<座談会>サイバー攻撃から企業を守るためのMFA(多要素認証)とは?重要性や対応方法・事例をご紹介

近年のクラウドサービスの浸透や、新型コロナウイルス感染拡大によるリモートワーク機会の拡大は、セキュリティの世界に大きな転機をもたらしています。

サイバー攻撃による被害は企業の規模や地域に関わらず、連日のように発生しており、もはや他人事とは言えなくなりました。

そこで今回のブログでは、クラウドセキュリティパッケージ「HENNGE One」を提供するHENNGE株式会社のお二人をお招きし、クラウド時代のセキュリティ対策として注目されているMFA(多要素認証)の基礎知識から企業での対応方法、HENNGE社での対応事例などについて語ってもらいました。

参加メンバー

o-san.jpg
HENNGE株式会社
West Japan Sales Section Regional Manager
奥谷 慶行

新卒で某理系大学を卒業後、大学院への道を蹴って大手SIerに営業として入社。様々なIT商材を扱う営業に従事していたものの、クラウドサービスへの専門性を高め、また自身のキャリアアップのためにパートナーセールスのキャリアを求め現職に入社。前職で培った営業スキルを現職のハイタッチセールスとしても生かしながら2年間のMGRを経験。2021年10月より九州地方の市場を盛り上げるために福岡オフィスの営業に赴任し、奮闘中。

i-san.jpg
HENNGE株式会社
Marketing Section Leader
板垣 慎介

新卒より一貫してソフトウェアメーカーにて勤務。営業8年、情シス3年、マーケ6年を経験。現在はMarketing部門に所属し、マーケティング活動に従事しつつ、マーケティング関連機能のSalesforce管理者も兼務。Salesforce社が選ぶ Top30 B2B Marketing Trailblazers of 2017 受賞(うち日本人は4名)。また、Salesforceユーザーグループ「TERAKOYAFORCE」を運営。Salesforce歴は6年。

s-san.jpg
株式会社チームスピリット
戦略企画室 ビジネスユニットリーダー
白須 礎成

システムインテグレータにて、法人営業職を5年経験後、CRMやBIツールのプロジェクトマネジメント、サイバーセキュリティのコンサルタント、自社のサブスクサービスの立ち上げ時のプロダクトマネジメントなどを担当。2020年にプロダクトマネージャーとしてチームスピリットに入社。現在は、主力製品TeamSpiritのビジネスユニットリーダーとして事業戦略の立案・推進を担当。

MFA(多要素認証)とは?

s-san.jpg
白須
最近話題のMFA(多要素認証)について、HENNGEさんから改めてどのようなものか解説いただけますか?
o-san.jpg
奥谷

MFA(多要素認証)とは、クラウドサービスやWebサービスにログインする際に、2つ以上の"要素"を組み合わせて行なう認証のことです。

要素は大きく分けて3つあり、
①パスワードや秘密の質問など本人しか知り得ない「知識要素
②スマホやICカードなど本人しか持っていない「所持要素
③指紋や声紋など本人固有の情報や特性の「生体要素
があります。

MFAと混同されやすいものには「多段階認証」というものがあります。
これは例えば、ログインの際に1回目はパスワード、2回目は秘密の質問を入力するなど単一の要素のみを使って認証をするもので、一見良さそうですが、サイバー攻撃のレベルが上がっている今は、多段階認証を無効化するフィッシング詐欺が横行するなど、セキュリティを担保できるとは言えなくなっています。

o-san.1.png

MFAが注目されている背景とは?

s-san.jpg
白須
MFA自体は新しい技術ではないですが、なぜ今こんなに注目されているのでしょうか?
i-san.jpg
板垣

クラウドサービスが浸透してきたことや、新型コロナウイルスの感染拡大で、十分なセキュリティ対策ができないままリモートワークを導入した企業が多かったことなどが原因で、サイバー攻撃がここ1〜2年で劇的に増えたことが背景にあります。

特に日本を含むアジア太平洋では、Fortinet社が24ヵ国の経営層向けに行なったアンケートによると、ランサムウェア(身代金要求型ウイルス)の被害経験は約78%と非常に多い傾向にあります。
s-san.jpg
白須

サイバー攻撃は多様化や巧妙化が進んでしまいましたね。
クラウド時代にはどんなセキュリティに対する考え方が求められますか?

o-san.jpg
奥谷

クラウド時代のセキュリティ対策の前提には、『ゼロトラストセキュリティモデル』という考え方があります。

これは、従来行われていた「安全である社内」と「脅威である社外」にネットワークを分けてその境界線で対策を講じる『境界型セキュリティモデル』と違って、「何も信頼しないこと」を前提に対策を講じるセキュリティの考え方です。

ゼロトラストの重要な要素に「認証」と「アクセス制御」があり、この具体的な施策としてMFAが推奨されています。
i-san.jpg
板垣
MFA対応の動きは世界規模で急加速していて、SalesforceがMFAの必須化に踏み切ったり、Googleもアカウントの二要素認証を自動で有効化することを発表したりと、今後もこの流れはますます加速していくと考えられています。

企業は何から対応すべきか?

s-san.jpg
白須
これから多くのクラウドサービスがMFAの必須化を行なっていくことが予測されていますが、企業はまず何から始めるべきでしょうか?
o-san.jpg
奥谷

まずは、「情報資産」といわれる、顧客の個人情報や従業員の人事情報、財務情報、契約書、システムのソースコードなどといった資産として価値のある情報がどこにあって、どんな管理をしているのかを洗い出して把握することから始めるのが良いと思います。

s-san.jpg
白須
確かに、情報資産の把握をしないまま具体的な対策を講じてしまうと、セキュリティの抜け穴ができてしまったり、実は重要ではないところにコストをかけてしまう可能性がありますね。

ms-san.5.png

MFAの対応方法の選び方とは?

s-san.jpg
白須

重要資産の把握が完了したら、具体的なMFAへの対応方法を検討することになるかと思います。

MFAの対応方法として、スマホやUSBのキーとパスワードを組み合わせて行う方法や、御社が推奨するSSO(シングルサインオン)など複数の選択肢があるかと思います。

自社にあったものをどんな基準で選べば良いのでしょうか?
i-san.jpg
板垣

自社で利用しているクラウドサービスがSalesforceのみで、従業員に社給携帯を配布していたり、私用携帯を認証に使える場合には、Salesforceが提供しているモバイルデバイス用のMFAアプリーケーション「Salesforce Authenticator」を利用するのが手軽でコストもかからない方法です。

一方、Salesforce以外にも複数のクラウドサービスを使っていたり使う予定がある場合や、社給携帯の配布や管理のコスト、従業員に私用携帯を使わせることに抵抗感がある場合には、1度のユーザー認証で複数システムにログインができるSSOサービスを利用するのも1つの手だと思います。

i-san.1.png

s-san.jpg
白須

SSOサービスは、従業員にとっても管理者にとっても認証が1つになるので利便性が高いですし、クラウドサービス側で用意されているセキュリティ設定に依存せずにセキュリティ水準を担保できることもメリットですよね。

とはいえ、初めての方は国内外に複数あるSSOサービスの中から、何を基準にどれを選んだら良いかわからないという方も多いかと思います。選定の際にはどんなポイントを意識すれば良いのでしょうか?

o-san.jpg
奥谷

SSOサービスの選定で押さえるべきポイントは
①システムを継続して稼働できる能力である「可用性」が高いこと
②クラウドサービスの利用拡大に対応できる「拡張性」が高いこと
③日々の管理やサービス追加などを見据えて「運用負荷」が低いこと
の3つだと思います。

例えば、私たちのサービスの場合は、管理者の方の運用負荷軽減のために、設定代行や管理者向けセミナーを定期開催しているのですが、選定の際には、こういった実績や今後の計画をしっかり聞いたり調べたりすることが重要だと思います。

HENNGE社ではどう対応しているか?

s-san.jpg
白須
HENNGEさんでも、SalesforceやTeamSpiritなど様々なクラウドサービスを使われていますが、どんなシステム構成でMFAの対応を行われていますか?
i-san.jpg
板垣

SSOサービスである『HENNGE One』をTeamSpiritなどのクラウドサービスと連携させてログインを行なっており、MFAには
ID/パスワードの「知識要素」
パソコンにインストールしたデバイス証明書の「所持要素」
スマホにインストールしたプッシュ通知アプリの「所持要素」
の3要素を利用しています。

加えて、ノートパソコンやスマートフォン管理のための『MDM(モバイルデバイスマネジメント)』も導入していますので、モバイル端末のパスワードロックを必須にしたり、端末紛失時に管理者側がリモートで端末の初期化が可能です。

また、HENNGE Oneには、HENNGEが発行したデバイス証明書をパソコンやスマートフォンに登録することで、デバイス証明書を保持する端末からのみ、クラウドサービスへのアクセスを許可する端末制限サービスがあり、これも合わせて利用することでさらにセキュリティを高めています。

スクリーンショット 2021-12-24 11.02.32.png

s-san.jpg
白須
MDMで一番最初の入口となるモバイルの部分を管理した上で、SSOでクラウドサービスに入る手前の部分を管理して、さらにデバイス証明書でアクセスする端末を特定することで、クラウド上でも社内で使っていたオンプレミスと同じようなセキュリティ環境を実現しているのですね。
i-san.jpg
板垣
はい。そのほか、HENNGE Oneには、メールの誤送信を防いだり、フィッシング詐欺やランサムウエア攻撃から守る機能などもついているので、複合的なセキュリティ対策をしていただくことができます。
s-san.jpg
白須

お話しを伺って、この機にSSOサービスを使ったMFA対応を行なってセキュリティレベルをあげていくことは非常に重要だと感じました。

そういった意味で、御社のような拡張性や活用可能性があるようなサービスで、メールを含めて複合的にセキュリティを高めることができるというのはお客様にとって大きなメリットがあることですね。
本日はどうもありがとうございました。

※HENNGE OneとTeamSpiritをSSOで連携させるための設定方法はこちらをご覧ください。

TeamSpiritの最新情報をお届けします

お客様の個人情報の取り扱いについて「プライバシーポリシー」をお読みいただき、
同意いただける場合にのみお申し込みください。

まずは資料請求

製品概要が3分で早わかり
TeamSpiritの機能特徴や選ばれる理由を
ご覧いただけます

無料デモ・お問い合わせ

導入に関するご質問や
実際の画面操作を見ながらの製品デモまで
お客様のご連絡をお待ちしております