多要素認証とは?SAPユーザーが知るべきセキュリティ対策について

 2021.12.21  リアルテックジャパン株式会社

SAPは企業の基幹業務を統合管理するERPシステムであり、年々セキュリティ強化の重要性が高まっています。そんななか、巧妙化するサイバー攻撃に対する防御手段として注目を集めているのが「多要素認証」です。本記事では、SAPユーザーが知るべき多要素認証の概念や導入メリットについて詳しく解説します。

多要素認証とは

「多要素認証」とは、WebサイトやECサイトなどにログインする際、ユーザーの真正性を確認するために用いられる、複数の要素を組み合わせた認証方式です。「Multi-Factor Authentication」の頭文字を取って「MFA」とも呼ばれます。従来の認証システムとの決定的な違いは、2つ以上の異なる要素を組み合わせて認証する点です。この「2つ以上の異なる要素」という点が重要であり、同じ要素での認証を繰り返す「二段階認証」とは定義が異なります。

詳しくは後述しますが、多要素認証は「知識要素」「所持要素」「生体要素」の3つの要素から、2つ以上を組み合わせてセキュリティを保護する認証方式です。たとえば、ユーザーIDとパスワードの入力後に「秘密の質問」を要求する認証方式がありますが、これは知識要素の認証を2回繰り返す二段階認証にあたり、多要素認証ではありません。数字や言語などの知識要素だけでなく、デバイスを用いた所持要素や、指紋や声紋といった生体要素など、複数の要素によって真正性を確かめる認証方式が多要素認証です。

情報通信技術の進歩は、人々の暮らしにかつてないほどの利便性と豊かさをもたらしました。しかし、テクノロジーの発展によって利便性が増す一方で、マルウェアや不正アクセスなどのサイバー攻撃も高度化かつ多角化しています。そのため、従来のパスワード認証ではセキュリティの確保が困難となってきています。年々巧妙化するサイバー攻撃の脅威から情報を守るためには、高度なセキュリティ環境の構築が不可欠です。多要素認証はハッキング技術の進歩に伴い、近年のパスワード認証の限界に対応する技術として期待されています。

多要素認証の3要素

先述したように、多要素認証は「知識要素」「所持要素」「生体要素」の3要素によって成り立つ認証方式です。1つ目の知識要素とは、ユーザーだけが知り得るパスワードやPINコードなどの情報群を指します。「What you know」の頭文字をとって「WYK認証」とも呼ばれます。

2つ目の「所持要素」は、ユーザーが所有しているデバイスによって真正性を確認する認証方式です。ハードウェアやモバイルデバイスなど、所有物によって認証することから、「What You Have」を略して「WYH認証」と呼ばれます。

3つ目の「生体要素」は、指紋の模様を照合する指紋認証や、音声の波形や周波数を分析する声紋認証など、人間固有の生体情報に基づく認証方式です。そのほかにも眼球の虹彩や網膜による認証、静脈形状パターンに基づく認証など、さまざまなパターンの認証方法が存在します。「What You Are」の略称として「WYA認証」、あるいは「バイオメトリクス認証」とも呼ばれます。近年では、多くのPCやスマートフォンに指紋認証や顔認証などが採用されており、意外と身近な認証方法といえます。

  • 知識要素(WYK認証):パスワードや暗証番号など本人だけが知っているもの
  • 所持要素(WYH認証):PCやスマートフォンなど本人だけが所有しているもの
  • 生体要素(WYA認証):指紋や声紋など本人だけがもつ身体的特徴によるもの

多要素認証のメリット

複数の要素でユーザーを照合する多要素認証には、どのようなメリットがあるのでしょうか。ここからは、多要素認証がもつ具体的なメリットについて解説します。

セキュリティの強化

多要素認証を導入する最大のメリットは、堅牢なセキュリティ環境を構築できる点です。企業にとって情報とは、ヒト・モノ・カネに次ぐ第4の経営資源であり、セキュリティ環境の強化は非常に重要な経営課題のひとつといえます。情報漏洩インシデントは企業の社会的信用の失墜を招くだけでなく、損害賠償請求や取引停止といった大きな損害をもたらす可能性があります。とくに、企業の統合基幹システムであるSAPの運用において、セキュリティ環境の強化は必須です。

複数の要素によってユーザーを照合する多要素認証は、従来のパスワード認証とは比較にならないほど堅牢なセキュリティ環境を構築できます。近年では、さまざまなITシステムやWebサービスが提供されており、企業や従業員が管理するパスワード・IDも増加しています。その結果、パスワードの使いまわしや紛失によって、情報漏洩インシデントにつながるケースも少なくありません。デバイス認証や指紋認証などを同時に要求する多要素認証であれば、仮にパスワードを奪われてもシステムへの侵入は不可能といえるでしょう。

ユーザービリティが向上

近年のクラウドファースト指向により、あらゆるサービスやシステムがクラウド化しつつあります。たとえばMicrosoft社の「Microsoft 365」や、Adobe社の「Creative Cloud」など、これまでパッケージ販売されていたプロダクトのクラウド化が進んでいます。それに伴い管理するパスワードやIDが増加し、使いまわしや紛失によって情報漏洩につながるというのは先述した通りです。そのため、複数のパスワードを用意して使いまわしを避ける必要があり、非常に多くの手間を要します。

二段階認証にしても、ユーザーIDやパスワードと同様の情報を2回入力するという手間がかかり、非効率的といわざるを得ません。多要素認証は複数段階を踏んだとしても、ユーザーの生体情報を利用することで対応箇所が減り、高いセキュリティとユーザービリティの向上を同時に実現できる点が大きな魅力です。パスワードを複数用意したり、複雑な手順を踏んだりする手間がなくなるため、結果として組織全体の業務効率化に寄与します。

「theGuard! SmartChange Transport Management」 導入
SAP GRCインプリメンテーションサービス

多要素認証のデメリット

多要素認証は、高度化かつ多角化するサイバー攻撃に対し、次世代の防御手段として大きな注目を集めています。しかし、そんな多要素認証もメリットばかりではありません。ここからは多要素認証のデメリットについて解説します。

導入コストがかかる

多要素認証を事業に取り入れるうえで課題となるのが、導入コストの高さです。多要素認証を導入するためには、ICカードやカードリーダー、ワンタイムパスワードの発行に必要なトークンなど、さまざまなデバイスやそれらを管理するプラットフォームが必要になります。また、生体認証を導入する場合は、読み取り用のバイオメトリクス認証装置も必要です。こうしたコストが負担となり、資金力に乏しい中小企業では導入が難しい状況となっています。

とはいえ、電子証明書を使った認証方式やスマホアプリによる二要素認証といった低コストな方法もあるため、必ずしも莫大な導入費用が必要になるわけではありません。適切に管理・運用できるのであれば、これらを用いたコスト削減もあるいは可能でしょう。

物理デバイスの管理コストがかかる

多要素認証は導入コストだけでなく、運用・保守における管理コストも必要です。たとえば生体認証では、指紋認証システムを搭載した端末や、網膜をスキャニングする装置などを用いて、ユーザーの真正性を確認します。指紋認証や網膜認証などは本人固有の生体情報であり、紛失することも盗難されることもないと思われがちです。しかし、本人が寝ている間に指紋を取得される可能性も否定できません。写真から指紋をスキャンしてデータを抜き取るといった行為も、物理的には可能です。こうした事情から、情報やデバイス管理は非常に重要であり、相応の管理コストが必要となります。

多要素認証の事例

ここからは、実際に多要素認証を導入した企業の事例を見ていきましょう。一口に多要素認証といっても、さまざまな製品や運用方法があり、企業によって必要なシステムは異なります。具体的な導入事例を知ることで、自社の事業に活用するヒントとなるはずです。

ネットバンクにおける二要素認証

インターネット上で金融商品を取り扱うネットバンクは、数ある業種の中でも最も高いセキュリティが求められます。そこで某大手ネットバンクでは、IDカードに代わり「トークン形式のワンタイムパスワード」を導入しました。

「トークン」とは、ワンタイムパスワードを生成するツールの総称で、オンライン上での取引に本人認証として使用されるハードウェアおよびソフトウェアです。口座開設時にトークンアプリのダウンロードと利用登録を行うことで、ユーザーにワンタイムパスワードが発行されます。これにより、ワンタイムパスワードという知識要素と、トークンという所持要素の二要素を組み合わせた認証システムを実現しています。

自社の仮想デスクトップ環境の認証

近年、働き方改革の推進や新型コロナウイルスの感染拡大の影響も相まって、テレワークを導入する企業が増加傾向にあります。テレワークは新しい時代に即した働き方として注目される一方、セキュリティの脆弱性が懸念されるワークスタイルです。そこで注目を集めているのが、クラウド上に仮想デスクトップ基盤を構築する「DaaS」です。

たとえば某大手IT企業では、DaaS製品の導入により仮想デスクトップ環境を構築し、ID・パスワードにワンタイムパスワードを加えた多要素認証機能を用いて、セキュリティを強化しています。その際、ハードウェアトークンレスのワンタイムパスワード方式を採用することで、利便性とコスト削減の2つを同時に実現しています。

まとめ

企業にとって、セキュリティ環境の最適化は重要課題のひとつです。とくに、ERPシステムであるSAPのセキュリティ管理は優先すべき経営課題といえます。多要素認証の導入は、SAPのセキュリティ強化に大きく貢献するでしょう。

REALTECH GRCセキュリティ スターターパック

RECENT POST「運用」の最新記事


多要素認証とは?SAPユーザーが知るべきセキュリティ対策について
New Call-to-action
オフィシャル採用ブログ『RTFrontier』はこちらから!

RECENT POST 最新記事

RANKING人気記事ランキング

ブログ購読のお申込み