公開日:|更新日:
こちらのページでは、クラウドサービスやシステムへのログイン時などに、2つ以上の要素を用いて認証を行う多要素認証(MFA)を実現する製品やサービスを紹介しています。それぞれの特徴や注目したいポイントをまとめていますので、自社のニーズに合った、導入するべきシステムを検討する際の参考にしてみてはいかがでしょうか。
多要素認証とは、アカウントにシステム内の機能や情報を利用させる際に、利用者が本人であるかどうかを確かめる認証プロセスにおける認証方式を指します。一般的な認証方式であるID /パスワードの入力に加えて、ワンタイムパスワード認証、ICカード認証、生体認証などを組み合わせて認証強度を向上させることを多要素認証と呼びます。
二要素認証は、2つの要素(例えば、記憶しているパスワードとワンタイムパスワードの2つの要素)を使って認証する方式です。
二段階認証は、認証を2回のプロセスに分ける方法です。例えば、最初にID/パスワードでの認証を行い、その認証が成功した後に、ワンタイムパスワードの認証を行うことで、多要素認証(二要素認証)を実現します。
クラウド型は初期費用も低コストで迅速な導入が可能なメリットがあります。一方オンプレミス型はカスタマイズ性が高く、ランニングコストを抑えられ、社内のオンプレミス型のシステム連携も柔軟に対応できます。それぞれ企業のニーズやシステム利用期間(例えば、5年間)でのトータルコストを考慮して、提供形態を検討しましょう。
多要素認証には、ワンタイムパスワード認証、二経路認証、生体認証、パスキー(FIDO)認証など様々な種類の認証方法があります。自社のセキュリティ要件やユーザビリティに合う認証方法を提供するシステムを選びましょう。
多要素認証を実現できるシステム範囲は、製品・サービスによって異なります。製品・サービスによってどのようなシステムと連携が可能かを確認し、自社のニーズを満たせる製品・サービスを選びましょう。
既存システムとの連携性は、多要素認証システムを導入するにあたって重要な要素になります。製品・サービスによって連携方法は異なりますし、既存システム側の改修が必要となる場合もあります。既存システムとの互換性、改修要否、運用の手間などを考慮して選びましょう。
多要素認証でのセキュリティ強化は重要ですが、同時にユーザビリティを損なわないように注意が必要です。シングルサインオンや統合ID管理の機能が利用できる製品を選ぶことで、相補的にユーザーの利便性を向上させることができます。
パスワードレス認証の国際標準であるパスキー(FIDO)への対応など認証方法の拡張性と互換性を見極めて、ビジネス成長に伴うシステム変更や処理性能の向上などにも柔軟に対応できる製品・サービスを選びましょう。
多要素認証システムを円滑に運用していくには、ベンダーの適切なサポートが欠かせません。不明点やトラブル対応をしっかり確認できる問合せ先があるかどうかも重要なポイントです。特に海外のサービスを利用するときは、日本語でのサポート対応が可能かどうかを確認しましょう。
多要素認証は、デバイスの種類によって異なる方法で動作する場合があります。例えば、スマートフォンやタブレットなどのスマートデバイスでは、画面サイズが小さいため、認証プロセスが複雑になることがあります。そのため、デバイスの種類に応じて、適切な認証方法を選択する必要があります。
GDPR、HIPAA、CCPAなど、地域や業界によって異なる法規制が存在します。これらの法規制に適合する必要があるかを検討し、適合する必要がある場合には、ユーザーの同意やデータの取り扱いに関する要件にも留意する必要があります。
各企業の様々なニーズに対応できるように「製品」と「サービス」に分けて、それぞれ3種類のシステムを選定しました。国内での利用を想定して国産のシステムを選んでいます。自社に合った多要素認証システムの導入を検討しましょう。
FIDO認証 | 〇 |
---|---|
OTP認証 | 〇 |
マトリックス認証 | 記載なし |
クライアント証明書 | 〇 |
二経路認証 (スマホ認証) |
〇 |
統合Windows認証 | 〇 |
FIDO認証 | 〇 |
---|---|
OTP認証 | 〇 |
マトリックス認証 | 〇 |
クライアント証明書 | 〇 |
二経路認証 (スマホ認証) |
〇 |
統合Windows認証 | 〇 |
※2022年9月の調査時点の情報
IP3-ACEの多要素認証製品「AuthWay」は、広く利用されている標準プロトコル(LDAP/RADIUS)でWebアプリやVPNシステムと連携し、多要素認証機能を提供します。それぞれの企業ニーズに合わせて、ワンタイムパスワードによる二要素認証・二段階認証、スマートデバイスを利用した二経路認証、生体認証に対応できるFIDO認証など多様な認証方式を選択でき、無制限ユーザライセンスもあるため、ユーザ数が多くなるほどコストパフォーマンス良く安価に導入できます。
IP3-ACEのSSO製品「CloudLink」やID管理製品「EntryMaster」と組み合わせることで、統一された運用・管理ができる統合認証システムへの拡張も可能です。
標準プロトコル(LDAP/RADIUS)による連携が可能なため、アプリやVPNシステムの多要素認証対応にもおすすめ
それぞれの企業のニーズに合わせて、様々な認証方式を選択可能
SSOシステムや統合ID管理システムも含めた統合認証システムへの拡張も可能。全て自社製品なので、カスタマイズ性にも優れ、統一された運用・管理が可能
IceWall MFAはヒューレッド・パッカードによって開発・提供が行われている多要素認証基盤です。現在使用しているアプリケーションや連携先のクラウドサービスの改修を行わずに、認証の強化が行える点が大きな特徴。また、さまざまな認証方式をサポートできる点や、各アプリの認証要件に応じて「通常パスワード+ワンタイムパスワード」や「通常パスワード+FIDO準拠の認証デバイス」といったように複数の認証方式を選択することができ、柔軟な運用を可能にします。
SSO製品として認知度の高いIceWallシリーズ
Webアプリケーションや連携先のクラウドサービスの改修を行わずに多要素認証による認証強化が可能
それぞれのアプリの認証要件に応じて、複数の認証方法を組み合わせて利用できる
TrustBind/MFAは、セキュリティと利便性の両立を可能にする、多要素認証プラットフォーム。パスワードに依存しない認証技術の組み合わせによりセキュリティを高めることができます。
TrustBind/MFAでは、例えばクラウドサービスを利用する場合にも社内からのアクセスには簡単な認証方式を、社内からのアクセスには多要素認証を採用するなど、利便性を保ちつつもセキュリティを高めるといった対応が可能。要件に合わせた柔軟なシステム構成を実現します。ユーザー単位の契約なら(330円税込/ユーザ)
社外からのアクセスにのみ多要素認証を使うなど、利用環境により認証強度を使い分けられる
認証要素追加のためのAPIインターフェイスを用意することにより任意の認証方式との連携が可能
問い合わせ窓口・サポート対応もNTTテクノクロス1社で完結するため、問い合わせ時の対応がスムーズ
FIDO認証 | 開発中 |
---|---|
OTP認証 | 〇 |
マトリックス認証 | 〇 |
クライアント証明書 | 〇 |
二経路認証 (スマホ認証) |
〇 |
統合Windows認証 | 〇 |
FIDO認証 | 記載なし |
---|---|
OTP認証 | 〇 |
マトリックス認証 | 記載なし |
クライアント証明書 | 〇 |
二経路認証 (スマホ認証) |
〇 |
統合Windows認証 | 〇 |
業務で利用するクラウドアプリや社内システムへのSSOを可能にするトラスト・ログインには、さまざまなオプション機能が用意されています。その中のひとつが「認証強化オプション」。スマートフォンへのプッシュ機能を認証に利用するパスワードレス方式や、モバイルデバイスで生成されたワンタイムパスワードを使用する方法、電子証明がインストールされたデバイスのみアクセスを可能にするクライアント認証など、さまざまなオプションを利用してセキュリティの強化を行えます。連携できるアプリの数は6000種類以上※1
様々な国産アプリとの連携が可能
パスワードレス(プッシュ通知認証)やワンタイムパスワード、クライアント認証など認証強化オプションを提供している
クラウド上で提供されるIDssSのため、導入時にサーバを用意したりシステムの改修といった手間が不要
NSW-BizIAMは、ID統合管理・SSO・多要素認証の3つの機能を搭載したクラウド型統合認証基盤サービス。必要な機能のみを利用可能という柔軟性が魅力となっており、多要素認証における二要素認証機能としては、「ハードウェアトークン」「ソフトウェアトークン」「トークンレス」に対応。また二経路認証機能については、「通常ログイン+スマートフォンによる認証」を実施することによって、本人認証におけるセキュリティ強化を実現しています。
企業毎に専用環境を構築するため、様々な要望に柔軟に対応できる「プライベートIDaaS」。導入コンサルティングから運用サポートまでトータルで支援
ID管理、SSO、多要素認証の3つ機能を提供している統合認証基盤サービス。企業のニーズに合わせて必要な機能のみ利用可能
多要素認証においては、二要素・二経路認証によるセキュリティ強化を実現
xIdentifyは多要素認証システム「AuthWay」を利用することによって、堅牢な認証セキュリティを実現できる総合本人認証サービスです。ワンタイムパスワードを利用した二要素認証、スマートデバイスを用いた二経路認証(デバイス認証のほか、パスワード認証やパターン認証、指紋認証など)にも対応しています。
また、xIdentifyは短期間で導入可能な「クラウド型」と、現在利用しているサーバやクラウドサービスに導入できる「ソフトウェア型」の2つの提供形態を用意している点も特徴となっています。
100ユーザ以上の中規模企業向けに専用の認証サービスを提供。企業毎に専用環境を構築するが、企業が利用しているクラウド環境も利用可能
二要素認証のほか、二経路認証にも対応することによって総合的な多要素認証を実現できる
SAMLによるSSO機能も提供。クラウドサービスの認証強化にも利用可能
IP3-ACEでは、多要素認証機能をMFA製品「AuthWay」で実現しており、ワンタイムパスワード(二要素認証・二段階認証)、二経路認証、FIDO認証など多様な認証方式に対応可能。IP3-ACEのSSO製品やID管理製品も自社開発しているため、UIなど運用管理機能の統合など管理者としての使いやすさの点で強みを持ちます。
ID・パスワード以外の認証方式について、ニーズに合わせて追加することが可能。環境によってはサービスやシステムの特別なカスタマイズをせずに認証強化をすることもできます。
ThemiStructは、多要素認証と多段階認証に対応している点が特徴です。このことにより、ワンタイムパスワードなどによる認証が可能となりますが、静脈認証などの認証要素をオプションにて追加することもできます。
NTTデータ先端研究所によって提供されている統合ID管理ソリューションであるVANADIS。主要な認証インターフェースに対応しており、ICカードやUSBなどを利用した個人認証にも機能追加にて対応が可能です。
国産製品。ID / パスワードによる認証に、他の認証方法を組み合わせて使用することができます。なりすましが発生するリスクが高い場合には、ワンタイムパスワードやリスクベース認証などを利用することによってリスク低減に繋げられます。
通常使用されるID・パスワード以外での認証にも対応。例えば乱数表を用いたワンタイムパスワードを用いた認証、所有情報に基づいた認証など。それぞれの要件に合わせる形で認証の強度を変化させられる点も特徴。
GMOグローバルサインが影響する国産のSSOサービスであるトラスト・ログインは、認証強化オプションが用意されています。こちらのオプションでは、クライアント証明書、ワンタイムパスワードによる多要素認証を実現します。
Oktaには有料オプションが用意されており、こちらを利用して多要素認証の追加が可能です。パスワードのほか、指紋認証などを追加で取り入れることによって、より認証の信頼性を高められる点が特徴。
Microsoft社の製品。ID・パスワードによる認証に加えて、ワンタイムパスワード認証、SMS認証にも対応しています。Azure Active Directoryは要件によって認証の強化を行うことも可能となっているため、状況に応じたセキュアなアクセスを維持できます。
NSW-BizIAM の多要素認証機能は、ワンタイムパスワード認証やPC上でログインしようとした際にスマートフォンでの承認を要求するといった二経路認証を使用できます。SSOやID統合管理も含めてトータルなサービスを提供しています。
オプションにより多要素認証を追加することが可能。多要素認証の種類としては、スマホアプリを使った認証やデバイス証明書認証、ワンタイムパスワード認証など。これらを活用することによって、不正アクセスなどのリスクを低減可能。
xIdentifyは二要素認証・二段階認証・二経路認証といった様々な認証方式に対応している認証サービス。既存システムの認証連携だけでなく、クラウドサービスとのSAMLによるSSO連携も可能。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。