Blog

フィッシング対抗の多要素認証 AKAMAI MFA

Written by

Tomoaki Suzuki

May 27, 2021

※ このBlog 記事は2021.3.17に執筆されたAkamai Blog 記事を翻訳した内容を元に作成しています。

アカマイは、スマートフォンを利用したモバイルプッシュ型でFIDO2をベースとした多要素認証(MFA)サービスであるAkamai MFA を発表しました。

[背景]

従業員がアプリケーションまたはサービスにアクセスするためにログインするとき、それが攻撃者ではなく従業員であることを確認(認証)する必要があります。
MFAは、その確実性を高めるためにログイン認証を追加します。例として、ユーザー名とパスワードに加えて、携帯電話のテキストメッセージやワンタイムパスワード(OTP)などの追加要素を使用します。理論的には、適切な従業員だけがその2番目の要求を受け取ることができるため、攻撃者が従業員のログイン資格情報を取得した場合に、MFAは不正なアクセス要求をブロックする必要があります。

MFAがアカウント乗っ取りのリスクを減らすのに非常に効果的であることは間違いありません。

ただし、昨今MFAをバイパスできることが明らかになりました。

2020年に発生した著名人のTwitterアカウント乗っ取り事件をまとめた「Twitter Investigation Report」によれば、

フィッシングサイトを利用した中間者攻撃によって、スマートフォン認証が突破されています。

MFA is critical, but not all MFA methods are created equal. Twitter used application-based MFA, which sent a request for authentication to an employee's smart phone. This is a common form of MFA, but it can be circumvented. During the Twitter Hack, the Hackers got past MFA by convincing the Twitter employees to authenticate the application-based MFA during the login.

このレポートに見られるように、MFAはセキュリティ上の時間稼ぎに過ぎない可能性があります。最近のAkamai Blogが示すように、MFAをバイパスすることは可能です。

これらの背景を踏まえ、Akamai MFAを発表しました。これは、組織が従業員アカウントの乗っ取りのリスクを軽減し、ゼロトラストの原則の1つである、決して信頼せず、常に検証することを支援するためです。

[FIDO2ベースのMFA]
FIDO2は、最高レベルのMFAセキュリティを提供する一連の業界標準です。これは、W3Cによって開発されたWebAuthn仕様と、FIDO Allianceによって開発されたClient Authenticator Protocol(CTAP)仕様の2つの主要コンポーネントで構成されています。これら2つの仕様を組合せると、すべてのWebサイトで一意であり、ユーザーのデバイスから離れることがなく、サーバーに保存されることのない暗号化されたログイン資格情報が作成されます。
FIDO2ベースのMFAを取得するには、組織はMFAサービスを展開する際に物理的なセキュリティキーの購入、配布、および管理する必要があります。これにより、コストと運用の複雑さが大幅に増加します。また、物理的なセキュリティキーのもう1つの課題は、ユーザーエクスペリエンスが理想的とは言えないことです。キーを紛失したり忘れたりし、つまりはITヘルプデスクへの新たな体制が必要となります。テレワークで業務を継続することが増えた昨今これは非常に大きな問題です。

[Akamai MFA]
Akamai MFAは、従業員向けの新しいMFAサービスです。Akamai FIDO2ベースのMFAのすべての利点を提供しますが、物理的なセキュリティキーのコストと複雑さを伴わず、スマートフォンアプリケーションを通じて快適なユーザーエクスペリエンスを提供します。
最も重要なのは、アカマイのPhish-Proof Push(フィッシング対抗プッシュ通知)は、従業員が攻撃者による偽のプッシュ通知を受信するリスクを排除するように設計されています。従業員がAkamai MFAから安全なプッシュ通知を受け取った場合、クリックして受け入れると、それが本物であると確信できます。

Akamai MFAは、Enterprise Application Access (EAA) を含む市場をリードするIdPソリューションと統合し、お客様がシングルサインオンのユースケースのセキュリティを最大化できるようにします。さらに、UNIXおよびWindows RDPサーバーと統合して、MFAをセキュアシェルおよびリモートデスクトッププロトコルの認証に利用できます。グローバルなアカマイのエッジプラットフォーム上に構築されたAkamai MFAは、いつでもどこでも従業員を保護するために必要なスケールと信頼性を提供します。

Akamai MFA でサポートしているIdP は下記になります。

・Akamai EAA
・Microsoft AD FS
・Okta
・Shibboleth

Akamai MFAの60日間の無料トライアルにぜひサインアップください。Akamai MFAがどのようにお客様のMFA戦略の変革に活用されるか、またその他MFAの詳細をご確認いただけます。

Akamai MFA 60日間無料トライアル



Written by

Tomoaki Suzuki

May 27, 2021