多要素認証(MFA)は、ログインに使用するアイデンティティを検証するために 2 つ以上の認証情報(すなわち要素)を提示するようユーザーに要求するセキュリティテクノロジーであり、2 要素認証とも呼ばれています。それらの要素には、ユーザーが知っているもの(PIN、パスワード、セキュリティの質問への回答など)、ユーザーの生体情報(指紋や顔認証スキャンで識別できるもの)、ユーザーが持っているもの(キーフォブ、スマートカード、ワンタイムパスワード、携帯電話へのプッシュ通知など)が含まれていなければなりません。
MFA サービスはより強力なセキュリティを提供
ランサムウェアや高度な持続的脅威からマルウェアやスピアフィッシング攻撃まで、破壊的なサイバー攻撃は、ビジネスクリティカルなデータやシステムの防御に苦心しているあらゆる規模の企業を悩ませています。こうした取り組みは、セキュリティに関する人材が常に不足していることや、BYOD(業務で用いる私的デバイス)およびテレワークのセキュリティが新たな複雑さをもたらすことにより、さらに難しくなっています。
侵害の多くは認証情報の盗難から始まるため、先見の明のある組織は多要素認証(MFA)サービスに切り替えてセキュリティレイヤーを追加しようとしています。MFA ソリューションでは 2 要素認証プロトコルを使用します。このプロトコルでは、アプリケーションやサービスに安全にアクセスできるようにするために、ユーザーはワンタイムパスワード(OTP)、プッシュ通知、指紋スキャン、音声認識などの追加情報を使用して認証を行う必要があります。
MFA サービスは、ユーザー名とパスコードのみを必要とするログインプロトコルから大幅に進化したものですが、従来の MFA は確実な方法ではありません。MFA サービスで FIDO2 標準を使用することで、ハッキングの影響を受けにくくなります。ただし、これによって使用と管理がより複雑になるという側面もあります。そのため、Akamai はスムーズなユーザー体験を提供するとともに優れたセキュリティを実現する MFA サービスを提供しています。
各認証モデルのリスクレベル
ハッキングに関連するデータ漏えいのうち 80% はユーザーの認証情報の盗難や安全性の低いパスワードに起因しているため、より優れた認証テクノロジーがエンタープライズセキュリティにとって不可欠となっています。認証に対する標準的な各アプローチのリスクレベルには大きな違いがあります。そのため、認証ソリューションに投資する前に、それらの違いをよく理解しておくことが重要です。
高リスク:ユーザー名とパスワードによる認証
ユーザー名とパスワードだけの 1 要素でユーザー ID を検証する方法は、攻撃に対して非常に脆弱です。ログイン情報は簡単に盗まれたり、推測されたり、収集されるからです。攻撃者が従業員の認証情報を持っている場合、またはユーザー名がわかっていて Credential Stuffing を行った場合、直接アクセスすることでこのレベルのセキュリティは簡単に回避できてしまいます。この問題をさらに悪化させているのは、多くの従業員がさまざまな個人アカウントに同じパスワードを使用していることです。これらの個人の認証情報が漏えいした場合、攻撃者はその盗まれたパスワードを使用して企業アカウントを標的にします。
中~高リスク:標準 MFA サービス
MFA 機能では、ユーザーを検証するために第 2 レベルの認証が必要になるため、エンタープライズセキュリティが向上します。この 2 つ目の要素は、ユーザーが知っているもの(PIN など)、ユーザーが持っているもの(デバイスやワンタイムパスワードなど)、またはユーザー自身のものなどです。この最後の要素として、顔 ID や指紋などの生体認証データを使用する場合があります。MFA テクノロジーは侵害のリスクを大幅に軽減しますが、ハッカーは依然として、 フィッシング、ソーシャルエンジニアリング、透過型プロキシ、SIM スワップやその他のテクニックを介してシステムへのアクセスに成功する可能性があります。
低リスク:FIDO2 ベースの MFA サービス
最も効果的な認証セキュリティは、利用できるものの中で最も強力な、標準ベースの認証方法である FIDO2 をベースに構築された MFA サービスによって提供されます。このテクノロジーは、暗号化されたログイン認証情報を使用してユーザーを認証し、完全なパスワードレス認証への最終的な進化をサポートします。FIDO2 ベースのソリューションは、ログイン認証情報をフィッシング攻撃やソーシャルエンジニアリング攻撃から保護することで、従来の MFA サービスに存在するセキュリティ上の脆弱性を解決します。
ただし、FIDO2 MFA テクノロジーにも欠点があります。それは、すべてのユーザーに物理的な FIDO2 セキュリティキーが必要であり、認証プロセスにかなりのコストと複雑さが追加されることです。そのため Akamai は、コストと複雑さを軽減しながらリスクを最小限に抑える次世代 MFA サービスを開発しました。
Akamai の MFA サービス
Akamai MFA は、クラウド、Web ベース、オンプレミス、SaaS、IaaS のアプリケーションに強力な第 2 の認証を提供するワークフォース多要素認証ソリューションです。Akamai は、物理的なハードウェアトークンをスマートフォンアプリのプッシュ通知に置き換えることで、FIDO2 認証プロセスを簡略化します。エンドツーエンドの暗号化と保護されたチャレンジ/レスポンスフローにより、優れたセキュリティが実現し、認証プロセスがフィッシング攻撃やソーシャルエンジニアリング攻撃の影響を受けにくくなっています。
Akamai の MFA サービスを利用すると、次のことが可能になります。
- 優れた MFA ソリューションを迅速に展開できます。ユーザーは Akamai MFA アプリを既存のスマートフォンにダウンロードできるため、物理的なセキュリティキーの配布や互換性のあるハードウェアの発行に伴う遅延が排除されます。
- ユーザーは自分のスマートフォンを活用し、使い慣れたプッシュ通知を使用してスムーズに操作できます。
- FIDO2 ベースのソリューションを展開することで、フィッシング攻撃やソーシャルエンジニアリング攻撃の影響を排除し、侵害のリスクを最小限に抑えることができます。
- 追加のハードウェアを購入、交換、保守する必要がないため、総所有コストを削減できます。
- 現在利用可能な最強の認証および認可プロトコルを展開してゼロトラスト・ネットワークを実現できます。
- 将来のユースケースをサポートするために進化できるよう設計されているため、FIDO2 ベースのクラウド MFA サービスへの投資は先を見越した投資となります。
Akamai の MFA サービス
Akamai MFA は、Microsoft Azure AD や Okta などのプライマリ ID プロバイダー(IdP)と連携して、より強力な認証セキュリティを実現します。ユーザーがログイン時に正しいユーザー名とパスワードを入力すると、IdP は Akamai MFA に接続して、セクター要素の要求の生成をリクエストします。Akamai MFA はページをレンダリングして、ユーザーが第 2 の要素を選択し、ユーザーのスマートフォンのアプリにチャレンジ(フィッシング対抗のプッシュなど)を送信できるようにします。ユーザーがリクエストを承認すると、Akamai MFA はコントロールを IdP に戻し、これによってユーザーは、リクエストしたアプリケーションまたはサービスにアクセスできます。
Akamai MFA のその他の機能:
- 組織が特定のユースケース向けに認証要素を選択できるようにする設定可能なオプション(フィッシング対策プッシュ、標準プッシュ、時間ベースのワンタイムパスワード(TOTP)、ショートメッセージサービス(SMS)など)。
- SCIM(System for Cross-domain Identity Management)を使用したユーザー・プロビジョニング・ワークフローの自動化。これにより、管理者は認証イベントを常に把握できます。
- フリクションの低い複数の方式を備えたセルフサービスのユーザー登録。これにより、ユーザー登録とデバイス登録が簡略化され、管理者の負担が軽減されます。
- Microsoft Azure、Okta、Akamai IdP などの IdP ソリューションとの統合。
よくある質問(FAQ)
アプリケーションやサービスへのアクセスを要求するユーザーを正しく認証するためのセキュリティレイヤーが追加されるため、MFA セキュリティソリューションはゼロトラスト・ネットワーキングとテレワーク・セキュリティに不可欠です。MFA ソリューションによってセキュリティを強化している企業は、そうでない企業よりも、セキュリティ侵害を被る可能性がはるかに低くなります。
アイデンティティプロバイダー(IdP)は、認証および認可サービスを顧客に提供することを専門とする会社です。アイデンティティ検証、ユーザー認証、シングルサインオン、アクセス制御などのサービスを提供します。IdP の目的は、ユーザーデータと認証情報のセキュリティを確保することであり、ユーザーの ID を安全に守るために必要な保護を提供することです。
FIDO(Fast Identity Online)はオープンな業界団体であり、強力な認証を実現するオープンスタンダードの開発と推進を通じて、世界がパスワードに過剰依存している状況を改善することを目指しています。FIDO Alliance は、パスワードから置き換えられるように、また不正行為や ID の盗難に対抗する負担を軽減できるように設計された、認証および認可のための安全で相互運用可能な標準を提供することに取り組んでいます。公開鍵暗号化に基づいている FIDO 認証は、ユーザーが USB セキュリティキー、生体認証、携帯電話などのさまざまな認証情報を使用してオンラインサービスへの認証を行えるようにします。
Akamai が選ばれる理由
Akamai はサイバーセキュリティとクラウドコンピューティングを提供することで、オンラインビジネスの力となり、守っています。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバルエンタープライズが、自社ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識の提供について Akamai に信頼を寄せています。