セキュリティ

MSのパスワードレスとMFA--安全性と利便性の両立を図る取り組み

パスワードには多くの問題があり、安全面が懸念されている。マイクロソフトのパスワードレスや多要素認証(MFA)への取り組みについて、同社の幹部に話を聞いた。

 高度な知識を持つ顧客は、今後も条件付きアクセスポリシーを使用するだろう。ごく少数の組織は、条件付きアクセスを有効にするために、新しいテナントでセキュリティの既定値群を無効にした。「そうした組織は、従来のVPNポリシーではなく、IDベースのポリシーときめ細かい制御機能を使用することで、ユーザー、デバイス、ネットワークに基づいて、アクセスを許可するアプリケーションと機密文書を設定できるようにしている」。Chik氏は米TechRepublicにこう語った。

 レガシーアプリケーションへのアクセスが必要なために、MFAを有効化できないというケースは多い。COVID-19や経済の課題によって、リモートワーク対応とコスト削減を迫られている組織は、この問題に対処するため、Azure ADを使用してそれらのレガシーシステムの認証をクラウドに移行しようとしている。「組織はさまざまなシステムを効率的に統合することを強く望んでいる」とChik氏は説明する。「当社はパスワードレスのプラットフォームサポートを提供しているので、Azure ADでアプリケーションに接続している顧客は、アプリケーションを再実装する必要さえない。パスワードレスはうまく機能するはずだ」

 「Microsoft 365」と「Office 365」の「セキュアスコア」機能は、同じ業種のよく似た組織と比較することができるため、良い刺激にもなる、とChik氏は述べた。「われわれが『同業者のセキュアスコアはこれくらいだ』と伝えれば、『なぜ当社はその平均を下回っているのか。CSOとして、IDアーキテクトとして、スコア改善のために何をする必要があるのか』と考えるきっかけになると思う。セキュリティの既定値群でMFAを有効にすると、セキュアスコアを測定できるようになり、自社と同業のさまざまな企業と比較することができる。今回は、迅速に展開できる簡単なレシピを提供しており、それに加えて条件付きアクセスポリシーをカスタマイズすることも可能だ」

「自分のサインイン」では、自分のAzure ADアカウントへのアクセス試行があった日時を確認できる。提供:Mary Branscombe / TechRepublic
「自分のサインイン」では、自分のAzure ADアカウントへのアクセス試行があった日時を確認できる。
提供:Mary Branscombe / TechRepublic

不審なアクセス試行がないか確認

 ユーザーがオプトインすべき新機能がもう1つある。

 一部のオンラインバンキングサイトでは、自分のアカウントで成功した最後のログインと、失敗した直近のアクセス試行の日時が表示される。このように、何者かが自分のアカウントを攻撃しようとしていないか確認できるようにすることは、非常に有益なアイデアであり、それほど広まっていないのが不思議なくらいだ。多くの人は自分のアカウントや勤務先の会社について、攻撃の標的になるほど重要な存在ではないと思い込んでいるが、Azure ADの「自分のサインイン」という新機能を利用すれば、少し目が覚めるだろう。直近の5日間だけでも、エクアドル、ロシア、チューリッヒ、アムステルダムの何者かが、筆者のOffice 365アカウントへのアクセスを試みて失敗している。

 この機能の目的は、ユーザーに恐怖を与えてパスワード変更させることではない(攻撃者が実際にログインに成功した場合は別だ)。リンクをクリックして、見覚えのないログイン試行失敗であることを表明すると、サインイン方法を確認してMFAに切り替えるよう促される。特に疑わしいアカウントアクセスは、リストの一番上に表示される。偽陽性に印を付けることができるため、終日在宅勤務をする代わりにカフェで作業をするようになっても、警告が表示され続けることはない。

 パスワードレス認証を使用しても、攻撃を受けることはあり得る。しかし、攻撃者はユーザーをだましてパスワードを手に入れるのではなく(あるいは多くの人が脆弱なパスワードを選んでいることや必死で覚えた強力なパスワードを使い回していることにつけ込むのではなく)、トークンを抽出して再生しなければならない。

 「これに関して引き続き業界と協力していくつもりだ。また、理想的には、アクセストークン自体をデバイスだけでなくアプリケーションやネットワーク条件にもバインドできるようにする機能をプラットフォームに組み込みたい」。Chik氏はこのように述べた。

 「この取り組みは今後も続けていくが、(Azure ADのテレメトリーが示すように)MFAのサポートとともにパスワードレスを採用することで、(組織の)セキュリティ体制を99.9%向上させることができる」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]