二要素認証の重要性
- 2020年12月4日
- by SendGrid
- Category: ベストプラクティス
この記事は The Value of Two-Factor Authentication の抄訳です。
セキュリティ対策では、使いやすさと厳重さの程よいバランスが重要です。 攻撃者が侵入を諦めるよう堅牢であると同時に、利用者が安全なシステムに簡単にアクセスできるのが理想です。 適切なバランスの度合いは、たいていは保護している対象によって異なります。家のドアには標準的な鍵をつけていれば安心できますが、Apple Storeでは警報システムをインストールし、さらに警備員を雇っています。
オンラインのアカウントについても、同じことがいえます。地元の花屋のアカウントはパスワードによる保護だけでいいかもしれませんが、銀行口座やメールの場合は、追加の保護が必要だと感じますよね。
適切な認証の仕組みがないと、アカウントの乗っ取り(ATO = Account TakeOver)が発生する可能性があります。 これは顧客の信頼を失うだけでなく、不正な取引に利用され金銭的な被害にあう可能性があります。Javelin Strategy&Researchによると、2019年、企業はATOによって68億ドルの被害を受けたそうです。
Cost of account takeover (ATO)
アカウントのセキュリティにおける認証要素
アカウントを保護するためには、ユーザの確かなアイデンティティを使って認証しなければいけません。アイデンティティとは、通常はメールアドレスやユーザ名を指し、本人であることを証明するために必要となるものです。認証には、以下の3つのうち、いずれかの要素を含みます。
- 知識要素–パスワードなど本人だけが知っているもの
- 所有要素–鍵や携帯電話のように物理的に所有しているもの
- 固有要素–顔認証や指紋など本人固有のもの
パスワードの問題点
パスワードは比較的使いやすく、所有要素とは異なり紛失することもないため、オンライン認証のデファクトスタンダードになりました。 パスワードを忘れた場合に備えて、多くの企業でアカウント回復のための「セキュリティの質問」(別の種類の知識要素)の採用が進んでいます。
しかし、(実際はこれよりも低い値だと信じたいところですが、)haveibeenpwned.comは、”123456”のように単純で推測可能なパスワードが依然として非常に多く使われていると報告しています。 パスワード”123456”は、2,300万回以上のデータ漏洩で確認されました。 さらに悪いことに、2019年のGoogleの調査によると、64%もの人が複数のサイトでパスワードを使い回していることを認めています。 これは問題です。たとえ複雑なパスワードを設定していても、それを多くのサイトで使い回してしまうと、万が一、MySpaceやAdobeで発生したようなデータ漏洩があった場合に、クレデンシャルスタッフィング攻撃がなされ、ユーザのアカウントが自社サイトで破られる可能性があるのです。
二要素認証による保護
クレデンシャルスタッフィングやその他のセキュリティ上の弱点から保護するため、Twilio SendGridなどの企業では二要素認証(2FA)に対応しています。 二要素認証とは、2種類の認証要素を組み合わせたものです。 現実世界でのわかりやすい例には、デビットカード(所有要素)とPIN(知識要素)のようなものがあります。
認証要素が増えるということは余分な手間が増えるということですが、その追加の手間によってアカウントを安全に保てるのです。 ワンタイムパスコードを電話やメール、またはTwilio Authyなどの認証アプリを介して送信するなどといった所有要素は、パスワードのみの認証よりも乗っ取りを難しくします。
SMSによる2FA
SMSによる2FAは、2FAトークンを発行するのに最も安全な方法というわけではありませんが、2019年のGoogleの調査では、”電話番号に送信されたSMSコードは、自動ボットの100%、バルクフィッシング攻撃の96%、標的型攻撃の76%をブロックするのに役立った”ことがわかっています。一意で長いパスワードと組み合わせれば、この2つの要素でほとんどのアカウントを保護できます。
時間ベースのワンタイムパスワード
時間ベースのワンタイムパスワード(TOTP)は、アルゴリズムに基づいて一意の数値パスコードを生成する所有要素です。 アルゴリズムのインプットには秘密鍵と現在時刻が含まれるため、この認証はオフラインでも使用できます。 TOTPには、SMSと比較してセキュリティが高い対称鍵暗号方式も使用されています。 アプリのダウンロードは必要ですが、Authyのようなアプリは非常に便利です。
Twilio SendGridのアカウントで二要素認証を設定しよう
今年、SendGridはすべてのお客様に2FAを有効にするようお願いしています。 アカウントを保護し、送信者のレピュテーションを維持するのが目的です。 2FAの設定方法はドキュメントを確認してください。 2FAのワンタイムパスコードは1人しか受信できないため、資格情報の共有が難しくなります。 複数人で同じアカウントを利用する場合は、Teammates機能の利用を検討してください。
今すぐ2FAを設定しましょう
二要素認証は、あなたやあなたの顧客を守るのに役立ちます。 アカウントセキュリティのベストプラクティスの詳細については、ブログ「SendGridのアカウントとレピュテーションを保護する7つのベストプラクティス」をご覧ください。