近年SaaSの利用は急拡大しています。インターネットに接続できればどこからでもアクセスができるのはSaaSの大きなメリットですが、一方でこれらは常に外部からの不正アクセスの脅威にさらされているということでもあります。
このような状況に対処するため様々なSaaSでは多要素認証(MFA)によるセキュリティ強化がなされています。2022年2月にはSalesforce.comが多要素認証(MFA)必須化に踏み切った他、2022年7月にはMicrosoft 365の認証基盤であるAzure ADでも”セキュリティの規定値群(セキュリティデフォルト)”と呼ばれる多要素認証機能の設定が推奨となりました。
本記事ではAzure ADの”セキュリティの規定値群(セキュリティデフォルト)”の機能や、設定方法、さらにはSaaS利用を拡大する上で必須となる多要素認証についてご紹介します。
多要素認証(MFAとは)
近年、サイバー攻撃は増加の一途を辿っています。アメリカの大手セキュリティー企業「ノートンライフロック」の調査によると、2021年に日本国内で1,620万人がアカウントの乗っ取りや不正アクセスなどの被害に遭っています。
このような脅威から企業の大切な情報を守るため多くのSaaSでは多要素認証(MFA)を利用したアカウントの保護が不可欠となっています。多要素認証とは知識情報、所持情報、生体情報の3つの情報のうち2つの要素を組み合わせることで情報を保護する仕組みです。多くの企業ではBYODの排除が要件となるためデバイス証明書を利用した多要素認証を導入するケースが増えています。
セキュリティの規定値群(セキュリティデフォルト)とは
セキュリティの規定値群(セキュリティデフォルト)とは2019年10月にリリースされたMicrosoft社の認証基盤、Azure ADのセキュリティ機能です。無料で利用することができ、Microsoft 365やDynamics 365に対して下記のセキュリティ対策を実施することが可能です。
- Azure AD Multi-Factor Authentication への登録必須化
- 管理者への多要素認証の実行要求
- ユーザーへの多要素認証の要求
- レガシー認証のブロック
- Azure portal などへのアクセス時の多要素認証の要求
これらの機能は2022年6月からは有効化することが推奨されており、2022年7月現在、新しく導入するAzure AD環境ではデフォルト値が有効となっているほか、2019年10月以前に導入したAzure AD環境でも条件付きアクセス機能などを利用していないテナントでは原則的に14日間の猶予期間後有効化されます。
セキュリティの規定値群(セキュリティデフォルト)により実施できる具体的なセキュリティ対策は?
セキュリティの規定値群(セキュリティデフォルト)が有効化されると様々な不正アクセス対策がAzure ADに適用されます。適用されるのは以下の機能です。
Azure MFAへの登録必須化
MFAを設定していないユーザーに対してMicrosoft Authenticatorアプリを利用したMFAの利用が必須化されます。MFAの利用はアクセスの挙動が変わった際などに限定され毎回MFAが要求されるわけではありません。
レガシー認証のブロック
旧式の認証方式であるレガシー認証(POP3/IMAP4など)が利用できなくなります。
管理者への多要素認証の実行要求
一般ユーザーと違い管理者は毎回MFAが要求されます。
マルチクラウド時代に求められるIDaaS
SaaSを単体で利用する際にはAzure ADのセキュリティの規定値群(セキュリティデフォルト)のような機能を利用したアカウントの保護が有効ですが、実際には多くの企業では複数のSaaSを利用することで業務のデジタル化を進めるケースが多数です。HENNGEによる企業のSaaS活用に関する調査では一企業あたり平均7つのSaaSを利用しているというデータもあります。そのような際に課題となるのは①複数のSaaSに対して統合的にセキュリティ対策をかけること②BYODの排除等の企業ポリシーに柔軟に対応できることの2点です。これらはセキュリティ規定値群の設定では対応しきれないケースも多く、近年ではIDaaS(Identity as a service)を導入するケースが増えています。
IDaaSとは
IDaaSとは企業システムに存在するID情報を統合的に管理するSaaSです。様々なシステムへのシングルサインオン(SSO)や不正アクセスを防止するための多要素認証(MFA)の機能を提供しており、近年活用が進むSaaSと連携する用途で導入が進んでいます。
IDaaSを利用すればユーザーは複数のパスワードを管理する必要がなくなり、システムごとにログインする手間からも解放されます。また、システム管理者の視点でもアカウントの管理工数を削減できる他、様々なSaaSに一律のパスワードポリシーやアクセス制御を実装することが可能です。
なぜIDaaSが必要なのか?
Microsoft 365には前述したAzure ADのセキュリティ規定値群の機能があるほか、一部のSaaSにはIPアドレス制限機能やAuthenticatorと呼ばれる多段階認証アプリケーションが存在しており、基本的なアクセス制御はそれらを利用して実装することも可能です。しかし、これらはあくまでMicrosoft 365やその他のSaaSを単体で利用する際のアクセス制御機能にとどまるため、複数のSaaSを組み合わせて利用する際にはそれぞれのSaaSごとにアクセス制御機能を導入し管理する必要があります。また、ユーザーにとってはMicrosoft Authenticator等のMFAアプリをSaaS毎にインストールし自身で管理していくケースもあるため、利便性の低下とSaaSの利活用を妨げる要因にもなります。これらの課題はIDaaSを活用することで、ユーザーに負担をかけることなく管理者による一元管理とセキュアな環境を実現することができます。
まとめ
IDaaSは、IDを一元管理することであらゆる業務効率化につながる認証そのもののクラウドサービスです。不正アクセスなどの脅威にも対処ができ、セキュリティを確保できます。
HENNGE では2,000社以上で導入されているシェアNo.1のIDaaS、HENNGE Oneを提供しています。200以上のSaaSに対してシングルサインオン、IPアドレス制限やデバイス証明書などの幅広い多要素認証を実施することができます。SaaSのセキュリティ向上を検討している方は、ぜひHENNGEにご相談ください。
