QRコードはどこに消えた?(Microsoftアカウント問題)
多要素認証(MFA)がオンラインセキュリティの最適な選択である理由
昨今、オンライン・セキュリティは絶対に必要なものです。サイバー攻撃や悪意のある脅威の増加に伴い、機密データを保護するための効果的なセキュリティソリューションの導入がこれまで以上に重要になってきています。この記事では、多要素認証(MFA)の重要性と、多要素認証がオンライン・セキュリティの強化にどのように役立つかを説明します。また、ビジネスに最適なMFAソリューションの選択方法と、すべてのデータの安全性を確保するためのMFAの活用方法についても説明します。
という真面目なスタートで、実は、MFAの闇を少々深堀したいなと言うのと、備忘録になります。
この問題でハマってる人が結構多いので、ご参考になればと
セキュリティー問題とMFA
正直、クラウド時代でSSOをしていない場合のログイン問題、…もし都度パスワードを変える場合は、末尾の番号を01、02、03で工夫するか、(本当はダメ)、全てのパスワードを記憶するか…なんですよね
でも、最悪な事に、『定期的にパスワードを変更しろ!』という鬼運用がありまして…
もう、利用しているSaaSやらアプリが100個あって、パスワード変更タイミングが揃っていない場合は、、、単なる地獄の日々になる訳です
SSOの場合も、いずれにせよ、何等かのパスワードは記憶しておく必要はありますが、ここまでパスワードが増えまくると、、、もうパソコンに付箋が貼って合って、全部のパスワードが書いてあるって言うIT会社様の社員様もいらっしゃいましたね
そこで、というのか、本来はSSOで解決すべき問題なのですが、、、せめてもの対応でMFAな訳です
※セキュリティークラスターの皆様からだと、SSOとMFA一緒にするな!と怒られる予感がします
多要素認証(MFA)とは?
多要素認証(MFA)とは、2つ以上の独立した認証要素を使用して個人のアイデンティティを確認する(認証するって言う事)認証プロセスです。これは通常、ユーザーが知っているもの(パスワードやPINなど)と、ユーザーが持っているもの(セキュリティ・トークン、生体認証デバイス、携帯電話など)の組み合わせによって行われます。MFAは、機密データへのアクセスを安全に管理する方法として、企業や組織でますます利用されるようになってきています。
※なのに個人の携帯を使え!という鬼運用をする企業様がありますが、本来論では、MFAで利用するデバイスは会社が至急すべきだと考えております。
MFAシステムのメリット
セキュリティのためにMFAを使用することには、いくつかの重要な利点があります。最も重要なのは、ユーザー認証プロセスにセキュリティのレイヤーを追加することです。MFAを使用すると、攻撃者が1つのセキュリティレベルを突破できたとしても、複数の異なる認証要素を満たさない限り、データにアクセスすることは困難となります。
※携帯電話とか物理的なデバイスがないと本人と特定(認証)しないというのは、携帯をなくさない限りはセキュリティーレベルが高くなりますし、携帯に指紋認証がかかっていると、更に高いレベルの認証になるという話ですね。
そして、MFAは、攻撃者が簡単に回避できない認証レベルを追加するため、フィッシングなどの悪意ある攻撃のリスクを低減します。さらに、MFAは最小限のIT投資で導入できるため、費用対効果の高いソリューションです。
※個人携帯使わせるのは絶対ダメですからね!
ビジネスに最適なMFAソリューションの選択
ビジネス向けのMFAソリューションを選択する際には、考慮すべきいくつかの重要な要因があります。まず、予算に見合った、セキュリティ・ニーズに対応したソリューションを選択する必要があります。また、パスワードや生体認証など、既存の認証ツールと容易に統合できるMFAソリューションを選択することも重要です。さらに、ユーザー・エクスペリエンスを損なうことなく、最高レベルのセキュリティを提供するMFAソリューションを選択する必要があります。最後に、導入と管理が容易なソリューションを選択することを確認します。
直近のトレンド
困った事に、SFDCや、Microsoft、AWSとSaaS提供ベンダーの主だった企業様がMFAを推奨もしくは必須化してきています。
そのため、SFDCが出している認証ツールや、Microsoftが出しているAuthentificator、グーグルの、、、、とこれまた認証アプリが増えすぎて、、、、1つのアプリで管理できるような出来ないようなで、複数の認証アプリが携帯に入ってしまうという地獄現象になりつつあります。
※本当は、1つの認証アプリで複数社の認証を賄えるので、GoogleかMicrosoftの認証ツールを入れておくのがお勧めだと考えています。
が…最大級の落とし穴がありまして…今日はここのお話
※前説長い!
携帯端末変更
さて、前職でパートナー対応をする職業柄、Microsoftアカウント、SFDC等の各種アカウントの管理者もやっていた当職としては、必然的にMFAを必須化させまくっていたのですが、社員の皆さんが定期的に携帯を変更する訳で(2年に1度)、その度にアプリにログインできません!オフィスが使えません!というサポートに苦しんでいた訳です。
今回久しぶりに携帯電話を機種編しまして、自分でも地獄に落ちたので備忘録として記載しておきます。(毎回社員サポートの時にこのQRコードが見つからなくて苦しんでいたのは、、、、本当に嫌な思い出です)
※SFDCの認証アプリは、仕様的に酷いので、できれば、Microsoftか、Googleの認証アプリを使うほうが便利だと言う印象です(現時点は不明)
落とし穴
Microsoftさんをほめた直後で非常に申し訳ないお話ながら…
Microsoftアカウントを新しい携帯に登録しようとした時に確実にはまる地獄を1つご紹介(本題はこちらです)
ます自分のアカウントに接続語、高度なセキュリティーオプションを選択します。
この後が究極の…
通常キャンセルか、今すぐ入手するしか選択しませんよね?
実は正解は…
Microsoftさんには、過去、設定を【進む】ボタン押す下後、【戻る】ボタンで戻らないと設定が出来ないという、謎のバグで数日爆発させていただいたことがありましたが、今回もまさかの酷いUIでした(今回はプログラムで片付かないので、本当に酷いですね)
オンライン・セキュリティ強化のためのMFAの活用
ビジネスに最適なMFAソリューションを選択したら、MFAを活用してすべてのデータの安全性を確保することが重要です。そのためには、ログイン、アカウント変更、アカウント削除など、すべてのオンライン・トランザクションでMFAを使用するようにする必要があります。また、すべてのユーザーがログイン時やセッション中にMFAを使用して認証することを義務付けられるようにする必要があります。さらに、セキュリティ監査や脆弱性テストを定期的に実施し、MFAソリューションのセキュリティを監視することが重要です。
使いやすいアプリの条件(というのか携帯電話)
MFAに関しては、デバイス自体へのパスワードロックが必須になる事が多いため、指紋認証付きの携帯が必須になる点は理解しておいてもらえると幸いです。
※上で安価にどうのこうのと書きましたが、結局最低毎月3,000円程度のデバイス費用と、通信費1000円程度がかかるという事と等価なので、安全にはお金が必要です。という事なのだと思う次第なのでした。
先日面白い記事をGIGAZINEで見かけましたので、参考まで。
https://gigazine.net/news/20221227-google-removed-yubikeys-account/
通りすがり様、
コメントありがとうございます。
勝手にログインできないようにされちゃうのは辛いですね…
引き続きよろしくお願いいたします