トピック

フィッシング耐性のあるMFA(多要素認証)導入の重要性

サイバー攻撃は日々その手口を巧妙化させ、企業のセキュリティを脅かすリスクが増大しています。近年、AI技術の進化と共にフィッシングはますます洗練されており、従業員向けにフィッシングに対する訓練を行ったところで、ハッカーがより巧妙な手法や高度なツールを使うと、容易に社内システムへのアクセス権を与えてしまうかもしれません。特に、全国に支社がある企業や海外支社を有する企業、また、正社員だけでなく契約社員やパート・アルバイト社員の数が多い企業は、社内のセキュリティリテラシーの統一が難しく、攻撃されやすい危険な環境となっています。

このようなリスクを軽減するために、多要素認証(MFA)の導入がますます重要視されています。しかし、MFAにも様々な種類があり、導入したからと言ってすべての形態のフィッシングを解決するわけではありません。ソーシャルエンジニアリング攻撃(人間の隙やミスを狙って認証情報を盗み出す)やプッシュボミング攻撃(大量のプッシュ通知を送ることで、ユーザーに不正アクセスを承認させる)など、MFAをバイパスする攻撃を阻止するには、フィッシング耐性のあるMFA(Phishing-Resistant MFA)の導入が必要です。

では、フィッシング耐性のあるMFAとはどういった物を指すのか、また企業でどのように導入すれば良いのかといった疑問が出てくるかと思います。この記事では、フィッシング耐性のあるMFAやその導入について、弊社のカスタマーサポートに寄せられた実際のお問い合わせの事例と共に解説します。

フィッシング耐性のあるMFA(Phishing-Resistant MFA)とは

フィッシング耐性のあるMFAは、従来のMFAと違い、認証要求元の確認ができます。従来のMFAで使われるSMSや電子メールによる認証方法では、正規のドメインと悪意のあるドメインの区別がつかないため、フィッシングに対して脆弱です。一方、フィッシング耐性のあるMFAは、正規ユーザーの認証器とユーザーIDを暗号化して結びつけ、正規のドメインと悪意のあるドメインを区別することができます。そのため、攻撃者が認証情報やクッキーを入手してセッションを再現することを防ぎ、安全性が向上します。

MFAは、少なくとも2つの独立した認証要素を必要とします。これには、知識情報(例:パスワード、PIN、セキュリティ質問など)、所持情報(例:ワンタイムパスワード、スマートフォン、セキュリティキーなど)、生体情報(例:指紋、顔など)が含まれます。従来のMFAのほとんどは、パスワードを1つ目の認証要素として使用しています。追加の認証要素は一般的に、SMS、電子メール、または認証アプリを介したプッシュ通知で送信されるワンタイムパスワード(OTP)です。しかし最近では、これらの方法を回避できる自動化されたフィッシングキットが出回り、攻撃者の間で容易に入手可能になっていることもフィッシングを増加させる一因となっています。

大手パイプライン社へのランサムウェア攻撃など国家を揺るがすほどのサイバー攻撃が多発していることを受け、米国政府は2021年5月、米国国家のサイバーセキュリティの向上に関する大統領令を発令しました。その具体的な行動指針の1つとして、米国行政管理予算局(OMB)は、すべての連邦機関とその請負業者に対して、2024年度末までにフィッシング耐性のあるMFAの実装を要求しています。

日本においては、内閣サイバーセキュリティセンター(NISC)が発行した「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」を始めとし、複数の省庁や行政機関がMFAの適応範囲を広げるガイドラインを発行していますが、フィッシング耐性のあるMFAを指定する動きはまだ見られていません。しかし、最近のフィッシングの巧妙さと、その後の被害の深刻さを考えると、フィッシング耐性のあるMFAはもはや選択肢ではなく、組織の安全を保護するための必須の手段と言えます。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が発表した「Implementing Phishing-Resistant MFA(フィッシング耐性のあるMFAの実装)」によると、現在広く一般的に利用可能なフィッシング耐性のあるMFAは、FIDOアライアンスが開発したFIDO認証だと説明しており、CISAはこれをフィッシング対策のゴールドスタンダードとしています。

弊社も2014年にFIDOアライアンスに加盟し、FIDOによるパスワードレス認証の社内システムへの実装、自社サービスにおける提供を行っています。

FIDO認証における最新の技術規格であるFIDO2は、私たちが日常的に使用しているデバイスでも利用可能です。FIDO2に対応する認証デバイスはパソコンの場合、Windows PC(Windows 10 Version 1903以降)、Touch ID搭載の Mac PC(macOS Big Sur)です。スマートデバイスの場合は、iOS(iOS 14/iPadOS 14以降)Android(Android 7.0以降)です。企業で導入を検討する場合、現在市場に出ているほとんどのスマートデバイスが上記の要件を満たしているため、社員にスマートフォンやタブレットを配布している場合はFIDO2によるMFAを導入する環境は整っています。

実際のお問い合わせより:会社からスマートフォンを支給されていない社員はどのように導入するのか

しかし、全社員にスマートフォンを配布している企業は多くはないと考えられます。実際、弊社のカスタマーサポートにも、MFAをご検討中のお客さまより、会社からスマートフォンを支給されていない社員に対する導入方法についてお問い合わせを頂戴しました。その際にお客さまに差し上げたご案内を紹介します。

まず、社員へ支給しているパソコンの仕様を確認してみてください。Windows PCの場合は「Windows Hello」、Mac PCの場合は「Touch ID」が搭載されており、かつ前述のバージョンを満たしている場合、FIDO2認証の導入が可能です。

上記の要件を満たしていない場合、外付け型の認証器であるセキュリティキーを利用することができます。FIDO2に対応したセキュリティキーは種類も価格もさまざまですが、認証器が搭載されたパソコンやスマートフォンを別途購入(リプレイス)するよりもはるかにコストは抑えられます。

また、社員私物のスマートフォン(BYOD)を認証器として利用することも可能です。2023年に発表された総務省の調査によると、個人のスマートフォン保有率は77.3%(2022年8月末時点)で、ほとんどの人が、特に働く世代はプライベートで最低1台はスマートフォンを持っていることになります。BYODのために体制やルールを設ける必要はありますが、使い慣れているスマートフォンを利用できればエンドユーザーの負担は少なく、新規調達や故障修理などの企業側のコストを抑えられます。

これらの選択肢を確認した後、必ずアカウントリカバリーの準備も忘れずに行ってください。例えば、カメラの故障でWindows Helloが使用できない場合や、手の乾燥や怪我でTouch IDが動作しない場合、携帯電話を紛失してしまった場合など、アカウントにログインできなくなるシチュエーションが想定されます。

その場合、セキュリティキーをバックアップとして保持することをお勧めします。先述の通り、他の選択肢に比べて安価に入手できますし、自宅の鍵と同じキーチェーンに一緒に収めておけば、セキュリティキー自体の置き忘れや紛失のリスクも低減されるでしょう。

最適なセキュリティキーを選ぶには

メインの認証デバイスやバックアップの認証デバイスとして、どのようなセキュリティキーを選択すればよいか悩むことがあるかもしれません。そこでセキュリティキーを選ぶ際に押さえるべき重要なポイントを挙げてみたいと思います。

●FIDO2対応:フィッシング対策のゴールドスタンダードで、パスワードレス認証システムやパスキーにも対応したFIDO2対応のセキュリティキーを選択することをお勧めします。

●価格:購入時の初期費用はなるべく抑えたいものです。バックアップとして複数台購入できるくらい安価なのかを確認する必要があります。

●セキュリティキーのタイプ:USBベースのセキュリティキーは汎用性が高く、さまざまなデバイスと互換性があります。また、NFC(近距離無線通信)を搭載したものは、モバイルデバイスとの親和性が高く、ほとんどの最新iOSおよびAndroidデバイスで動作します。Bluetoothキーはワイヤレス認証を提供し、複数のデバイスでシームレスに認証できます。これらのタイプから、ビジネスのニーズに合った適切なセキュリティキーを選択します。

●信頼性の高いベンダーを選定:信頼できるベンダーは、素早い問い合わせ対応、ファームウェアの更新、セキュリティキー製品の継続的なサポートを提供しているはずです。Yubico、AuthenTrend、SmartDisplayer、OCTATCOなど信頼できるベンダーは多くあります。

弊社では、米国とスウェーデンに本拠地を置くYubico(ユビコ)社と台湾に本拠地を置くAuthenTrend(オーセントレンド)社のセキュリティキーを取り扱っております。Yubico社のYubiKeyは、WebAuthn/FIDO2(パスキー)、HOTP/TOTP、OpenPGP、Smart Card/PIVなど幅広い認証プロトコルに対応しています。一方、AuthenTrend社はFIDO2認証のみで小型設計のATKey.ProとICカードタイプのATKey.Card NFCの2種類を提供しており、指紋認証技術に特化することで低価格での提供を実現しています。

また、2024年5月下旬から、セキュリティキーのサブスクリプションモデルを含む認証サービス「CloudGate MURO(仮称)」のサービスを提供開始予定です。セキュリティキーをサブスクリプションモデルとして提供するため、ユーザーはセキュリティキーの減価償却や在庫の管理をする必要がありません。

・CloudGate MURO(仮称)について詳しくはこちら

まとめ

フィッシング耐性のあるMFAの導入は、巧妙化するフィッシングから組織のデータとシステムを保護するために、早急に進めるべき重要なステップです。冒頭で書いたように、全国に支社がある企業や海外支社を有する企業、また、正社員だけでなく契約社員やパート・アルバイト社員の数が多い企業は、自社を『より高いセキュリティレベルが求められる企業』だと認識し、一刻も早くFIDO2によるMFAを導入するよう推奨します。

弊社は2014年にFIDOアライアンスに加盟し、早い段階からFIDO2による認証を社内システム全体に実装し、2019年5月に弊社製品であるID管理プラットフォーム・CloudGate UNOでFIDO2対応のパスワードレス認証の提供を開始しました。このような取り組みは、MFAの必須性やFIDO2による認証の普及がなぜ重要なのかを認識しているからこそ行われています。

今後も、日本をサイバー攻撃から守るために、より価値のある情報を発信し続けることで、企業のセキュリティの向上に貢献していきます。