Azure Managed Service Column <Azure運用コラム>

Azure AD Multi-Factor Authenticationとは?Azureにおける多要素認証の実現方法を解説

Category: 入門編

2022.01.19

ゼロトラストとは?DXの前提となる次世代の認証方式について解説

Azure AD(Azure Active Directory)を利用して社員のID管理を行っている企業は多いですが、Azure ADには数多くの機能があり、その中でもセキュリティ向上に役立つ機能が多要素認証です。近年、クラウドなどのWebサービスの利用増加と共に、不正アクセスなどの被害も増えており、これまでのパスワードによる個人認証だけではセキュリティを確保することが難しくなっています。

このような状況下で注目されているのが多要素認証です。多要素認証とは、Webサービスなどにログインする際に、複数の異なる認証要件を要求することにより、セキュリティレベルを高める方法で、ゼロトラストを実現するための技術のひとつでもあります。

本記事では、Azureで多要素認証を実現する「Azure AD Multi-Factor Authentication」の概要とゼロトラストとの関連について解説します。

1. 多要素認証とは

従来のパスワード認証に代わり、多要素認証という言葉をよく耳にするようになりましたが、多要素認証というとはどのようなものでしょうか。まず、多要素認証の概要とメリット、二段階認証との違いについて解説します。

多要素認証(MFA)とは

多要素認証(MFA:Multi Factor Authentication)とは、ECサイトやSNSといったWebサービス等にログインする際、本人確認のために2つ以上の認証要素を用いる方法です。下記に示す3種類の認証要素の中から、最低2要素以上を組み合わせることで、確実に本人であることを認証することができます。第3者に破られる可能性のあるパスワード認証よりもセキュリティ強度が高くなります。

  • 知識情報
  • 所持情報
  • 存在情報

知識情報

知識情報とは、ユーザー本人のみが知っている情報を指します。例えば、ID、パスワード、秘密の質問などが該当します。

所持情報

所持情報とは、ユーザー本人のみが所持しているものに付随する情報です。例えば、ICカード、携帯電話やスマートフォンを使ったワンタイムパスワード・メール・SMSによる認証、USBトークンなどが挙げられます。

存在情報

存在情報とは、ユーザー本人の特徴を指します。例えば、指紋、静脈、顔、虹彩などが該当します。

多段階認証との違い

よく多要素認証と混同されやすいものが「多段階認証」です。名前こそ似ていますが、多要素認証とは全く異なる認証方式です。多段階認証は、2回以上認証を行うという点では多要素認証と同じですが、多段階認証は、3要素のうち異なる2要素を使わなくても成り立つ点が大きな違いです。例えば、「パスワード+秘密の質問」など、知識情報による認証を2度使用しても成り立つため、セキュリティ強度は多要素認証よりも低くなります。

2. Azure AD Multi-Factor Authenticationとは

Microsoft Azureで多要素認証を行うにはどのような方法があるのでしょうか。ここでは、Azure ADが持つ多要素認証を実現するための機能、Azure AD Multi-Factor Authenticationの概要について解説します。

Azure ADとは

はじめに、Azure AD(Azure Active Directory)の概要について解説します。Azure Active Directoryとは、マイクロソフトが提供するクラウドベースのID管理・アクセス管理サービスであり、下記のリソースへの認証・認可とサインイン(アクセス)機能を提供します。

  • Azureサービス、Microsoft365
  • その他外部のSaaSアプリケーション
  • 企業が独自に開発したアプリケーションなどの内部リソース

マイクロソフトでは、従来からオンプレミスでID管理を行うAD(Active Directory)を提供してきましたが、オンプレミスADは企業内の認証に使用され、Azure ADはクラウドサービスの認証に使用されるなど利用用途が異なることと、使用するプロトコルや機能セットが異なるといった違い(※1)があります。

※1 参考:Active Directory と Azure Active Directory の比較

Azure AD Multi-Factor Authenticationの概要

Azure Active Directory はID管理だけでなく、クラウドサービスとの連携やシングルサインオンなど多くの機能を持っていますが、そのひとつとして、Azure AD Multi-Factor Authenticationという多要素認証の機能を持っています。Azure AD Multi-Factor Authenticationを有効化すると、ユーザーがサインインする際、パスワードを用いた認証に加え、スマートフォンや携帯電話へのSMSの送信、あるいはスマホアプリを用いて多要素認証を利用することができます。Azure AD Multi-Factor Authenticationでは、次のような追加の検証形式を使用できます。

  • Microsoft Authenticator アプリ
  • OATH ハードウェア トークン (プレビュー)
  • OATH ソフトウェア トークン
  • SMS
  • 音声通話

本人以外のユーザーが、パスワードを不正入手してサインインしようとしても、追加の認証コードが送られるのは、正当なユーザーが持つスマートフォンまたは携帯電話です。そのため、不正なユーザーは正しい認証コードを入力することができずにサインインすることはできません。

Azure AD Multi-Factor Authenticationの料金体系

Azure AD Multi-Factor AuthenticationはAzure ADの機能であるため、料金はAzure ADの料金(※2)に依存します。Azure Active Directoryは下記4つの料金プランが用意されています。

  • Azure Active Directory Free
  • Office365
  • Azure Active Directory Premium P1
  • Azure Active Directory Premium P2

全てのユーザーで一律に Azure AD Multi-Factor Authentication を利用するだけであれば、どの Azure AD プランでも利用可能ですが、セキュリティポリシーをカスタマイズするには Azure Active Directory Premium P1か、Azure Active Directory Premium P2を利用する必要があります。

※2 参考:Azure Active Directoryの価格

3. ゼロトラストを実現する多要素認証

多要素認証は、ゼロトラストを実現するための機能のひとつと言えます。ゼロトラストという言葉は近年よく聞くようになりましたが、どのようなものでしょうか。ここではゼロトラストの考え方と、多要素認証との関連について解説します。

ゼロトラストとは

ゼロトラストとは、2010年にアメリカの調査会社Forrester Research社のJohn Kindervag(ジョン・キンダーバーグ) 氏が提唱した言葉で「全てのアクセスを信用しない」ことを前提とした新しいネットワークセキュリティの考え方です。全てのユーザーとデバイス機器からのアクセスに対して、毎回認証を求め、下記のような安全性の確認を行う点が特徴です。

  • 許可されたユーザーIDであること
  • 通常通りの位置情報であること
  • 許可されたデバイスであること
  • 許可されたサービスやアプリケーションに対するアクセスであること

ゼロトラストの実現により、よりシンプルで強固なセキュリティを確保することができ、どこからでも、どのデバイスからでも安全にネットワークにアクセスできるようになります。

多要素認証との関連性

ゼロトラストを実現するために多要素認証は大きな役割を果たしています。ゼロトラストにおいては「許可されたユーザーIDであること」を保証することが大前提となっており、AzureではそのためにAzure ADと、Identity Protection というAzureが提供するセキュリティサービスを連携する方法があります。

Identity Protectionは、マイクロソフトに蓄積された膨大なデータを機械学習により安全性分析を行い、サインインリスクの高い「怪しいアクセス」と判断した場合に、追加で多要素認証を要求することができます。

このように、Azure AD Multi-Factor Authenticationは、ゼロトラストを実現するために、安全なユーザーIDを保証する重要な役割を担っています。

4. まとめ

SNSやECサイトなど、Web上で便利なサービスが増えるとともに、不正アクセスや情報漏えいなどのセキュリティ被害も増えています。サービス提供側でもセキュリティ向上のために様々な策を講じていますが、利用者側でも、このようなセキュリティ被害を避けるために正しい知識を身に着け、適切な認証方法を利用することが重要です。

Azure設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure AD Multi-Factor Authentication 多要素認証

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php