2 ファクタ認証(2FA)とは

セキュリティの運を天に任せるようなことはやめて、2 ファクタ認証で組織のセキュリティを強化しましょう。

2 ファクタ認証(2FA)とは

組織のオンライン セキュリティに関して、注意しすぎるということはありません。サイバー セキュリティの脅威は、攻撃の頻度と巧妙さを急速に増しています。Malwarebytes のレポートによると、企業への攻撃は 2019 年に 13 % 増加しました。そのため、多くの企業は現状の情報セキュリティ対策に批判的な目を向けています。何と言っても、企業のオンライン アカウントには、かなりの量の個人情報や財務情報、機密情報が保管されているので、データ漏洩が収益の損失につながることがよくあります。ほとんどの組織には、従業員が習慣づけることでサイバー セキュリティを全社的に向上できる簡単な手順が 1 つあります。それが 2 ファクタ認証(2FA)です。

2 ファクタ認証の詳細

2 ファクタ認証とはどのようなものでしょうか。認証とは、コンピュータ システムやオンライン アカウントへのアクセスを確立するために、ユーザーの身元を確認するプロセスです。認証には、主に次の 3 つの要素(ファクタ)が使われます。知識要素(パスワードや暗証番号など、本人しか知らないもの)、所持要素(モバイル デバイスや ID カードなど、本人が持っているもの)、生体要素(指紋や声紋など、本人から切り離せないもの)の 3 つです。他にも「位置要素」や「時間要素」などがありますが、これらはあまり一般的ではありません。2 ファクタ認証とは、セキュリティ システムでこれらのうち 2 つの要素を使用することです。

つまり 2 ファクタ認証とは、パスワードや暗証番号の上に重ねられた第 2 のセキュリティ層であると言えます。もし、パスワードを使ってログインした後に、モバイル デバイスに送られてくる数値コードを入力して身元を証明するように求められたことがあれば、あなたはすでに 2 ファクタ認証に馴染みがあります。もちろん、メールでコードを受け取るだけが 2 ファクタ認証の方法ではなく、認証アプリ、プッシュ通知、ソフトウェア トークン、音声認証など、幅広い選択肢があります。しかし、ほとんどの場合、セキュリティ強化のために追加されるのは SMS メッセージでのコード送信のようです。

認証アプリとは

テキスト メッセージ、音声メッセージ、プッシュ通知など、ほとんどのタイプの 2 ファクタ認証はよく知られているようですが、認証アプリについては少し馴染みが薄いかもしれません。実は、認証に使われるのは比較的シンプルなアプリです。では、認証アプリとはどのようなものなのでしょうか。要するに認証アプリとは、ウェブサイトやアプリケーションにログインする際に身元を確認するためのデジタル認証コードを生成するスマートフォンのアプリです。Google 認証システムDuo MobileMicrosoft Authenticator など、さまざまな認証アプリがありますが、どれもほぼ同じ手順で利用できます。

一般に認証アプリは、SMS のテキスト メッセージでパスコードを受信するよりもやや安全な 2 ファクタ認証の方法であると考えられています。それは、厳密に言えば、SMS メッセージはユーザーが所持するものではなく、送られてくるものだからです。そのため、ハッカーが携帯通信事業者を騙してスマートフォンの電話番号を別のデバイスに移植できる可能性はわずかにあります(「SIM スワップ」と呼ばれる詐欺の一種)。仮にパスワードをあらかじめ入手していれば、これで攻撃者はユーザーのアカウントにアクセスできるようになります。これに対して、認証アプリの認証コードはとても早く期限切れとなり(通常は 20 秒から 30 秒後)、コードがアプリの外に漏れることはありません。

では、2 ファクタ認証の仕組みはどのようなものでしょうか。認証アプリ、プッシュ通知、SMS メッセージのどれを使用する場合でも、システム上で 2 ファクタ認証を設定すれば、使用方法は比較的簡単です。ここでは、2 ファクタ認証のプロセス自体を順に説明します。

  1. ユーザーがウェブサイトやアプリケーションからログインを求められます。
  2. ユーザーはユーザー名とパスワードを入力し、最初のセキュリティ要素を満たします。
  3. サイトがユーザーを認識した後、ユーザーはログイン プロセスの 2 番目の手順を開始するように求められます。この段階で、ユーザーは ID カードやスマートフォンなどを持っていることを証明し、第 2 のセキュリティ要素である「所持」の要素を満たす必要があります。ほとんどの場合、ユーザーには、本人確認に 1 回だけ使用できるセキュリティ パスコードが送られてきます。
  4. 最後に、ユーザーはセキュリティ キーを入力し、サイトがキーを認証すればアクセスが許可されます。
2 ファクタ認証を使用する理由

オンライン セキュリティに関して言えば、最も一般的な認証要素はユーザー名とパスワードの組み合わせです。つまり、ほとんどのシステムでは 1 ファクタの認証しか利用していないということです。私たちは何十年もの間、情報セキュリティの標準としてパスワードに頼ってきましたが、ついにパスワードを完全に超える時がやって来ました。これにはいくつかの理由があります。まず、パスワードは比較的簡単に悪用することができます。人間は得てして記憶力が悪いもので、多くの場合私たちは、「password」、「12345」、「qwerty」など、滑稽なほど簡単に推測できるパスワードを選んでしまいます。

また、忘れてはならないのは、パスワードが最初に導入された頃よりも、私たちが持っているオンライン アカウントの数が多くなったということです。つまり、単にパスワードが多すぎて覚えられない場合が多いのです。それで「パスワードの使い回し」が起こる可能性があり、複数のアカウントで同じパスワードが使われているために、ハッカーがアクセスしやすくなります。Yahoo で 30 億件のアカウントがハッキングされた 2013 年のデータ盗難事件のように、サイバー犯罪やデータ漏洩が増えていることを考慮すれば、パスワードが最も安全な保護手段ではなくなった理由は容易に理解できるでしょう。

本格的な 2 ファクタ認証ではなく、セキュリティの質問を 2 番目の要素として使っているサイトもあります。たとえば、「母親の旧姓は?」とか「子供の頃のペットの名前は?」などの質問に答えなければならない場合があります。しかし、この方法に関してもさまざまな弱点があります。ウェブ上には個人情報があふれているため、ハッカーはこのような比較的基本的な質問に対する答えを推測できることがよくあります。さらに、セキュリティの質問は 2 つ目の知識要素に過ぎないので、この方法が「真の」2 ファクタ認証ではないことにも注意が必要です。要は、パスワードをもう 1 つのパスワードで補強しているだけです。そういう意味では、異なる要素を要求せずに複数の段階を踏むだけの 2 段階認証(2SV)のほうがはるかに近いでしょう。

結論として言えるのは、パスワードがセキュリティの最も低い方法であるため、2 ファクタ認証が企業の基本的なセキュリティ標準になりつつあるということです。

2 ファクタ認証のその先へ

2 ファクタ認証に大きなメリットが伴うことは、すでにおわかりいただいたと思いますが、2 ファクタ認証は情報セキュリティの終着点ではありません。それどころか、2 ファクタ認証は結局、絶対確実なものではありません。攻撃者が企業のコンピュータ システムにアクセスしようとして、社内を物理的に検索すると、従業員 ID や、パスワードが残っている廃棄されたストレージ デバイスが見つかるかもしれません。さらに、ハッカーはフィッシング メールを介してテキスト メッセージを傍受することができ、2 番目の認証要素を回避できる可能性もあります。結局のところ、2 ファクタ認証はセキュリティ プロセスの中で最も弱い要素と同じくらいの強さしかありません。

では、他にどのような方法があるのでしょうか。2 ファクタ認証とは、もっと大きな概念である多要素認証(MFA)の中の 1 つに過ぎません。理論的には、3 ファクタ認証、4 ファクタ認証、5 ファクタ認証など、無限の可能性があります。一般のユーザーが 2 ファクタ認証以上のものを使うことはなさそうですが、セキュリティの厳しい環境で働く人は、一般的に指紋や虹彩スキャンなどの生体要素の使用を伴う 3 ファクタ認証(3FA)のような方法を使用する必要があるかもしれません。

2 ファクタ認証でファイルを保護する

ビジネスのファイルやコンテンツの保護は、いくら重要視しても、し過ぎることはありません。世界のサイバー犯罪の被害は、2021 年までに年間 6 兆ドル前後に達すると推定されています。サイバー犯罪は、データの破壊や悪用、金銭の盗難、攻撃を受けた後の混乱、知的財産の盗難、生産性の損失などという犠牲を伴います。さらに、ハッキングされたデータやシステムの復旧、フォレンジック調査、風評被害などに関連した費用が発生する可能性も考えておく必要があります。脅威がますます巧妙になり、全世界で 2 ファクタ認証が標準として実装されるようになると、実装しない企業は、ハイエナのようなハッカーに対して弱みを見せたままにする危険を冒すことになります。車にはエアバッグが付いているからシート ベルトはしない、というようなものです。理屈の上では保護されていますが、可能な限りの保護が施されているとは到底言えません。

Dropbox で 2 ファクタ認証を利用するには

2 ファクタ認証を有効にすることで、ビジネスに大きなメリットがあることは明らかです。会社全体で 2 ファクタ認証を展開するのはちょっと大変かもしれませんが、ありがたいことに、それほど難しいことではありません。Dropbox は 2 ファクタ認証を提供しています。Dropbox で 2 ファクタ認証を有効にすると、アカウントへのログイン時や、新しいタブレット、パソコン、スマートフォンなどをリンクした時に、自分自身やチーム メンバーに対して、2 つ目の認証フォーム(6 桁のパスコードやセキュリティ キーなど)の入力が常に求められます。また、Dropbox には、企業の機密情報を安全に管理できるパスワード保護機能がいくつも用意されており、共有リンクへの有効期限の設定や、PDF とフォルダのパスワード保護も可能です。

Dropbox で実装してファイルのセキュリティをより効果的に確保できるサイバー セキュリティ対策は他にもあります。Dropbox のクラウド セキュリティは、2 ファクタ認証を補うのに最適です。一言でいえば、クラウド データの保護は Dropbox の最優先事項です。分散型のクラウド インフラストラクチャに複数の保護レイヤを設けることで、すべてのオンライン ファイルに同レベルの保護を施すことができます。さらに、Dropbox のエンタープライズレベルの暗号化クラウド ストレージは、ほとんどのグローバルな規制基準に準拠して使用できます。

まとめ

2 ファクタ認証は、企業のオンライン ファイルのセキュリティをさらに強化し、潜在的なサイバー脅威から機密データを保護します。