2要素(多要素)認証ソリューション
パスワードだけで管理している場合のリスク
固定式のパスワードの場合、常にパスワードが漏洩することのリスクがあります。
パスワードだけで管理することももちろん可能ですが、高いセキュリティ強度が必要とされる場合以下のようなポリシーを運用する必要があります。
- パスワードの文字数を長くする
- パスワードは一般的な単語や同じ文字の繰り返しを禁止する
- よく使用する単語や繰り返し文字を利用すると辞書攻撃でパスワードが盗まれることがある。
- パスワードの文字種を混在して利用する
- 英小文字だけでなく英大文字、数字、@:!$などの記号を混在させる。
- パスワードは定期的に変更する。
- セキュリティ強度を高めたい場合、1回ログインごとに変えること。
このようなパスワードポリシーをツールなしで運用しそれを各ユーザーに実施を徹底させることは非常に難しいことです。
そのため、いくつかの認証、パスワード管理ソリューションがあります。
2要素認証(もしくは多要素認証)
パスワード+パスワード認証以外のもので認証させる方法です。
また、パスワード以外の認証の場合大きく分けてソフトウェアによる方法とハードウェアによる方法があります。
それぞれの方式には一長一短であり、求められるセキュリティ強度と予算により採用されることになります。
ソフトウェア方式の場合、マトリックス認証や携帯電話などを使用したワンタイムパスワードなどがあります。
PassLogic - マトリックス認証
ハードウェア方式の場合、スマートカード、USBトークン、ワンタイムパスワードが利用されます。
パスワードとデバイス双方が同時に盗まれる可能性は片方だけが盗まれるより確率が低くなるのでセキュリティが必要なシステムに最適です。
2要素(多要素)認証の利用例
2要素認証は現在さまざまなところで利用されています。一般サービスではインターネットバンキングなど重要なシステムで採用されています。個人情報保護をはじめプライバシー情報などの取り扱いはコンプライアンスの観点からも重要視され情報にアクセスするための強度なアクセス管理などが必要になります。
- 端末ログイン(Windows ログイン)
WindowsのActiveDirectoryを使用している場合パスワード強度や期間などのパスワードポリシーを設定することでセキュリティ強度が高まりますが、認証デバイスなどを入れることでより一層セキュリティ強度を高めることが可能になります。
- VDI/ PC over IP/ Windowsターミナルなどへのログイン
Windows端末だけではなくPC over IPやサーバーベースドコンピューティングなどの認証にも2要素認証が利用されています。
LeoStreamのコネクションブローカーを利用すれば複数の環境が混在する場合においても認証を一元的に管理することが可能です。
- シングルサインオン+2要素認証(パスワード管理)
シングルサインオンのシステムにログインするとシングルサインオン対象のその他のシステムが利用できるようになります。パスワードが漏洩した場合、すべてのシステムにアクセスできるようなリスクがあるため、2要素認証を導入することによりそのようなリスクを低減することが可能になります。
シングルサインオンシステムのAccessMatrix USOではログイン時にパスワードだけでなくikey やe-TokenといったUSB トークンやワンタイムパスワードといった2要素認証をサポートしています。またソフトウェアのマトリックス認証をサポートしたパスロジのパスロジックと組み合わせて使用することも可能で、ワンパッケージにしたNetSpring社のSSOCubeがあります。