自社システムのセキュリティ、特にユーザー認証に課題意識を感じている事業者は多いのではないでしょうか。多様な働き方が可能になっているからこそ、ユーザー認証におけるセキュリティの重要性は高まってきています。本記事では、二要素認証の概要や必要性、またSAPにおけるシングルサインオンの機能について詳しく解説していきます。
二要素認証とは
これまでは1つの要素のみで認証していたものが、2つの要素を組み合わせることにより、セキュリティの強化を図る手法を「二要素認証」といいます。従来の認証画面の大半は、IDとパスワードを入力するだけでした。それに対して二要素認証では、以下の3つの要素の中から、2つ揃っていないと認証が行えません。
- 「知識要素」本人のみが知っているもの
最もよく活用されている要素で、IDやパスワードなど、本人が記憶している情報をもとに認証を行います。表示画像に含まれている数字やアルファベットなどの文字情報を入力したり、「秘密の質問」という項目で、母親の旧姓や好きな食べ物などを回答したりする認証方式です。 - 「所有要素」本人のみが所有しているもの
文字通り、本人が所有しているものを指しており、銀行のキャッシュカードやスマートフォン、ハードウェア型のトークンなどによって認証する方式です。 - 「生体要素」本人自身の特性
本人が記憶しておく必要のない、本人の指紋や顔、静脈といった、身体的な情報を要素として扱います。第三者への情報漏えいのリスクが少ないため、安全性が高いとされていましたが、時代の進化に伴い、近年では単一で絶対に安全とはいえなくなりつつあります。
基本的に、この3つの要素がベースにあり、前述したIDとパスワードの認証パターンは、本人のみが知っている知識要素に一致するため、一要素認証といえます。
二要素認証の代表的なものとして、身近な例を挙げるとすれば、銀行のATMがあります。キャッシュカードは本人のみが持っている所有要素に、暗証番号は本人のみが知っている知識要素にあたります。この2つが揃わないと、ATMからお金は引き出せないので、これは二要素認証に一致します。
その他、インターネットバンキングなどで、IDとパスワードに加え、スマートフォンアプリに表示される、ワンタイムパスワードを要求するケースがあり、これもIDとパスワードの知識要素と、スマートフォンアプリの所有要素を組み合わせた、二要素認証といえるでしょう。
二段階認証の違い
サービスやシステムにログオンする時に、「2つの段階を踏んで認証を行う」認証を、「二段階認証」といいます。よくある例としては、まずIDとパスワードを入力し、次の画面で「秘密の質問」を回答し、両方の入力情報が正しいと認証されれば、ログオンが完了するといったものです。
二段階認証では、それぞれの認証時に3つの要素の中から、同一の要素を活用するケースもあれば、複数の要素を活用するケースもあります。前述した「ID+パスワード」と「秘密の質問」の組み合わせは、両方とも知識要素なので、一般的な二段階認証となります。
また、最近増えてきているのは、会員サイトにログオンする時、ID+パスワードでまず認証し、次に手持ちのスマートフォンなどへ送られてきたコードを入力して認証するケースです。この場合、サイトにログオンするためには知識要素だけではなく、所有要素であるコードも必要になるため、二要素認証と一致します。
二要素認証は、異なる2つの要素を要求されるため、必然的に二段階を踏むことになります。したがって、二要素認証でもあり、二段階認証であるともいえるのです。二段階あるいは、それ以上の複数段階にわたって認証を行ったとしても、1つの要素しか活用されていなければ、それは二要素認証ではありません。
二段階認証は、異なる2つの要素を組み合わせる場合と、同じ要素を組み合わせる場合があるため、あくまで段階が2つあるというプロセスであり、二要素認証は要素の数で区別される、と覚えておけばわかりやすいでしょう。
二要素認証が求められる背景
現在は、従来の二段階認証よりも、セキュリティの強化が見込める、二要素認証が求められる状況にあります。両者は混同されがちですが、まったく異なるものであり、過失によるパスワード等の情報流出や、ハッキングによる情報漏えいに対する、セキュリティの堅牢性もまるで異なります。
IDとパスワードで、セキュリティリスクを回避しようと試みても、数文字程度の短いパスワードでは、対策としては不十分です。文字列の長いパスワードに変更し、頻繁に更新を行ったとしても、所有者の記憶力には限界があるため、現実的とはいえません。覚えにくいからといって、どこかにメモをしておくケースもゼロではなく、あっさりと情報漏えいに陥る可能性が高くなります。
また、サービス提供者側のミスやハッキングによって、個人情報が大量流出し、IDやパスワードに加えて、設定しておいた「秘密の質問」への回答も漏れてしまうと、二段階認証の意味がなくなってしまいます。二要素認証を活用すれば、利用者に負担をかけることなく、セキュリティの強化が期待できるのです。
二要素認証導入の注意点
では、実際に二要素認証を導入するためには、どんな点に注意すればよいのでしょうか。以下で詳しく解説します。
認証サービス導入コスト
二要素認証サービスの導入において、何がネックになるのか考えた時、まずコストが出てくるでしょう。
ICカードやカードリーダー、ワンタイムパスワードを発行するためのトークンのコストがかかるのはもちろん、生体認証を行う場合でも、読み取り用の装置を端末の台数分用意するなど、必然的にコストがかかります。
しかし、最近では電子証明書を活用した認証方式や、スマートフォンにアプリをインストールして、二要素認証を実装できる方法もあるので、それらを活用することで、ハード面でのコスト問題の解決につながるでしょう。
トークンなどの物理デバイス管理
仮に、トークンなどハード面でのコストがかかることは問題ないとしても、それらの物理的な管理が必要です。
指紋認証や顔認証などといった生体情報であれば、本人しか持ち得ない情報であることから、紛失の危険性は低いと考えられていますが、極論すれば指紋情報などは本人が寝ている時に、他人が読み取ってしまう可能性は十分考えられます。さらに、近年では写真に写った人間の手から、指紋の部分を拡大・スキャンして情報を抜き取るところまで、技術が発達しています。
このような点から、物理的な管理に加えて、情報の管理も入念に行わなくてはなりません。
生体情報の盗難リスク
生体情報を活用した生体認証は「バイオメトリクス認証」ともいい、本人の指紋や顔、静脈といった身体的な情報を要素として認証を行います。最近では、スマートフォンに実装されていたり、オフィスの関係者入口での認証に活用されたりと、幅広いシーンでよく見かけます。
これまで、安全性が高いとされていた生体認証も、技術の進歩によって、盗難されるケースも少なくありません。偽装は不可能とされていた静脈情報や虹彩情報も、現在の高機能を有したプリンターを活用することで、紙に印刷して突破できてしまうことも想定されます。また、カメラも高画質・高解像度のものが数多く登場しているため、生体認証の偽装がより不可能ではなくなっているのです。
このようなリスクをきちんと懸念しておかなければ、盗まれた生体情報が悪用されるおそれもあります。適切なシステムを活用したセキュリティ管理のもと、データの保護を行うことが求められています。
SAPが提供するシングルサインオン機能とは
これまで、二要素認証の重要性や導入時の注意点について紹介してきましたが、SAPが提供する「シングルサインオン機能」を活用すれば、一度だけのログオンで、個別のシステムすべてにアクセスできる、という非常に高い利便性を誇ります。
パスワードは、企業のパスワードポリシーに従って管理されるため、セキュリティの堅牢性も高く、社内のヘルプデスクへのパスワードリセットの依頼も減ることから、コストの削減にも期待できるでしょう。
もちろん、二要素認証に対応しており、SAPのシングルサインオン機能を活用することで、以下の3つのシナリオをサポートしてくれるため、導入時の注意点への対策にもつながります。
- SAPビジネスアプリケーションのシングルサインオン
- 異機種環境でのシングルサインオン
- クラウドベース、企業間シナリオでのシングルサインオン
SAPのシングルサインオンのメリット
最後に、SAPのシングルサインオンを導入することにより、得られるメリットについて紹介します。
まず、セキュリティ面において、1つのパスワードにもかかわらず、強力で信頼性の高い認証が実現できます。ポストイットなどによるパスワードを管理するリストを省略できるため、全パスワードが集中的に保護・管理される点が心強いです。
次は、サーバー側のセキュリティ機能を効率的にセットアップし、管理するための機能が付随しているため、コストが削減される点です。ユーザーは複数ではなく、1つのパスワードを覚えればよいので、パスワードリセットなどのヘルプデスクへの依頼が減ります。
最後は、導入ステップのシンプルさが挙げられます。 短期間の導入プロジェクトで済むため、ROI(費用対効果)の高さも期待できる上、多数あるシステムへのパスワード配信や保護・リセットの必要もなく、システム間でのパスワードポリシーの管理もいりません。
まとめ
これまで、認証方法に二段階認証を採用していた企業も、今後は高いセキュリティを維持する、強化するためにも、二要素認証が不可欠です。SAPのシングルサインオン機能を活用すれば、権限なしのアクセスやデータ盗用によるリスクを軽減する、さらなるセキュアな環境を実現できるでしょう。導入を検討している担当者は、SAPシステムのテクノロジーコンサルティングファームである、リアルテックが提供するセキュリティソリューション「SAP GRC構築サービス」を検討してみてください。
GRC構築・インプリメンテーション
