MFA 疲労を防ぐ 4 つのヒント
2023 年 8 月 1 日 Sam Manjarres 著
多要素認証(MFA)を導入することが、企業やそのデータを守る非常によい方法であることは確かです。しかし ID 管理に関して、ユーザも管理者も、効率性、利便性、セキュリティのバランスを同時に求める傾向があります。これは難しい課題ですが、クリアすることは可能です。
このような要求がある理由は、主に MFA が摩擦を生み出し、生産性を低下させる障壁と見なされる場合があるためです。スピードと安全性の二者択一を迫られたとき、人はスピードを優先することがあります。しかし正しく適用すれば、複雑性が増したりエンドユーザの生産性を低下させたりすることなく、MFA によってサイバーセキュリティを高めることができます。
MFA 疲労を防ぐには
ビジネスに最適な MFA ソリューションを選択する際には、保護すべきデータの種類やセキュリティ要件の複雑性を考慮し、組織のニーズを正しく評価する必要があります。ユーザが認証を煩雑に感じて回避しようとする事態を避けるためにも、この評価が重要です。以下のような点に留意し適切なソリューションを選択することで、エンドユーザが認証疲弊することを防ぎ、適切な方法でツールを使用できます。
- MFA についてユーザを教育する
あまりに基本的に思えるかもしれませんが、ユーザにトレーニングを提供することは、MFA への抵抗を克服する最良の方法の 1 つです。多くのケースで人間はセキュリティ上最も脆弱な部分であると考えられるため、MFA の重要性について適切に教育することが極めて重要です。 - MFA と SSO の組み合わせ
SSO(シングルサインオン)認証は優れたユーザ体験を提供しますが、MFA と組み合わせることで、セキュリティを強化しながら、よりシームレスな体験を得ることができます。これにより、この技術の採用における最大の障壁を取り除くことができます。 - 認証設定とポリシーの見直しの徹底
MFA ソリューションが安全に設定され、ユーザが正しい使用法を認識するよう徹底します。さらに役職に応じて異なる認証要素を指定し、攻撃への耐性が高い認証要素を特権アカウントに設定する一方で、より単純ながら効果的な認証要素を特権の低いユーザに設定することも有益な場合があります。 - 進化する脅威ベクトルに対応できるソリューションを利用する
「MFA 疲労攻撃」と呼ばれる新しいソーシャルエンジニアリング技法が最近開発され、その高い有効性からサイバー犯罪者の間で流行し続けています。この攻撃では、悪意のある行為者は、正規のユーザを苛立たせることを目的として、しつこく MFA リクエストを送信します。そしてアラートのあまりの多さに圧倒された際に、MFA ソリューションが誤動作していると考えてユーザが設定を無効にしたり、サイバー犯罪者がサポート要員を装って、ユーザのアカウントにログインするために必要なコードを要求したりして攻撃を仕掛けます。 優れた MFA ソリューションは進化し続け、サイバー犯罪者が展開する最新の戦略に適応した新しい機能を組み込まなければなりません。したがって、MFA 疲労による不正ログインを防ぐためにも、プッシュ通知を無効にすることができるなど、フィッシング攻撃を示す可能性のあるスパム通知をブロックする代替手段を提供する必要があります。
企業の Web アプリケーションに対する攻撃の 86%、および BEC 攻撃のほぼ 40% は、認証情報の盗難によるものです。MFA は、オンラインアプリケーションやアカウントへのアクセスを許可する前に、ユーザが本人であることをより確実に認証します。しかし、その際にエンドユーザエクスペリエンスに関連する障壁が考慮されなければ、このソリューションは目的を果たすことが難しい場合があります。
上記のヒントに従うことで、ユーザエクスペリエンスを損なうことなく組織のセキュリティを向上させ、パスワード漏洩のリスクを減らすことができます。MFA 疲労攻撃について詳しく知りたい方は、ぜひこちらの記事も併せてご参照ください。
MFA フィッシング:大企業のネットワークを危険にさらすサイバー攻撃