基本に戻る: MFA（多要素認証）

トピック: シリーズ: 基本に戻る

2020年10月21日、Christine Barry

企業のセキュリティまたはデータ保護では、従業員は最も脆弱な存在であるとよく言われています。この理由は、私たちのほとんどが子供のころに学んだことの一つである「完璧な人間はいない」ということに起因しています。誰もが、注意散漫になり、悪習を身につけ、セキュリティトレーニングから抜け出す場合があります。この場合、従業員の過失によって企業全体がリスクにさらされることになります。

ユーザ名とパスワードの組み合わせは自宅アカウントとビジネスアカウントの認証の主要な手段であることに変わりはありません。複数のアカウントに同じパスワードを使用している人、およびビジネスメールに個人アカウントを使用している人は、あまりに多すぎます。また、「qwerty123」、「passw0rd」などのわかりやすく一般的なパスワードを選択しているユーザもいます。つまり、ブルートフォース攻撃または辞書攻撃によって簡単に乗っ取られる可能性がある多くのアカウントがあるということです。

パスワードセキュリティは、従業員が企業を保護するために最も簡単でありながら最も重要な方法の一つです。パスワードは、メール、データ、銀行口座、およびオンライン上の他のすべてのものを保護するものであるため、セキュリティ部門は、パスワードの悪習に対抗する必要があります。問題は、多くの人が複雑なパスワードまたはパスフレーズに苛立っていることです。ネットワークへの複雑なパスワードは、ユーザがすぐにログインできるようにポストイットに書いてモニターに貼り付けても意味がありません。IT部門は、効果的なセキュリティとエンドユーザの利便性の間で適切なバランスを取る必要があります。

MFA

バランスを取るという問題に対する答えは、MFAかもしれません。MFAは、認証情報と連携して、認証を実行するための追加のセキュリティレイヤです。ユーザはユーザ名とパスワードの組み合わせに厳密に依存する攻撃をこの方法で防止できます。

MFAは、どのように動作するでしょうか。簡単に言えば、MFAでは、リソースにログインしようとするユーザは下記の3つのうち1つ以上を提供する必要があります。

• デバイス: セキュリティキー、スマートカードなどのハードウェア認証デバイス
• ユーザ: 現在の多くのスマートフォンとタブレットで実現できるサムプリントまたは顔認識
• パスコード: テキストメッセージ、メール、または認証アプリで送信されたパスコード

SMS（ショートメッセージサービス）は現在最も使用されているMFAの方法の一つです。携帯電話に携帯電話のテキストメッセージを送信するSMSを使用して、MFAを使用してWebサイトにログインするとします。ログインページにユーザ名とパスワードを入力すると、Webサイトの認証機能からSMSでワンタイムコードが送信されます。ユーザがWebサイトにコードを入力し、コードが送信されたものと一致すると、アクセスが許可されます。ユーザは、ユーザの認証情報に加えて、ユーザが知っている他の情報つまりワンタイムコードを提供して、認証を受けています。多くのユーザにとって、ワンタイムコードは「本当にセキュア」と「本当に迷惑」の間の適切なバランスです。

残念ながら、SMSは他の選択肢ほどセキュアではありません。何もないよりましですが、マルウェアなどの攻撃、プロトコルの脆弱性、および脆弱な携帯電話信号の影響を受けやすいです。また、サーバ側では、このようなメッセージは、どこを見ればいいかわかっているすべての人に漏洩することもあります。

さらに適切な方法は、Microsoft Authenticator、Google Authenticatorなどの認証アプリを使用することです。このようなアプリは、セキュアで使いやすく、ユーザが全社的に導入しやすいものである必要があります。また、いつかパスワードが「なくなった」場合も、他の認証方法と連携できるという利点があります。

Barracuda Cloud ControlでMFAを使用する

MFAは、Barracuda Cloud Controlで提供されており、デフォルトではすべてのアカウントでオプションとして設定されています。Barracuda Cloud Controlアカウント管理者は、このような設定をいつでも変更できます。提供されているオプションは下記のとおりです。

必須: 顧客アカウントに関連付けられているすべてのユーザは、MFAを使用してログインする必要があります。MFAが設定されていないユーザは次回のログイン前にMFAを設定する必要があります。

オプション: アカウントに関連付けられているすべてのユーザは、MFAを使用するかどうかを選択できます。この選択は、アカウントプロファイルページのユーザが制御します。アカウント管理者は、個別のMFA設定を上書きできます。

Barracuda Campusには、Barracuda Cloud ControlでMFAを設定する方法の完全なドキュメントがあります。詳細については、下記のページをご参照ください。

• Understanding multi-factor authentication in Barracuda Cloud Control
• How to set up and manage multi-factor authentication in Barracuda Cloud Control
• How to add multi-factor authentication devices in Barracuda Cloud Control
• How to remove multi-factor authentication devices from Barracuda Cloud Control
• How to configure multi-factor authentication (required by account administrator) in Barracuda Cloud Control

強力なパスワードポリシーの設定と適用の詳細については、Barracuda Campusをご参照ください。

原文はこちら：

Back to basics: Multi-factor authentication (MFA)

October 21, 2020 Christine Barry

https://blog.barracuda.com/2020/10/21/back-to-basics-multi-factor-authentication-mfa/