多くの組織がユーザー検証を後回しに考えていますが、ベライゾンが毎年発表するDBIRによると、クレデンシャル・ハッキングは常に侵害戦略のトップであることに留意する必要があります。事実上、すべての組織が機密情報を紛失し、具体的な金銭的損失や顧客の信頼を失う可能性のある事態に見舞われるのは時間の問題です。このようなトレンドが注目されるのは、多要素認証が今日ほど便利で安価に導入できる時代はかつてなかったからです。従来、企業はMFAの実装を、ビジネスにとってより高いレベルのリスクをもたらす情報を扱う一部の専門的なユーザーに限定してきました。コストとユーザビリティが、強力な認証技術の普及を阻む要因となってきました。歴史的に、強力な認証方法は、購入、導入（ユーザーの登録を含む）、および管理に費用がかかりました。しかし最近、業界全体、組織そのもの、顧客（または患者、市民、パートナーなど）、そして彼らがアクセスするテクノロジーに、大きな変化が起きています。

Q: 多要素認証を導入する主なビジネス・ドライバーは何ですか？

各組織にはそれぞれ具体的な要件がありますが、各組織に共通する高レベルのビジネス推進要因が頻繁に存在します：ほとんどの業界では、顧客情報、患者情報、財務情報に関する何らかの個人情報保護法を遵守しなければなりません。さらに、政府機関は、ユーザーの本人確認にMFAを要求する方針を固め続けています。これまで以上に、プロフェッショナルはオフィス以外の場所で仕事をするようになりました。MFAは、リスク管理の一環として、または政府の認証義務の対象となる情報（顧客、患者、市民、人事など）を対象とするコンプライアンス・イニシアチブの一環として使用されます。つまり、認証情報が侵害された場合、雇用主に対する脆弱性が露呈することになるため、MFAを使用してアカウントを保護することが強く求められます。事実上、誰もがポケットにコネクテッド・コンピューター（スマートフォン）を入れており、そこからソーシャルメディア、消費者向けパーソナライズド・コンテンツ、eコマースなどの生活を営んでいます。顧客は自分のデバイスで企業とデジタルにやり取りすることを期待しているため、企業はしばしば積極的なモバイルアプリ戦略を追求し、リスク管理のためにMFAを必要とします。

Q: 組織がコンプライアンスに準拠するためにMFAを使用することを義務付けているのはどの法令か。

MFA は現在、PCI DSS v4.0 の基本要件となっています：PCI DSS v4.0 では、カード会員データを扱うシステムへのすべてのリモートアクセスに対して MFA が基本要件となっています。HIPAA：電子的保護医療情報（ePHI）の保護。NIS2とDORA-クリティカル・セクターにおける強力なアクセス・コントロールを要求。サイバー保険 - ほとんどの保険がMFAを補償の対象としています。

概要

保護されたリソースにアクセスするときは、クレデンシャル情報を持つデータストアに対して認証を行います。それは、主張されたアイデンティティと、それに関連する秘密で構成されています。従来は、単純なユーザー名とパスワードで認証していましたが、これは現在最も一般的な認証方法です。残念ながら、ユーザー名／パスワード認証は、フィッシングやクレデンシャル・ハッキングに対して非常に脆弱であることが示されています。パスワードは覚えるのが大変なため、人は簡単なものを選び、さまざまなオンラインサービスやクラウドサービスで再利用する傾向があります。つまり、あるサービス上でクレデンシャルがハッキングされると、悪意のある部外者は、他の個人やプロのデジタル・サービス上でそれをテストします。

多要素認証（MFA）は、アプリケーション、データ・ストレージ、プライベート・ネットワークのような特定のリソースにアクセスできるようになる前に、2つ以上の認証方法を提供することをユーザーに要求することによって、これらの脅威や他の種類の脅威から保護するように設計されています。

ファクタ」という用語は、誰かの主張する身元を検証するために使用されるさまざまな認証のタイプまたは方法を示す。さまざまな方法がある：

パスワード、暗記した暗証番号、チャレンジクエスチョンなど、知っているもの
歴史的にはハードトークンでしたが、最近ではスマートフォンやセキュアなUSBキーが一般的です。
一般的な生体認証は指紋認証や顔認証ですが、あまり一般的でないのは、音声やその他の認識技術のような生体認証です。

多要素認証

保護されたリソースに設定する要素の数はどのように決めますか？

セキュリティ要件および使いやすさ要件は、要求者の ID クレームを確認するために使用されるプロセスを決定する。多要素認証によって、セキュリティ・チームは、要求者（個人またはプログラム・プロセス）のコンテキストや状況に対応できるようになり、最も一般的なシナリオであるアクセスを取り除くことができる。何種類の認証が必要かを決定するだけでなく、IT 部門は、ユーザビリティ要件とそれを実装するコストとのバランスをとる必要がある。

一要素認証（SFA）

SFAは、モバイル、オンライン、その他のセキュリティで保護された情報および施設へのアクセスを確保するためのデフォルトであり、現在もそうである。SFAはどこにでもあり、安価であるため、最も一般的なタイプはユーザー名とパスワードである。それでも、さまざまなフィッシング攻撃による脅威を回避するために、パスワードレス技術が採用される割合は増えている。例えば、モバイルベースのアプリの大半は、従来のユーザー名とパスワードの代わりに指紋認証や顔認証を使うことができる。

パスワードレスオプション（FIDO2やパスキーなど）は現在、マイクロソフト、アップル、グーグルなど主要なプラットフォームベンダーが提供しています。

認証トークンは身元を確認するために使用されるため、部外者から保護する必要がある。強力なトークン・セキュリティに加えて、トークンはかなり頻繁に失効するように設定されていることが多く、更新率が高くなっています。パスワードレス・インターフェースの下で使用される短命トークンを実装することでセキュリティは向上するが、二要素認証が提供するレベルには達していない。

passkeysやWebAuthnのような最新のパスワードレスメカニズムは、一般的に単純なSFAには分類されません。真のパスワードレスは、正しく実装されれば、それ自体が強力な多要素認証や高度認証の一形態となります。

二要素認証（2FA）

2FA は、本人確認のために第 2 のタイプ（know、have、are）の提供をユーザーに要求することで、セキュリティを強化する。ID の証明の 1 つは ID カードのような物理的トークンであり、もう 1 つはチャレンジ／レスポンス、セキュリティ・コード、パスワードのような記憶されたものである。第二の要因は、悪質業者やその他の外部アクターがセキュリティを突破するハードルを大幅に引き上げることである。

以下は、一般的な認証方法のリストである：

ワンタイムパスワード-TOTP、HOTP、YubiKey、その他のFIDO準拠デバイス
その他の帯域外通話、モバイルプッシュ
PKI証明書
生体認証-指紋、顔、音声認識
近接カード、モバイルアプリのジオフェンシング
知っていること-パスワード、チャレンジクエスチョン

三要素認証（3FA）

この方法では、2ファクターにもう1つのファクターが追加され、主張する1つの身元を偽ることがさらに難しくなります。典型的なシナリオは、既存のユーザー名／パスワードにバイオメトリクスを追加し、さらに近接カードによるログインを追加することです。これは顕著なレベルの摩擦を追加するため、高度なセキュリティが必要な状況で予約する必要があります。銀行は、様々な政府機関と同様に、3FAが意味を持つ状況を見つけるかもしれません。空港や病院の一部で特定の高度管理区域も、セキュリティチームが3FAが必要と判断した区域です。3FAは一般的ではなく、適応型MFA（コンテキストのリスクを評価する）が業界の主流です。

MFAは通常どこで使われるのか？

多くの組織がユーザー検証を後回しに考えているが、ベライゾンが毎年発表するDBIRでは、クレデンシャル・ハッキングが常に侵害戦略の上位に挙げられていることに注意する必要がある。事実上すべての組織が、機密情報の紛失という事態に見舞われ、具体的な金銭的損失や顧客の信頼を失う可能性が出てくるのは時間の問題である。

このようなトレンドが注目されるのは、多要素認証が今日ほど便利で安価に導入できる時代はかつてなかったからだ。従来、企業はMFAの実装を、ビジネスにとってより高いレベルのリスクをもたらす情報を扱う一部の専門的なユーザーに限定してきた。コストとユーザビリティが、強力な認証技術の普及を阻む要因になることが多い。歴史的に、強力な認証方法は、購入、配備（ユーザ登録を含む）、および管理にコストがかかっていた。しかし最近、業界全体、組織自体、顧客（あるいは患者、市民、パートナーなど）、そして彼らがアクセスするテクノロジーにおいて、大きな変化が起きている。

多要素認証を導入する主なビジネス・ドライバーは何ですか？

各組織にはそれぞれ具体的な要件がありますが、各組織に共通する高レベルのビジネス・ドライバーが頻繁に存在します：

ほとんどの業界は、顧客、患者、財務情報に関する何らかのプライバシー法を遵守しなければなりません。さらに、政府機関はユーザーの身元確認にMFAを要求する方針を固め続けている。
これまで以上に、プロフェッショナルはオフィス以外の場所で仕事をするようになりました。MFAは、リスク管理の一環として、または政府の認証義務の対象となる情報（顧客、患者、市民、人事など）を対象とするコンプライアンス・イニシアチブの一環として使用されます。
パワー・ユーザーと彼らが働く組織は、広く接続された世界でそうしている。つまり、彼らのクレデンシャルが侵害された場合、彼らの雇用主が露呈する脆弱性は、MFAでアカウントを保護するための説得力となる。
事実上、誰もがポケットにコネクテッド・コンピューター（スマートフォン）を入れており、そこからソーシャルメディア、消費者向けパーソナライズド・コンテンツ、eコマースなどの生活を営んでいます。顧客は自分のデバイスで企業とデジタルにやり取りすることを期待しているため、企業はしばしば積極的なモバイルアプリ戦略を追求し、リスク管理のためにMFAを必要とします。

組織がコンプライアンスに準拠するためにMFAを使用することを義務付けているのはどの法令か。

MFAは現在、基本的な要件となっています：

PCI DSS v4.0：カード会員データを扱うシステムへのすべてのリモートアクセス。
HIPAA：電子的保護医療情報（ePHI）の保護。
NIS2とDORA-クリティカル・セクターにおける強力なアクセス・コントロールを要求。
サイバー保険- ほとんどの保険がMFAを補償の対象としています。

MFAをユーザーエクスペリエンスに干渉しないようにするには、どのような方法があるだろうか？

IT部門は、MFAがユーザーに与える可能性のある摩擦を減らすために、いくつかのテクノロジーを利用することができる：

シングルサインオン。
アクセス要求のリスク評価
ユーザーに最適な認証タイプをマッチングします。

シングルサインオン（SSO）

つまり、ユーザは単一のクレデンシャルを入力し、その下のインフラストラクチャはそのセッションの間、ユーザに代わって保護された各リソースを認証します。SSOに対する最も安全なアプローチは、認証エンジンがSSO用にセットアップされた各リソースに対して一意の認証情報のセットを使用することです。これにより、セキュリティは高いレベルにまで高まります：

ユーザはリソースの実際のクレデンシャルを知らず、認証ゲートウェイに提供されたクレデンシャルを知るだけです。これにより、ユーザーはリソースに直接アクセスするのではなく、認証ゲートウェイを使用することになります。また、各リソースが固有のクレデンシャルを持つことも意味します。そのため、そのうちの1つのIDストアが侵害されても、他のストアが危険にさらされることはありません。このアプローチにより、IT部門は、保護されたリソースへの連続認証を実行しながら、MFA要件に準拠することができます。
ユーザーのコンテキストを活用することで、リスクベース（RBA）技術を使用して、必要なときだけMFAを呼び出すことができます。RBAは、政府からの指令に従うためであれ、組織のリスク管理ポリシーを実施するためであれ、認証要求がユーザーに課されるケースを減らすために使用できます。ポリシーは一般的に、場所、デバイス、アクセス時間の組み合わせです。

低摩擦認証オプション

従来のOTP/TOTPは、二要素認証の最も一般的なタイプであり続けるでしょうが、状況に応じてより理にかなった他のオプションがあるかもしれません。帯域外のプッシュ型モバイルアプリは、ユーザーが受諾ボタンを押すだけでよいため、OTPに代わる摩擦の少ないオプションを提供します。よりリスクの高い状況の場合、プッシュアプリの中には、本人の身元を確認するために指紋を要求したり、ユーザーがデスクトップとスマートフォンの両方を所持していることをさらに確認するために情報（デスクトップに提示された番号など）の確認を要求するように構成されているものもあります。

顔認証は、急速にバイオメトリクス認証の選択肢になりつつあります。Windows Helloの低摩擦性は、時間の経過とともに改善されると指摘し、便利なユーザーエクスペリエンスを提供します。最大の課題は、Windows Helloがさまざまな照明状況でうまく機能しないことです。照明の違いによる顔認識の失敗は、顔登録を追加することで対処できます。最近では、人の目の虹彩パターンを登録する機能を提供するモバイルアプリもあります。顔認証、指紋認証、虹彩認証などのバイオメトリクス認証を併用することで、セキュリティのハードルは高くなります。バイオメトリクス方式は、フィッシング攻撃から身を守るための摩擦の少ない方法を探している組織にとっても優れた選択肢です。

音声認識は金融サービス分野で人気を博している。顧客がサービス担当者と話す際に、完全に受動的であるため、各機関はこれを好んでいる。顧客の本人確認が完了すると、担当者に通知される。彼らは、チャレンジ・クエスチョンに対する正しい回答を覚えるのが難しい顧客に対して、チャレンジ・クエスチョンの代わりに音声認識を使用している。この場合、セキュリティと使い勝手が最適化される。

FIDO/FIDO2は、ユーザーが複数のデバイスをローミングする場合の魅力的なオプションです。FIDOが魅力的な認証オプションである理由のひとつは、幅広いベンダーのサポートと使いやすさに重点を置いていることです。FIDOは、さまざまなデジタルサービスを利用する多数の学生を扱う大学で、顕著な支持を得ています。FIDOは、異なるデバイスやプラットフォーム間でのパスワードレス認証のポータビリティを可能にします。

スマートフォンのジェスチャーのプロファイリングは、人がデバイスとどのように物理的に相互作用するかを分析する行動分析の一形態です。ヒューリスティックスを使用してジェスチャーのパターンを追跡し、そのパターンの一貫性に基づいて信頼スコアを生成します。より多くのデータが収集されるにつれて、システムはユーザー独自の行動を認識することに自信を持ち、ジェスチャープロファイルの精度（忠実度）を高めます。ジェスチャ・プロファイリングは、当初は本人確認の主要な方法として機能するほど強力ではありませんが、他の認証方法と組み合わせれば、補完的な要素として役立ちます。

オープンテキストの支援

OpenText™ Advanced Authenticationは、エンタープライズグレードのアイデンティティおよびアクセス管理ポートフォリオの一部です。など、MFAの柔軟な展開を可能にします：

パスワードレス認証とバイオメトリクス認証。
リスクに基づく、状況に応じたアクセス判断
ハイブリッドおよびマルチクラウド環境でのポリシー実施。
API、SDK、フェデレーション・プロトコル（SAML、OAuth、OIDC）による統合。

オープンテキストは、社内ユーザー、パートナー、コンシューマーのいずれに対しても、セキュアでコンプライアンスに準拠した拡張性の高い認証をエンタープライズ規模で提供します。

OpenText Advanced Authenticationと他のMFAソリューションとの違いは何ですか？

セキュリティ・チームは、採用する認証に付属するサポート・ソフトウェアを実装することがよくあります。これは、異なるソフトウェアの実装を必要とする異なるデバイスを購入し、さらに別のサイロを作成するまではうまく機能しているように見えます。大規模な組織では、多要素認証やその他の認証要件を満たすために、複数のパスワードレス技術がサイロ化されている可能性があります。この状況の弱点は、各認証サイロが独自のポリシー・セットを持つことです。このような複数のポリシー・ストアを常に最新の状態に保つには、管理上のオーバーヘッドが大きくなり、ポリシーにばらつきが生じるリスクが生じます。

OpenText Advanced Authenticationは、最大規模の組織でも多要素認証のニーズに対応できるように設計されています。その標準ベースのアプローチは、ベンダーロックインのリスクから解放されたオープンなアーキテクチャを提供します。このフレームワークは、さまざまなデバイスや、すぐに使える追加メソッドをサポートしていますが、新しいテクノロジーが市場に提供されるのに合わせて拡張することも可能です。

プラットフォーム（Web、モバイル、クライアント）に関係なく、OpenText Advanced Authentication は、最も一般的なプラットフォームとアプリケーションをすぐにサポートします。OpenText Advanced Authenticationは、全社的な認証のための中央ポリシーエンジンとしての役割を果たすだけでなく、リスクベースのエンジンも提供しており、MFAを呼び出すタイミングを制御したり、リスクレベルに応じて提供する認証タイプを制御したりすることができます。OpenText Advanced Authentication は、独自のビルトインエンジンだけでなく、OpenText Access Manager と統合して、アダプティブアクセス管理のユースケースの一部として使用できる、堅牢なシングルサインオンオプションとリスクメトリクスのセットを提供します。