おもな多要素認証セキュリティガイドラインを紹介!各業界のセキュリティへの取り組みとは
クラウドで提供されるサービスが増え、多くの環境がインターネットに接続されている状態となりました。便利な反面、適切なセキュリティ対策ができていないと、サイバー攻撃によるサービス停止や情報漏洩を招きかねません。
この記事では高度なセキュリティ対策として注目されている多要素認証について紹介します。各業界から出ているガイドラインの多要素認証についての考え方をまとめたので、自分が利用する、または提供するサービスに合わせて、必要なガイドラインを参考にしてください。
■多要素認証について
クラウドサービスの普及が進み、アプリケーションをパソコンへ直接インストールせずに、SaaSなどのサービスを利用する機会が増えています。
クラウドサービスを利用する際に必ず必要なのが、アカウントの認証です。多様なセキュリティリスクのなかで、アカウントのハッキングは特に甚大な被害を招きかねません。ハッキングからアカウントを守るためには、強固なセキュリティを設定しなければなりません。
そこで多くのサービスで導入されているのが、多要素認証(MFA:Multi-Factor Authentication)です。多要素認証とは「知識情報」「所持情報」「生体情報」の3つの要素のなかから、2種類以上の情報を組み合わせてWebサイトやアプリケーションにログインする方法を指します。複数の要素を組み合わせることでセキュリティレベルが向上し、ハッキングなどのリスクを大幅に減少させることが可能です。
認証に使われるそれぞれの要素の詳細は、以下記事に記載されているので、併せてご覧ください。
多要素認証(MFA)とは?二要素/二段階認証との違いや導入のメリット、注意点などを徹底解説
■多要素認証に関して記載があるおもなセキュリティガイドライン
多要素認証はいくつかのセキュリティガイドラインにおいて利用が推奨されています。ここでは、おもなセキュリティガイドラインを紹介します。
|
発行元 |
ガイドライン名 |
内容 |
|---|---|---|
|
厚生労働省
|
医療機関等で、医療情報システムの運用・管理に携わる担当者を対象にしたガイドライン。医療情報システムを医療機関自身が保有して運用するオンプレミス型、医療機関自身が保有しないクラウドサービス型の両方に適用できるガイドラインです。二要素認証はどちらのパターンにおいても対応が求められています。 |
|
|
内閣官房
|
インシデント発生時の対応など、適切な環境を構築するための規定が記載されています。クラウドサービスへのアクセスだけでなく、管理機能やリモートアクセスなど、細かい部分まで言及されているガイドラインです。 |
|
|
令和5年5月23日までパブリックコメントが募集されており、令和5年7月に策定されました。障害や不正アクセス対策を特に重視することが求められており、多要素認証だけでなく、VPNやアカウントロックなど、ほかの手段と組み合わせて強固なセキュリティを担保する環境を構築するためのガイドラインです。 |
||
|
総務省
|
地方公共団体が行政サービスを実施するにあたり、行なっておくべきセキュリティ対策やルールが記載されています。住民の個人情報や企業の経営情報など、重要な情報を多数保有しているため、「マイナンバー利用事務系のシステムへアクセスする際は、多要素認証を設定しなければならない」など、強い表現が見られます。 |
|
|
業種に関係なく、テレワーク環境で設定しておくべき対策がまとめられています。認証の基本対策に多要素認証が挙げられています。 |
||
|
クラウドサービスを提供する事業者に対して、実施が推奨される対策を記載したガイドラインです。高い機密性、安全性が求められるサービスの認証には多要素認証の採用が求められています。 |
||
|
5G通信を提供する電気通信事業者や、5Gシステムを展開する組織向けのガイドラインです。物理的なアクセスを実施する際に多要素認証が求められており、クレデンシャル(認証情報)と合わせて利用されます。 |
||
|
センサやIoT機器など、先進技術の活用により構築されてきたスマートシティサービスが行なうべきセキュリティ対策について記載したガイドラインです。多要素認証は、特権を持つユーザーがログインする際のリスクを考慮したうえで、信頼性の高い認証方式であるとされています。 |
||
|
デジタル庁
|
セキュリティの品質を担保するために、組織的で継続的なセキュリティリスク管理がなされているかを客観的に評価できるようにしたガイドラインです。システム開発から運用までの各工程で、実施すべきセキュリティ対策の内容を規定しています。そのなかで多要素認証は、設計・開発段階から導入が推奨されており、管理者アカウントを保護する手段として記載されています。 |
|
|
各府省情報化統括責任者(CIO)連絡会議(デジタル庁) |
オンラインによる行政手続の際に、安全に本人認証を行なうための考え方や手段が掲載されたガイドラインです。用語の定義における本人認証として、多要素認証が重要な手段の一つとして挙げられています。 |
|
|
文部科学省
|
学校教育の現場に導入されているシステムに対するセキュリティ対策の指針となっているガイドラインです。特定の教職員のみがアクセスできる重要な情報資産への不正アクセスを避けるために、多要素認証の導入が必要であるとされています。モバイル端末でのデータ持ち出しや、重要な情報にアクセスできるアカウントの制限などに対し多要素認証を導入することが、セキュリティレベルを向上させるとされています。 |
|
|
経済産業省
|
医療現場で取り扱う情報システムに対するセキュリティ対策の指針を示しています。高度化した攻撃から機密性が高い医療情報を守るためにも、可能な限り早期に多要素認証を導入することが推奨されています。 |
|
|
工場でのデータ管理や入退室にかかわる対策を示したものです。ネットワークの分割や接続機器の制限と並んで、利用者制限の項目で多要素認証がセキュリティ対策例として挙げられています。 |
||
|
国土交通省
|
国土交通省は重要インフラを鉄道・物流・航空・空港の4分野に分けて、各分野のセキュリティ確保に必要な対策をガイドラインで示しています。どの分野でもID、パスワードを入力して利用する顧客向けのシステムが存在するので、不正アクセスを防止するために講ずるべき対策として、多要素認証の実装が記載されています。 |
|
|
独立行政法人 情報処理推進機構(IPA)
|
雇用の流動化や、オンラインサービスの利用拡大にともない増大した、セキュリティリスクに対応するためのガイドラインです。組織内部の人間や、過去に組織に属していた人間が不正にデータを取得しないよう、利用者の認証を行なうことが求められています。 |
|
|
一般社団法人 日本自動車工業会、一般社団法人 日本自動車部品工業会
|
自動車メーカーや自動車部品のサプライチェーンを構成する事業者に求められる、サイバーセキュリティ対策に関して記載しているガイドラインです。要求事項と達成条件がマトリクス形式でまとめられています。インターネットを経由してアクセスできるシステムなどは、外部から攻撃を受けるセキュリティリスクがあると考えられ、多要素認証の実装が求められています。
|
■多要素認証の導入なら「トラスト・ログイン」がおすすめ!
インターネット経由で接続するシステムの認証には、セキュリティ対策として多要素認証が求められています。多要素認証を導入するなら、トラスト・ログインの利用がおすすめです。
トラスト・ログインを運営しているGMOグローバルサインは、電子証明書の認証局として20年以上の実績を持っています。認証局はインターネットにおける身分証明書のような役割を果たす電子証明書を発行し、管理する機関です。長く選ばれ続けており、さまざまなお客様のニーズに答えられます。
トラスト・ログインは、基本的な機能を無料プランで提供しており、トライアルで気軽に利用してみることも可能です。無料のプランでもフォームベース認証、BASIC認証、SAML認証によるシングルサインオンに対応しています。
オプション機能の追加は1ユーザー当たり月額100円(税抜)から利用可能で、アカウント管理を簡単にするActive Directory連携なども備えています。
ログイン時のセキュリティに関する悩みがある場合は、一度問い合わせてみてください。
問い合わせページはこちら
■まとめ
「知識情報」「所持情報」「生体情報」から2種類以上の要素を用いて認証を行なうのが、多要素認証です。現在はクラウド化が進み、多くのデータがインターネット上に保管されているため、セキュリティリスクへの対策も高いレベルが求められています。
システム環境や業界によっても求められるセキュリティレベルが異なるため、システム構築の際は各業界が出しているガイドラインを参考にしてみてください。用語の説明から始まるものや、わかりやすく図解してくれるものまで、ガイドラインの種類は豊富です。ただし、毎年更新されるガイドラインもあるため、定期的に最新版を確認する必要があるでしょう。
多要素認証の導入を検討しているなら、手軽に導入できる「トラスト・ログイン」がおすすめです。まずは無料プランから始めて、必要なものを有料プランで増やしていくこともできます。要求されるセキュリティレベルが上がったとしても、トラスト・ログインなら安心してアカウントを管理し続けることが可能です。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。
