MFAで絶滅を回避
私の家では最近、週に一度の夕食と映画のルーチンを始めました。このときの夕食のメニューは、映画の舞台や登場するキャラクターにまつわるものにしています。家族旅行が間近に迫ってはいますが、私は旅行から帰った後もこのルーチンを楽しく続けたいと思っています。子どもたちが大騒ぎしながら、映画のタイトルを入れた封筒の1つを選びます。この映画をその週に観ることになりますから、みんなでわくわくしながら封筒を開けます。私と夫は同じく期待に満ちた面持ちで、これから数日のうちにどんな料理を用意したらいいか見極めます。家族行事は楽しいものです。でも、次はセキュリティについて取り上げなければなりません。
今週、子どもの一人が選んだ封筒には、『ジュラシック・ワールド/新たなる支配者』のタイトルが入っていました。私はまず、どんなメニューにすればいいか(小型肉食恐竜の爪のチーズ焼き、恐竜肉のナゲット、それに翼竜の手羽など)考え始めました。でも想像してみてください。この映画を観始めてから、子どもたちとサイバーセキュリティについてしっかり話せたときの私の驚きを。なにしろこの話の相手は、ほかの多くの小中学生と同様に、身の回りにあるテクノロジーにどんどん取り込まれようとしている私の子どもたちです。
マルチファクター認証とは
『ジュラシック・ワールド/新たなる支配者』とセキュリティとは、どういうことでしょうか?確かに、生きた恐竜を扱ったテーマパークで、フェンスに囲まれたエリアから恐竜が逃げ出した、というのは、セキュリティと聞いて思い浮かべることではないでしょう。ネタバレにならないように(と願っていますが)お話しすると、映画の中でイアン・マルコム博士が、自分のハイテクなID付きリストバンド(手首に着けるIDです。ウォルト・ディズニー・ワールドのマジックバンドが近いでしょう)をこっそりエリー・サトラー博士に渡すシーンがあります。サトラー博士とアラン・グラント博士は、このIDリストバンドを使ってラボの立ち入り禁止エリアに侵入します。ここで二人はDNAを盗み出すことになり、ジュラシック・パークシリーズならではの恐ろしい、しかしスリルに満ちた冒険に導かれていきます。
問題は、外部の人間は立ち入れないはずのラボの一画に、IDリストバンドだけで二人が入れた点です。二人がIDリストバンドをスキャンした時、指紋も暗証番号も求められませんでした。ディズニー・ワールドですら、マジックバンドをスキャンした後に指紋認証を求められるというのに!その結果、彼らは侵入に成功し、バイオシン社の資産を盗み出すことができたのです。
サイバーセキュリティの業界では、これをマルチファクター認証、あるいはMFA(2段階認証と呼ばれることもあります)の不足と呼びます。要求される認証情報が1種類だけの場合、映画のケースではIDリストバンドですが、このソース1つを失くしただけで、保護対象のアイテムがリスクに晒されてしまいます。仮にPINコードや網膜スキャン、秘密の質問と回答などを加えて、認証形式を2種類(あるいは3種類、4種類)にすればどうでしょうか。あっという間にマルチファクター認証になり、1種類の認証情報を失くしても以前ほどのリスクはありません。
マルチファクター認証の仕組み
すでにマルチファクター認証を日常生活で使用しているものの、まったく気付いていなかった、ということも多いのではないでしょうか。たとえば、モバイルバンキングで銀行にログインすると、多くの場合はユーザーID(または口座番号)とパスワード(またはPINコード)を入力します。しかし、使用しているデバイスをサイト側で認識できず、メッセージが表示されることがあります。これはMFAの一種です。この場合、スマートフォンやパソコンなど、登録されたデバイスが2つめの認証形式となります。
MFAは繰り返しによってデータやアプリケーションを保護するアプローチです。システムはユーザーに対して2回以上、身元を確認するために認証情報を求めます。これらの認証情報は、以下の3つのカテゴリのいずれかに当てはまります。
- 知っていること – パスワードや秘密の質問
- 持っているもの – 物理デバイス、ハードウェアトークン、IDカード、スマートフォンのアプリによる応答
- その人自身 – 指紋や網膜スキャン
モバイルバンキングの場合なら、登録済みのデバイスが「持っているもの」のカテゴリに該当します。
ここで理解しておくべきなのは、認証をただ組み合わせるだけではマルチファクター認証にならない、ということです。組み合わせの中に、別々のカテゴリの認証方法が含まれている必要があります。ですから、パスワードを入力して秘密の質問に答える、という組み合わせは、通常はマルチファクター認証とは言えません。どちらも「知っていること」のカテゴリにあるからです。パスワードを入力した後で、スマートフォンのアプリに表示された一意のコードを入力するように求められるのは、マルチファクター認証と言えます。それぞれ「知っていること」と「持っているもの」のカテゴリに該当するからです。
マルチファクター認証の種類
マルチファクター認証にはいくつか種類がありますが、特に一般的なのは、アカウントのパスワードやPINコードに加えて次のいずれかを用いるやり方です。
- プッシュ通知:承認済みの認証アプリを使用します
- ワンタイムパスワード:画面に表示される一意のコードで、一度だけ使用できます。電子メールや携帯電話へのSMSメッセージ、モバイルアプリなど、ユーザーに固有の通信手段によって通知されます
- 2要素トークン:物理トークンです。接続するかコードを抜き出して使用します
- 生体認証:指紋、顔認証、網膜スキャンなどです
マルチファクター認証はなぜ重要なのでしょうか。もしバイオシン社が、IDリストバンドのスキャン後に顔認証を求めていれば、サトラー博士とグラント博士はラボの立ち入り禁止区域に侵入できませんでした。仮に悪意のある何者かがユーザー名とパスワードを盗んだとしても、スマートフォンに送信されたワンタイムコードも入力する必要があるとしたら、その悪人がシステムに侵入することはできません。
カギはMFAを繰り返し行うこと
今では多くのシステムが、ユーザーにMFAを求めています。最初の数回は、プロセスに余計な手順があるように感じるかもしれませんが、実際のところ、何度も使用するうちに慣れてしまい、いつの間にか余計なこととは感じなくなります。認証方法を追加するという小さな手間が、恐竜の血液を吸った古代の蚊を保管している秘密のラボに古生物学者の侵入を許すか、または拒むかの分け目になり得るのです。もちろん『ジュラシック・ワールド/新たなる支配者』では、ラボがMFAを使用していなかったことが良い方向に働きました。でも混ぜっ返すのはよしましょう。仮にMFAが用意されていた場合でも、有効化しないままではサイバー犯罪者にとって有利に働いてしまいます。
MFAは守るべき基本的なデジタルセキュリティ
マルチファクター認証は難しいと思われるかもしれません。しかしオンラインバンキングのように、日常的なデジタル環境に組み込んでしまえばプロセスの一つに過ぎなくなります。デジタルセキュリティを強化するための、特に簡単で基本的な手段になり得るのです。忘れないでください。オンラインで安全性を維持するのは簡単なことです。組み込んでおくべき基本的な手順を知っておく必要があるだけです。
もしも皆さんがご家族と、夕食と映画鑑賞というイベントを始めることになったら(お勧めです!映画に絡めたメニューもたくさんお伝えできますよ)、『ジュラシック・ワールド/新たなる支配者』から始めてみてください。そして、他人によるなりすましを防ぐためのMFAの活用方法について話してみてください。また、同じように話のできる映画はほかにもありませんか?家族でサイバーセキュリティについて学べるような良作を探してみましょう。
その他の参考資料: