多要素認証というのは、ユーザーがアクセス権を得るために必要な本人確認方法を2種以上用意し、セキュリティを高めるための方法です。今や情報セキュリティでは当たり前とされているこのセキュリティ対策は、Office 365でも機能としてサポートされています。
Office 365はクラウドサービスなので、アカウントIDとパスワードさえ知れられてしまえば、第三者からの不正アクセスは容易です。従って、多要素認証によってアカウントIDとパスワードというシンプルな本人確認ではなく、複数の認証で複雑化することでセキュリティを高めます。
そこで今回は、Office 365で利用可能な多要素認証の種類と、その方法について紹介します。
Office 365で利用できる多要素認証の種類と方法
まず、Office 365が標準搭載している多要素認証機能は次の通りです。
①モバイルアプリケーションによる認証
ユーザーが使用するモバイルデバイスに対応した「MFA(Multi-factor Authentication):多要素認証」アプリを導入することで、バーコードスキャンによる認証方法が追加されます。ユーザーはアプリで配信されたバーコードを都度スキャンすることで、第三者には使用不可能な認証を可能にします。
②電話/SMSによる認証
登録した電場番号に、電話またはSMS(ショートメッセージ)で連絡が行われ、それに対応することで認証を行う方法です。SMSよりも電話の方が対応が速い傾向にあるので、利用頻度が高い多要素認証となっています。
以上がOffice 365で標準搭載されている多要素認証です。これらの認証方法を追加するだけで、クラウドサービスとしてのセキュリティがグッと高まります。それでは次に、設定方法を説明していきます。
多要素認証の設定方法
多要素認証の設定は管理センターで行うので、必ずテナント管理者のアカウントでOffice 365にサインインしましょう。
サインインが完了したら管理センターを開き、ユーザー>アクティブなユーザーの順に移動します。次にその他>Azure Multi-Factor Authentication のセットアップの順にクリックすると、多要素認証を設定するための画面に遷移します。
多要素認証はテナント単位ではなくユーザー単位で設定できるので、多要素認証を有効にしたいユーザーを検索します。すべてのユーザーを表示させたい場合は、上部にあるMulti-Factor Authentication の状態ビューをすべてに変更すると、テナント内のユーザーがすべて表示されます。
多要素認証を設定する際は、有効と強制という2つの選択肢があります。
- 有効 - ユーザーは、多要素認証に登録されていますが、登録プロセスが完了していません。ユーザーが次回サインインしたときに、プロセスを完了するように要求するメッセージが表示されます。
- 強制 - ユーザーは、登録を完了している場合と、完了していない場合があります。登録プロセスを完了している場合、多要素認証を使用しています。完了していない場合は、ユーザーが次回サインインしたときに、プロセスを完了するように要求するメッセージが表示されます。
有効または強制したいユーザーの横にあるチェックボックスをオンにします。次に右側にあるユーザー情報ウィンドウのクイック操作では、有効にするとユーザー設定の管理が表示されているので、有効にするをクリックします。
ダイアログボックスが表示されたら多要素認証を有効にするをクリックし、設定を完了しましょう。
ADFS(Active Directryフェデレーションサービス)を活用した多要素認証
Active DirectoryはWindowsで構成されたシステム環境において、シングルサインオンを実装する機能であり、Windowsユーザーの中では使用率の高いものです。一方のADFSはどういったサービスかというと、Active Directoryを活用してさらに、クラウドサービスにおけるシングルサインオンも実現する、というサービスです。
例えば従来のActive Directoryは、どこにアクセスするにもWindows起動時にアカウントIDとパスワードを一度入力すればよい、という環境を構築していました。しかし、クラウドサービスの利活用が増えた今、クラウドサービスごとにサインインを行わなくてはならず、そうした環境でActive Directoryの有用さが失われていたのです。
そこで登場したのがADFSで、クラウドサービスを含めて総合的なシングルサインオンを実現しました。このADFSが今回の多要素認証にどう絡んでくるかというと、ADFSでしか使用できない多要素認証というのが存在します。
①証明書による認証
ルート証明機関という、ADFSに登録された認証局発行のユーザー証明書を現在利用しているデバイスにインストールすると、アカウントIDとパスワードによる認証後、ユーザー証明書の提示で登録情報の確認が行われます。つまり、適切なユーザー証明書を所持していれば、アクセスが許可されるという仕組みです。
ちなみに、ユーザー証明書や公的機関から有償で入手したものでも、社内のActive Directory証明書サービスで発行したものでも利用可能です。
②拡張プロバイダーによる認証
拡張プロバイダーとはVisual Studioという、Microsoft社製のソフトウェア製品を統合管理するための環境にて作成する独自の認証プロバイダーです。例えばアクセスの都度PINコードを生成して、デバイスに入力させることで認証を完了する、といった多要素認証を実装できます。
この拡張プロバイダーを作成するためにはVisual Studioに関する知識と技術が必要になります。しかし、実現すれば多要素認証の幅が広がり、セキュリティを大幅に強化できます。
③MFA Serverによる認証
MFA(Multi-Factor Authentication) Serverとは、ADFSにインストール可能なソフトウェアであり、電話やSMSによる多要素認証を可能にします。先述したOffice 365の電話/SMSによる多要素認証を同じような認証、と捉えていただいて構いません。このため、Office 365で多要素認証を設定している場合は、おそらく使用頻度の低い認証方法になります。
多要素認証だけで十分なセキュリティは確保できない
いかがでしょうか?クラウドサービスであるOffice 365には様々な多要素認証オプションが容易されており、それによってセキュリティを強化できます。しかし、それだけで十分かというと、もちろん答えは「NO」です。年々深刻かするサイバー攻撃に対し、多要素認証だけで立ち向かうのは、少々難しい部分があります。
そのため、ユーザー企業の皆様には、Office 365の多要素認証でクラウドサービスのセキュリティを高めた上で、ウイルス対策ソフトやファイアウォールといった基本的なエンドポイントセキュリティ。さらにWAFやIDS/IPS、次世代ファイアウォールを使用してネットワークセキュリティなど、総合的なセキュリティ対策を講じていただきたいと思います。
セキュリティは保険のような役割を果たすものなので、投資に積極的になれない企業も多いでしょう。しかし、近年多発しているサイバー攻撃の実態を知れば、如何にセキュリティが重要であるかに気付くはずです。
まずは、セキュリティ意識を高めるために、サイバー攻撃の動向から探ってみてはいかがでしょうか?