イメージ/写真AC

高まり続けるサイバー空間の脅威について、その脅威を軽減する方法に関するガイダンスが米国政府機関から公開された。アイデンティティとアクセス管理について書かれたこのガイダンスから、MFA(多要素認証)に関する項目を中心に見ていくこととする。

悪意ある者がよく用いる手法とは

「Identity and Access Management Recommended Best Practices Guide for Administrators」と題された27ページのガイダンスは、3月に国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティー庁(CISA)との合同によって公開された。*1

冒頭、悪意ある者がよく用いる方法として、次のような手法が用いられていることを指摘している。なお、ここでは多くの方にイメージいただきやすいよう多少の意訳を行っているため、厳密な表現については原文をご覧いただきたい。

・継続的な不正アクセスを行えるよう、新しいアカウントを作成する
・解雇時に停止されなかった元従業員のアカウントを利用する
・脆弱性を利用して認証情報、属性、権限といった情報が記述されたメッセージである認証アサーションを偽造する
・システムへの代替アクセスポイントを利用する、または作成する
・正当なアクセス権を持つユーザーを悪用する、または利用する
・フィッシング、多要素認証(MFA)バイパス、クレデンシャル・スタッフィング、パスワード・スプレイング、ソーシャル・エンジニアリング、ブルート・フォースなどの手法を用いてパスワードを侵害する
・システムへのアクセスを獲得し、保存されている認証情報を悪用する
・administratorやguestなど多くのシステムに共通して存在するアカウントやシステムアカウントでの初期状態のパスワードを悪用し、非推奨の暗号化や平文プロトコルなど弱い暗号化や暗号化の無い状態にダウングレードするための攻撃を行うことで認証情報にアクセスする

そして、これらの脅威を軽減するために、デジタルアイデンティティを管理するためのビジネスプロセス、ポリシー、技術のフレームワークであるアイデンティティとアクセス管理(以下、IAMと表記する)について本ガイダンスでは述べている。

MFAによる追加の認証

IAMの主な目的は、適切な資格情報を持つユーザーのみがデータにアクセスできるようにすることである。これは物理的なユーザーだけでなく、サービスやシステムアカウントも対象としている。クラウドやハイブリッドコンピューティング環境への業界の推進によってIAMはますます重要になっているが、同時にデジタルアイデンティティの複雑さを管理することは困難な課題でもある。

そして、IAMを実現するためのシステムはセキュリティに基本的な認証および承認機能を実装するため、ソフトウェアの脆弱性にも影響する。そのため、IAMインフラストラクチャを保護することも重要なポイントとなる。

IAMの重要な取り組みとしてガイダンスで説明しているものは、IDガバナンス、環境の強化、外部の認証サーバを利用してサインインするIDフェデレーションとシングル サインオン (SSO)、多要素認証 (MFA)、監査と監視である。今回はこの中から多要素認証 (以下、MFAと表記する)について見ていく。

MFAとは、ユーザー名とパスワードだけでなく追加の認証要素を複数用いることで、セキュリティ強化を図る認証方法のことである。例えば、携帯電話の認証アプリに送信されるコードなども用いて認証情報を検証していく。仮にパスワードを悪意ある者に知られてしまっても、認証アプリに送信されたコードが分からなければ侵害される可能性は低くなる。

MFAにはいくつかの種類があり、携帯電話の認証アプリを用いるなどの所持品ベースでの認証では、スマートカードやセキュリティトークンなど、ユーザーが持っているものを用いて検証を行う。また、知識ベースでの認証では、ユーザー名とパスワードに加えて第二のパスワードや暗証番号などユーザーが知っている情報を用いることによって検証を行う。そして、指紋や顔認証、虹彩などのユーザーの身体的特徴を用いた生体認証がある。

これらの認証要素を組み合わせることによってセキュリティが向上し、不正アクセスを防止することができる。最新のMFA技術ではAIや機械学習を活用し、ユーザーの行動パターンを分析してリスクを評価し、認証要素を適用するダイナミックMFAと呼ばれるものも登場している。