Information Literacy picture

多要素認証実装は必須要件ではあるが企業内において敷居は低くない

コンシューマー向けのオンラインサービスが、多要素認証必須になっていく状況において、当然ながら、企業でも多要素認証は必須。なのだが、問題は山積み。

問題1:社員にスマートフォンを支給してない問題

多要素認証の知識値(ID/パスワード)、以外の要素で、もっとも一般的なのは「所有」。要はスマホ+認証アプリというやつ。

コンシューマーサービスの場合、利用者は100%に近い確率でスマホを利用している。認証アプリ、いわゆるオーセンテイケーターのインストールを強要できる。

が、企業においては、社員全員にスマートフォンを支給していないケースもある。その場合、スマートフォン+オーセンティケーターという多要素認証は社員に強要できない。

ガラケーならSMSを受け取れるので、最悪、ガラケー利用も可能だが、内勤社員にガラケーを支給しているケースなんてのもないだろうから、SMS案も使えない。

個人ケータイ・スマホを使えばいいじゃん!案はあるけれど、私物は、IT資産管理の面や、デバイスの安全性担保、たとえば、セキュリティアップデートの強要なんてできるわけがないし、やらせるべきではない。スマホやケータイを全社員が持っている保証もない(ほとんどの人は持ってるだろうけど)。

本筋からはそれるが、Lineを仕事で使うなども、正直ありえないのだけれども、日本の中小企業では結構つかっている。これもなんとかしたいところ。

問題2:USB端子使用不可問題

次に一般的なのは、Yubikey的なデバイスを使うケース。これも、スマホ同様「所有」要素での認証。たまーに、Yubikeyの中にパスワードが保存されているというような説明もあるが完全に間違い。Yubikeyの中にはパスワードは保存されてないし、万が一パスワード保存&自動入力だと、そもそも耐要素認証ではない。

Yubikey自体はスマホなんかと比較すると毎月かかる費用もないし、デバイス自体も高価ではないから、比較的導入しやすいが、USB端子を使うというところが問題。

IT部門の技術力が低い企業は、USBメモリ利用での情報漏洩を防止したいという意味不明な理由で、USB端子の利用をできないようにしているケースがある。

酷い場合には、USB端子を壊して、物理的に使えなくしてしまっている場合もある。USB端子という生産性を高める機能を、無知な為に潰ししてしまうという悪例。

話を戻すと、USB端子が使えないと、Yubikey自体も使えないからYubikeyを使った多要素認証はソリューションにならない。

Yubikeyが使えないだけではなく、USB端子に接続して認証要件を満たす手法も同様に全滅。

例えば、スマートカードを使った認証や、顔認証用のカメラや指紋認証デバイスも、PC自体に「その」機能が標準装備されていなければ使えない。

USB端子さえ利用できれば、方法はいろいろあるのに。

また、余談だけれど、IT部門は、会社PC機種選定の場合に、Windows Hello対応の生体認証機能があるPCを選択しておくべきかもしれない。そうすれば、多要素認証問題の解決はたやすい。

解決方法

さぁ、ってことで解決方法。以下が条件:

  • スマホは使えない(MFAアプリ、SMS)
  • USB端子は利用不可(yubikeyやUSB接続の生体認証デバイスは使えない)
  • PCには、生体認証機能無し

四面楚歌な感じはするけれど、実は、解決方法あり。それは

Windows Hello (for Business)のPIN。PINとパスワードを同じ物とおもっている人も少なくない(ITに関わっていても)けれども、PINとパスワードは別モノ。ログインのID/パスワードはサービス側で検証される、つまりは、サービス側が保持しているが、PINは、設定したデバイス、Windows Helloであれば、Windows PC内に保存される。マイクロソフトのドキュメントによれば、PINはTPM内に保存されるので、外部持ち出しできないし、持ち出せないから、他のPCにコピーできない。つまりは、Windows PC自体が、多要素の「所有」を満たせるということ。

そのWindows PCからしか認証できないので、PCさえあれば、Windows Hello対応の認証基盤に対し多要素認証可能。さぁ、みんなでWindows Hello使いまくるしかないわけです!

が実は解決にならないケースも多々ある

Windows Hello で認証できるのは、そのPCへの認証。そして、多くの認証基盤は、PCへの認証とネット上のSaaSへの認証を独立させてしまっている。たとえば、Salesforceは多要素認証必須だが、Windows Hello で多要素認証のハードルは(そのままでは)越えられない。

Windows PCへと認証とクラウド認証を共通化する

結論からいえば、Entra IDをつかうしないのが現状。イントラネットのActive Directory経由でEntra ID連携、もしくは、Entra ID直接のどちらでも構わないのだが、Entra IDを使えば、Windows HelloのPIN入力による多要素認証を実現できる。前述のSalesforceにしても、認証基盤をEntra IDにすれば、スマホ無しでもUSB端子が塞がれていても、多要素認証できる。

投稿者 shimakawa