Microsoft 365への不正アクセスを予防する多要素認証を使ってみる

 2023.08.09  クラウドセキュリティチャネル

近年、企業への不正アクセスや個人情報の流出などが社会問題として取り上げられることが多くなっています。企業の信用を失墜させないためにも、不正アクセスの予防策を講じることは喫緊の課題です。この記事では、Microsoft365が提供する多要素認証の概要や設定方法について説明します。

認証管理完全ガイド2023〜日本企業に必要な認証管理とは?〜

多要素認証・2要素認証(2FA)とは

「認証」とは、コンピュータ機器やネットワーク通信を利用する際に必要な本人確認のことを指します。Webサービスの会員登録や企業内で付与されたアカウントに、IDやパスワードを用いてログインやサインインして認証されることにより、正式にサービスを利用したり、業務を開始したりできるのです。

この際、当然ながらパスワードは他人に推測されないものを使うことが重要であり、数字4桁のような単純なパスワードよりも、英数字を組み合わせ、桁を増やしたもののほうがセキュリティレベルは高くなります。しかし、認証が一般的になるにつれ、他人に成りすましてログインする不正も発生するようになりました。このため、ログイン方法を複雑にして認証レベルを引き上げるためのさまざまな対策が講じられるようになったのです。

多要素認証(Multi-Factor Authentication=MFA)」は、異なる要素の認証を複数組み合わせて、確実に本人確認を行う方法です。その手段には、知識情報、所持情報、生体情報の3つの要素があります。

知識情報は一般的に普及している方法で、暗証番号やパスワードなどをあらかじめ登録しておき、ログインの際に合致した場合に本人と認められます。ほかにも、秘密の質問やワンタイムパスワードなども含まれます。つまり、登録した本人にしかわからない情報で本人確認をする方法です。

所持情報とは、複数存在せず本人だけのものと識別される持ち物や情報によって認証する方法です。たとえば、免許証やクレジットカード、携帯電話などは、非合法的な複製以外に同じものが存在しないため、所持していれば本人と確認できます。

生体情報とは、人それぞれに異なる顔型や指紋、虹彩や声紋、静脈などを指します。カメラ機能やマイクであらかじめ登録したデータと照合して認証します。

ただし、これらの要素は絶対的なものではなく、誤認識や情報が流出した場合の悪用などの欠点もあります。そこで、これらの欠点を補うために、複数の要素を組み合わせて安全性を高めたのが「多要素認証」です。3要素のうち異なる2つの要素を組み合わせて本人確認する認証を「2要素認証(Two-Factor Authentication=2FA)」ともいいます。

勢いで決めてはいけない!自社にあった認証・許可の仕組みIDaaSの選定ポイントをご紹介

Microsoft 365への不正アクセスを予防する多要素認証とは

Microsoft365では、どのような方法で不正アクセスや成りすましのサインインを防いでいるのでしょうか。ここでは、Microsoft 365で利用される多要素認証について説明します。

Office 365の多要素認証

Microsoft 365に包含されるOffice 365に関する多要素認証について説明します。Office 365でも不正アクセスを防ぎ安全に利用するために、多要素認証を設定できます。

サインインする際は、まずIDとパスワードの入力を求められます。これは、先程説明した知識情報にあたります。これに加え、所持情報を利用して、携帯電話、携帯電話を利用したショートメッセージサービス(SMS)、電話案内に対する規定の応答、スマホアプリのワンタイムパスワードなどによって二重の認証を設定することで、多要素認証を構成できます。一度多要素認証によりサインインに成功した場合、最大60日間にわたり多要素認証が記憶されるため、その間はPCやスマートフォンなどの異なるデバイスから同じパスワードで簡単にサインインが可能です。

多要素認証のメリットや必要性

パスワードでの認証方式は、パスワードに生年月日や電話番号、住所の番地など推測されやすいものを使っていた場合、安易に他人に成りすまされてしまう可能性があります。そのため、各種サービスなどでは不正アクセス防止策として、一定期間でパスワードの変更が要求されていた時期もありました。ただしその方法は、変更したことを忘れたり、パスワードを徐々に複雑化したりして、覚えにくくなってしまい、間違って入力してしまうケースが増加するというデメリットがありました。

しかし、多要素認証なら覚えて使い慣れたパスワードと、知識情報、所持情報、生体情報、位置情報やIPアドレスなど、他要素の組み合わせによって高い精度での本人確認が可能です。IDとパスワードのみによる古い方法の認証だけでは、万一、IDとパスワードが悪意のある第三者に知られてしまった場合、簡単に不正ログインできてしまいます。本人に成りすまして個人情報を知られたり、クレジットカードを不正利用されたりといった被害に遭う可能性があります。これらの不安を払拭し、安心してさまざまなサービスやシステムを利用するためには、多要素認証が不可欠になりつつあります。

Microsoft 365でできる多要素認証

Microsoft 365での多要素認証は、大きく分けて2つの方法があります。まずは、Microsoft 365に通常通りIDとパスワードを入力してサインインします。その次の段階で、2つの認証方法に分かれます。

1つは、ユーザーの携帯電話やスマートフォン宛にSMSで確認コードを配信するか、自動音声により確認コードを案内する方法です。ユーザーは、配信された確認コードを入力することで本人と確認できます。知識情報と所持情報を使った多要素認証となるわけです。

もう1つは、Microsoftが配布する無料アプリ「Authenticator」を使う方法です。AuthenticatorはAndroidとiOSに対応していて、Google Play StoreかApple Storeからダウンロードできます。アプリをインストールしたら、画面の「次へ」を選択し、指示どおりにアカウントを追加します。その後は、手順に沿って顔認証、指紋認証、PINコードによる認証などを選択することにより、生体情報や所持情報などの異なる要素を組み合わせた多要素認証が可能になります。特に、在宅勤務やリモートワークなどのテレワーク環境において、社外からのアクセスに対して多要素認証の利用を必須とする設定も可能です。また、成りすましによる不正利用の危険性が高いアプリの利用のみ、多要素認証を求めることもできます。

多要素認証を導入する前の注意点

多要素認証で所持情報を要素として利用する場合、携帯電話やスマートフォンなどのモバイルデバイスがほぼ必須になるため、1人1台を企業が支給することが前提となります。セキュリティに関する機器であるため、個人利用のものを流用するといった処置は望ましくありません。移行時に一時的な処置として止むを得ず採用することがあったとしても、早期に環境を整えられるよう準備しましょう。また、利用するOfficeのバージョン次第では、Office 365にサインインする際に多要素認証が利用できないケースがあることも理解しておかなければなりません。

まとめ

Microsoft365のセキュリティ対策を強化し、不正アクセスや成りすましを防ぐためには、多要素認証による本人確認が重要です。ただし、運用する社員1人につき1台ずつ認証用デバイスが支給されていなければ導入が難しい、という点に留意しなければなりません。また、Officeのバージョンが対応可能なものであるかも事前確認が必要になるなど、それぞれ使用するクラウドサービスごとに異なる認証手順を管理することは、管理者のみならず、利用ユーザの負担も大きくなってしまいます。

このように、さまざまなクラウドサービスを利用されている企業の皆様におすすめなのが、SaaS認証基盤である「HENNGE One」です。

HENNGE One はMicrosoft 365のみならず、Google WorkspaceやBoxなど多くのクラウドサービスに対応している上、要素認証のみならず、IP制限やデバイス証明書など、お客様の環境に適した手段でセキュアなアクセスやシングルサインオンを実現します。

勢いで決めてはいけないこれからの IDaaS 選定ポイント

メルマガ登録

RECENT POST「ID管理」の最新記事


ID管理

IAPとは?ゼロトラスト実現に向けてIAPとVPNを徹底比較

ID管理

多要素認証(MFA)とは?要素の種類や使い分け方など分かりやすく解説

ID管理

脱VPNとは?ゼロトラストネットワークアクセスとの違いも合わせて解説

ID管理

シングルサインオン(SSO)とは?仕組みや認証方式をわかりやすく解説

Microsoft 365への不正アクセスを予防する多要素認証を使ってみる