在宅勤務に対処するための多要素認証とシングルサインオン

企業や教育機関で、誰もが自宅からログインするようになった今、シングルサインオンと多要素認証の導入はこれまでになく重要になっています。

人々がインターネットにオープンに接続している時間が長ければ、それだけ、サイバー犯罪者がアカウントをハッキングして、企業や教育機関のネットワーク全体にアクセスできる機会が増えてしまいます。

新型コロナウイルスの感染拡大阻止のための在宅勤務の義務は数か月間続く可能性があり、この問題は深刻です。強力なセキュリティ体制を維持するためには、多要素認証（Multi-Factor Authentication、MFA）の実装が重要になります。また、エンドユーザーがログインプロセスで手間取って無駄に時間を費やすことがないようにするには、シングルサインオン（Single Sign-On、SSO）機能の導入も検討する必要があるでしょう。

このブログでは、MFA を実装するときに検討すべき方策を説明し、SSO に関する考慮事項にも言及します。しっかりとした対策を講じておけば、在宅勤務が常態化しても、個人データとデジタル資産をサイバー犯罪コミュニティから安全に保つことができます。

MFA デプロイメントのための方策

ネットワークインフラストラクチャ全体への MFA デプロイメントは一朝一夕にできるものではありません。また、終わりのある1回限りのプロジェクトでもありません。MFA デプロイメントは継続的なセキュリティプログラムであり、組織としての後押しとIT 部門の主導の下の継続的な取り組みが必要です。

プロセスをより効率的に機能させるには、以下のような方策を検討してください。

• インサイドアウトアプローチ — MFAをユーザーに展開する前に、まず、オンプレミスとクラウド内のすべてのインフラストラクチャ、ハードウェアデバイスとアプリケーションの重要度を評価し、どのシステムを最初に MFA で保護するべきか、優先順位付けします。また、この洗い出しによって、MFA をサポートしない古いシステムが見つかるかもしれません。そのようなシステムは、アップデートしないとセキュリティ侵害のリスクがあります。アクセスを制限する必要がある場合もあります。
• 周知の徹底 — 全社員に、MFA を実装する方針の決定とその理由を伝えます。オンラインで作業している誰もが、組織へのサイバー攻撃の入り口になり得ることを理解する必要があります。そして、MFA が個人情報と組織の資産の両方を保護することを伝えることが大切です。
• 認識を共有し、納得を得る — 技術者ではない社員は、MFA 導入に対して、やることが増えて面倒だと考えがちだという点を理解し、丁寧に説明して納得してもらう必要があります。生体認証なら面倒ではないかもしれませんが、生体認証が利用できないデバイスも多く、セキュリティキーや認証デバイスを備えたデバイスを携帯してもらわなければならないこともあります。
• トレーニングとサポート — MFA プロセス導入に際してどのように実行すればいいかを説明する手順書やビデオを準備します。MFA に精通している人にとっては簡単でも、新しい手順に不慣れな人は、実行に失敗してログインできないということもあり得ます。そういった場合に備えて、すぐに利用できるテクニカルサポート体制を整えてください。
• デプロイメント前のテスト — アプリケーションのデプロイメント時と同様、会社全体に展開する前に、まず小さなグループで各システムの MFA をテストします。MFA が想定通りに機能し、問題なくアクセスできるという点を確認しておくことが大切です。
• ユーザーの優先順位付け — アカウントが侵害された場合のデジタル資産へのリスクが最も大きいユーザー、つまり、管理者アカウントを持つユーザーと、特別なネットワークアクセス権限を持つユーザーから始めます。次に優先度が高いと考えられるエンドユーザーは経営陣であり、財務および人事担当者がこれに続きます。優先度の高いグループから順次処理していくことで、組織全体に展開する前のロールアウトテストができ、問題があれば事前に解決しておくこともできます。
• 登録の追跡 — MFA をロールアウトしたら、全員が登録したかどうかをチェックし、誰がどの認証方法を選択したかを確認する必要があります。待機時間が長いと、ハッカーがアカウントを侵害するために使える時間が長くなることを念頭においてください。

MFA のデプロイメントが終了したら、セキュリティと生産性への影響を測定します。ユーザーにはフィードバックを依頼しておきましょう。また、ヘルプデスクにどういった要請があったのかについても確認し、分析する必要があります。ログインの失敗、フィッシング攻撃、拒否された特権のエスカレーションを監視することも重要です。MFA の目的はデジタル資産を保護することですが、それによって生産性が低下するようなことがあれば、ポリシーを変更したり、別の MFA 手段を使用することを検討したりする必要が出てくるかもしれません。

煩わしさをなくすための SSO の活用

独自の MFA プロセスを必要とする特定の重要なアプリケーションがあるかもしれませんが、それ以外のアプリケーションについては、アプリケーション・グループの MFA をシングルサインオン（SSO）と統合することで、MFA プログラム全体の負担を軽減できます。SSO を使用すれば、MFA で一度ログインするだけで複数のサービスにアクセスすることができます。

たとえば、Microsoft Office アプリケーション、在庫管理アプリケーション、マーケティングアプリケーションへの承認済みアクセスを、すべて、SSO を使って1つの MFA ログインセッションで許可することができます。一方、ERP や CRM プラットフォームにアクセスしたい場合は、アプリケーションごとに個別のログインを使用する必要がある、というような設定にします。

MFA メカニズムおよびプロトコルと簡単に統合できる SSO ソリューションを使用するのが最適です。また、どのアプリケーションが SSO ソリューションを適用できるのかを確認した上で導入する SSO を判断してください。たとえば、Web とエンタープライズアプリケーションに SSO を提供し、VDI や SaaSアプリケーションには SSO を提供しないソリューションがある一方、クラウドや SaaS アプリケーションに SSO を提供して、オンプレミスアプリケーションには提供しないソリューションもあります。

想定外の事態を想定

MFA と SSO のロールアウトが完了したと思っても、想定外のことは発生するものです。MFA や SSO のプロセスで設定がうまくいかなくて混乱するユーザーは想定内でしょうが、デバイスを紛失したり、パスワードを忘れたりしてうろたえるユーザーも出てくるかもしれません。

重要なのは、サポートスタッフを準備し、可能であればリソースを追加することです。少しずつシステムが調整され洗練されていき、ユーザーも経験を重ねて、MFA と SSO のメリットを理解するようになるでしょう。少しの追加の努力で、ユーザーのデータと組織のデータをサイバー犯罪者から保護することができます。