台購入できるくらい安価かどうかを確認する必要があります。

● セキュリティキーのタイプ:USBベースのキーは、汎用性が高く様々なデバイスと互換性があります。また、NFC(近距離無線通信)を搭載したキーは、モバイルデバイスとの親和性が高く、ほとんどの最新iOSおよびAndroidデバイスで動作します。Bluetoothキーは、ワイヤレス認証を提供し複数のデバイスでシームレスに認証できます。これらのタイプから、ビジネスのニーズに合った適切なセキュリティキーを選択します。

● 信頼性の高いベンダー:信頼できるベンダーは、素早い問い合わせ対応、ファームウェアの更新、セキュリティキー製品の継続的なサポートを提供しているはずです。Yubico、AuthenTrend、SmartDisplayer、OCTATCOなど信頼できるベンダーは多くあります。

株式会社インターナショナルシステムリサーチでは、米国とスウェーデンに本拠地を置くYubico(ユビコ)社と台湾に本拠地を置くAuthenTrend(オーセントレンド)社のセキュリティキーを取り扱っております。Yubico社のYubiKeyは、WebAuthn/FIDO2(パスキー)、HOTP/TOTP、OpenPGP、Smart Card/PIVなど幅広い認証プロトコルに対応しています。一方、AuthenTrend社はFIDO2認証のみで小型設計のATKey.ProとICカードタイプのATKey.Card NFCの2種類を提供しており、指紋認証技術に特化することで低価格での提供を実現しています。

まとめ

フィッシング耐性のあるMFAの導入は、巧妙化するフィッシングから組織のデータとシステムを保護するために、早急に進めるべき重要なステップです。全国に支社がある企業や海外支社を有する企業、また、正社員だけでなく契約社員やパート・アルバイト社員の数が多い企業は、自社を『より高いセキュリティレベルが求められる企業』だと認識し、この記事を参考に一刻も早くFIDO2によるMFAを導入するよう推奨します。

株式会社インターナショナルシステムリサーチは、2014年にFIDOアライアンスに加盟し、早い段階からFIDO2による認証を社内システム全体に実装し、2019年5月からID管理プラットフォーム『CloudGate UNO』でFIDO2対応のパスワードレス認証の提供しています。 FIDO2によるMFAを導入は、弊社へお任せください。

■ 弊社関連URL
 ・テンダのDX:  https://dx.tenda.co.jp/
 ・MSソリューションページ:  https://mssp.tenda.co.jp/
 ・Microsoft 365情報発信メーリングリスト登録:  https://form.k3r.jp/tenda_msales/tenda_ml2