Azure Managed Service Column <Azure運用コラム>

Azure AD Multi-Factor Authenticationとは?Azureにおける多要素認証の実現方法を解説

Category: 入門編

2022.01.19

ゼロトラストとは?DX の前提となる次世代の認証方式について解説

Azure AD( Azure Active Directory )を利用して社員の ID 管理を行っている企業は多いですが、Azure AD には数多くの機能があり、その中でもセキュリティ向上に役立つ機能が多要素認証です。近年、クラウドなどの Webサービスの利用増加と共に、不正アクセスなどの被害も増えており、これまでのパスワードによる個人認証だけではセキュリティを確保することが難しくなっています。

このような状況下で注目されているのが多要素認証です。多要素認証とは、Web サービスなどにログインする際に、複数の異なる認証要件を要求することにより、セキュリティレベルを高める方法で、ゼロトラストを実現するための技術のひとつでもあります。

本記事では、Azure で多要素認証を実現する「Azure AD Multi-Factor Authentication」の概要とゼロトラストとの関連について解説します。

1. 多要素認証とは

従来のパスワード認証に代わり、多要素認証という言葉をよく耳にするようになりましたが、多要素認証というとはどのようなものでしょうか。まず、多要素認証の概要とメリット、二段階認証との違いについて解説します。

多要素認証( MFA )とは

多要素認証( MFA:Multi Factor Authentication )とは、EC サイトや SNS といった Web サービス等にログインする際、本人確認のために 2 つ以上の認証要素を用いる方法です。下記に示す3種類の認証要素の中から、最低 2 要素以上を組み合わせることで、確実に本人であることを認証することができます。第 3 者に破られる可能性のあるパスワード認証よりもセキュリティ強度が高くなります。

  • 知識情報
  • 所持情報
  • 存在情報

知識情報

知識情報とは、ユーザー本人のみが知っている情報を指します。例えば、ID、パスワード、秘密の質問などが該当します。

所持情報

所持情報とは、ユーザー本人のみが所持しているものに付随する情報です。例えば、IC カード、携帯電話やスマートフォンを使ったワンタイムパスワード・メール・SMS による認証、USB トークンなどが挙げられます。

存在情報

存在情報とは、ユーザー本人の特徴を指します。例えば、指紋、静脈、顔、虹彩などが該当します。

多段階認証との違い

よく多要素認証と混同されやすいものが「多段階認証」です。名前こそ似ていますが、多要素認証とは全く異なる認証方式です。多段階認証は、2 回以上認証を行うという点では多要素認証と同じですが、多段階認証は、3 要素のうち異なる 2 要素を使わなくても成り立つ点が大きな違いです。例えば、「パスワード+秘密の質問」など、知識情報による認証を 2 度使用しても成り立つため、セキュリティ強度は多要素認証よりも低くなります。

2. Azure AD Multi-Factor Authenticationとは

Microsoft Azure で多要素認証を行うにはどのような方法があるのでしょうか。ここでは、Azure AD が持つ多要素認証を実現するための機能、Azure AD Multi-Factor Authentication の概要について解説します。

Azure AD とは

はじめに、Azure AD( Azure Active Directory )の概要について解説します。Azure Active Directory とは、マイクロソフトが提供するクラウドベースの ID 管理・アクセス管理サービスであり、下記のリソースへの認証・認可とサインイン(アクセス)機能を提供します。

  • Azure サービス、Microsoft 365
  • その他外部の SaaS アプリケーション
  • 企業が独自に開発したアプリケーションなどの内部リソース

マイクロソフトでは、従来からオンプレミスで ID 管理を行う AD( Active Directory )を提供してきましたが、オンプレミス AD は企業内の認証に使用され、Azure AD はクラウドサービスの認証に使用されるなど利用用途が異なることと、使用するプロトコルや機能セットが異なるといった違いがあります。

Azure AD Multi-Factor Authentication の概要

Azure Active Directory は ID 管理だけでなく、クラウドサービスとの連携やシングルサインオンなど多くの機能を持っていますが、そのひとつとして、Azure AD Multi-Factor Authentication という多要素認証の機能を持っています。Azure AD Multi-Factor Authentication を有効化すると、ユーザーがサインインする際、パスワードを用いた認証に加え、スマートフォンや携帯電話への SMS の送信、あるいはスマホアプリを用いて多要素認証を利用することができます。Azure AD Multi-Factor Authentication では、次のような追加の検証形式を使用できます。

  • Microsoft Authenticator アプリ
  • OATH ハードウェア トークン (プレビュー)
  • OATH ソフトウェア トークン
  • SMS
  • 音声通話

本人以外のユーザーが、パスワードを不正入手してサインインしようとしても、追加の認証コードが送られるのは、正当なユーザーが持つスマートフォンまたは携帯電話です。そのため、不正なユーザーは正しい認証コードを入力することができずにサインインすることはできません。

Azure AD Multi-Factor Authentication の料金体系

Azure AD Multi-Factor Authentication は Azure AD の機能であるため、料金は Azure AD の料金に依存します。Azure Active Directory は下記 4 つの料金プランが用意されています。

  • Azure Active Directory Free
  • Office365
  • Azure Active Directory Premium P1
  • Azure Active Directory Premium P2

全てのユーザーで一律に Azure AD Multi-Factor Authentication を利用するだけであれば、どの Azure AD プランでも利用可能ですが、セキュリティポリシーをカスタマイズするには Azure Active Directory Premium P1 か、Azure Active Directory Premium P2 を利用する必要があります。

3. ゼロトラストを実現する多要素認証

多要素認証は、ゼロトラストを実現するための機能のひとつと言えます。ゼロトラストという言葉は近年よく聞くようになりましたが、どのようなものでしょうか。ここではゼロトラストの考え方と、多要素認証との関連について解説します。

ゼロトラストとは

ゼロトラストとは、2010 年にアメリカの調査会社 Forrester Research 社の John Kindervag(ジョン・キンダーバーグ) 氏が提唱した言葉で「全てのアクセスを信用しない」ことを前提とした新しいネットワークセキュリティの考え方です。全てのユーザーとデバイス機器からのアクセスに対して、毎回認証を求め、下記のような安全性の確認を行う点が特徴です。

  • 許可されたユーザー ID であること
  • 通常通りの位置情報であること
  • 許可されたデバイスであること
  • 許可されたサービスやアプリケーションに対するアクセスであること

ゼロトラストの実現により、よりシンプルで強固なセキュリティを確保することができ、どこからでも、どのデバイスからでも安全にネットワークにアクセスできるようになります。

多要素認証との関連性

ゼロトラストを実現するために多要素認証は大きな役割を果たしています。ゼロトラストにおいては「許可されたユーザー ID であること」を保証することが大前提となっており、Azure ではそのために Azure AD と、Identity Protection という Azure が提供するセキュリティサービスを連携する方法があります。

Identity Protection は、マイクロソフトに蓄積された膨大なデータを機械学習により安全性分析を行い、サインインリスクの高い「怪しいアクセス」と判断した場合に、追加で多要素認証を要求することができます。

このように、Azure AD Multi-Factor Authentication は、ゼロトラストを実現するために、安全なユーザー ID を保証する重要な役割を担っています。

4. まとめ

SNS や EC サイトなど、Web 上で便利なサービスが増えるとともに、不正アクセスや情報漏えいなどのセキュリティ被害も増えています。サービス提供側でもセキュリティ向上のために様々な策を講じていますが、利用者側でも、このようなセキュリティ被害を避けるために正しい知識を身に着け、適切な認証方法を利用することが重要です。

Azureセキュリティに不安がある

Azureセキュリティアセスメントサービス

Azureセキュリティアセスメントサービス

お客様がすでにお持ちの Azure 環境に対して、Azure Security Center を利用したセキュリティ対策の評価と対策案をご提示します。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Azure導入個別相談会(無料)

Tag: Azure AD Multi-Factor Authentication Azureセキュリティ 多要素認証

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php