MFA導入前のデバイス証明書・アクセス制限で
セキュアな環境を確保!
ISRの専門コンサルタントがあなたのビジネスをサポートします。最適なセキュリティ対策を一緒に構築しましょう。
MFAの導入は急務ですが、特に以下の課題を解決する必要があります。
MFAを導入したとしても、デバイスがすでにマルウェアに感染している可能性や、会社が想定していない環境でデバイスが使用されている場合があります。 認証強化の前に「安全なデバイス」と「デバイスの安全な運用」を確保する必要があります。
認証方法はユーザーの利用環境に沿っていて、求めるセキュリティレベルに応じたコストパフォーマンスに優れたものを選ぶ必要があります。
アクセス制限とMFA両方の導入を検討してください。
課題を踏まえた上で、おすすめのMFA導入ステップを3パターンご紹介します。
スマートフォンを使用している場合は、デバイス証明書を導入したのちスマートフォンアプリでの認証を導入することで、コストと手間を抑えてMFAを導入することができます。
デバイス証明書をインストールすることが難しい場合は、アクセス制限を実施することでセキュアな環境を構築します。
スマートフォンの持ち込みや配布ができない場合コールセンターなどの環境では、セキュリティキーでの認証が低コストかつ手間も少なく、人員の入れ替わり等にも容易に対応できます。
よく「アクセス制限を実施しているのでMFAは不要では?」とご質問をいただきます。それとは逆に「MFAを導入済みなのでアクセス制限は不要では?」というご質問もいただきます。
実際にはそれぞれは別の役割を持っており、どちらが優れているということではありません。
両者の役割が異なるため、セキュリティポリシーに応じて導入手順を検討する必要があります。しかし、アクセス制限を行った上でMFAを導入した方が、セキュアな環境を実現できるでしょう。
役割:
正当な環境からのアクセ
スであるかの認証強化
例:
・デバイス証明書による端末制限
・IPアドレス制限
・サービス制限など
役割:
ユーザー本人認証の強化
例:
・セキュリティキー
・パスキー
・アプリ認証など
いいえ。デバイス証明書では所持情報を担保できないためMFAとは言えません。デバイス証明書は正当な環境からのアクセスであるかの認証を行うため、本人認証は実施できませんが、セキュアなアクセスを担保するために非常に重要です。
2022年7月から2024年12月の間に国内の法人が公表したセキュリティインシデントを集計したところ、2024年下半期は特に件数が多く、1日1件以上のサイバー攻撃被害が公表されています。企業間の業務上の繋がりを悪用したサプライチェーン攻撃や、ウェブサイトやサーバーに対して大量のデータを送信して障害を起こすDDos攻撃が発生しました。
※ニュース、企業リリース等の公表された情報を元にISRが集計
インシデント例
被害:
従業員や取引先など,400人あまりの個人情報と社内文書等のデータが流出。売上高の減少約130億円、営業利益の減少約40億円。
原因:
海外のサイバー攻撃グループがランサムウェアを使用してデータを窃取。ランサムウェアの感染経路は、フィッシングメールによりサーバーアクセスのための認証情報が窃取され、海外拠点からネットワークに侵入された可能性が高い※。
※某企業第三報よりISRが推測