Akamai MFA

2FAは、厳密に2つの認証ファクターを必要とします。MFAは、2つ以上の認証ファクターを必要とします。厳密にはすべての2FAがMFAの一部に含まれますが、MFAはより柔軟で強固なセキュリティを提供します。リスクやユーザーの役割、コンテキスト（状況）に応じて、最適な認証ファクターを組み合わせることが可能だからです。

SSOにより、ユーザーは1回のログインですべてのアプリケーションにアクセスできるようになります。MFAは、本人確認のための検証レイヤーを追加し、正当な利用者であることを確実に証明します。これらはそれぞれ異なる課題を解決するものであり、多くの組織では両方を組み合わせて運用しています。利便性のSSO、安全性のMFA。

Akamai MFAはFIDO2規格を中心に構築された完全な多要素認証ソリューションです。同じレベルのアクセス管理を実現するためには、組織はまず多要素認証ソリューションを展開し、FIDO2ハードウェア・セキュリティ・キーを購入、配布、管理する必要があり、コストと運用の複雑さが大幅に増大します。ハードウェア・セキュリティ・キーは、キーを紛失したり忘れたりした場合にエンドユーザー体験の悪化につながることがよくあります。また、その際にはITヘルプデスクへの余計な問い合わせが必要になり、ユーザーの生産性が低下します。

Akamai MFAは、ハードウェア・セキュリティ・キーやスマートカードを使用するコストや複雑さを排除しながら、FIDO2ベースの多要素認証のすべての利点を実現します。スマートフォンアプリケーションにより、快適でフリクションレスな（手間をかけない）ユーザー体験を提供します。

FIDO2規格はFIDO Allianceによって開発された認証方式であり、WebAuthn（W3C）とCTAP（FIDO Alliance）の2つのコンポーネントが含まれています。FIDO2の主な機能は次のとおりです。

• 秘密鍵と公開鍵のペアに基づいた認証情報。
• 共有秘密はありません。秘密鍵はFIDO2オーセンティケーターによって生成され、オーセンティケーターのセキュアなハードウェアに格納されます。この秘密鍵をエクスポートしたり改ざんしたりすることはできません。登録時にサーバー側（Webサイト）に送信されるのは公開鍵だけです。
• 認証チャレンジがユーザーエージェント（ブラウザー）に配信され、エージェントがチャレンジに関するコンテキストを追加し、アタッチされたFIDO2オーセンティケーターに配信します。そして、FIDO2オーセンティケーターが中間のマシンを検知できるようにします。
• プラットフォームオーセンティケーター（プラットフォームに関連付けられ、そのデバイスでのみ使用可能）とローミングオーセンティケーター（どのデバイスでも使用可能）の両方に対応しています。
  

Akamai MFAは、物理的なセキュリティキー形式の標準的なプラットフォームオーセンティケーター（Microsoft、Appleなどから）とローミングオーセンティケーターをサポートします。Akamaiの差別化要因は、Akamai MFAモバイルアプリによってスマートフォンをローミングFIDO2オーセンティケーター（FIDO2スマートフォン用セキュリティキー）に変えることです。この機能には次の利点があります。

• 物理的なFIDO2セキュリティキーのコストをかけずにFIDO2セキュリティを確立します
• スマートフォンに表示される使いやすいプッシュ通知により、快適なエンドユーザー体験を実現します
• サポートする認証サービスは1つだけであり、WindowsとAppleのオペレーティングシステム向けに別々の認証サービスがあるわけではないため、管理作業が最小限に抑えられます

Akamai MFAソリューションは、FIDO2ベースの認証要素を使用してエンドユーザーのログインが正当であることを検証することにより、従業員アカウントの乗っ取りを防止します。ワンタイムパスワード、パスコード、SMS、時間ベースのワンタイムパスワード、プッシュ通知などの従来の認証要素には、攻撃者が従業員アカウントの乗っ取りのために悪用できる弱点があります。FIDO2ベースの認証要素にはそのような弱点はなく、SIMハイジャック、Machine-In-the-Middleリプレイ、プッシュ疲労、その他の攻撃方法に耐性があります。FIDO2認証要素に生体認証要素を追加することで、アクセス管理をさらに強化することができます。

Akamai MFAは、あらゆるユースケースをサポートするためにさまざまな認証要素を提供しています。アイデンティティ検証に必要な認証要素を選択できます。例えば、FIDO2スマートフォン用セキュリティキー、その他のFIDO2オーセンティケーター、標準プッシュ、時間ベースのワンタイムパスワード、ワンタイムパスワード、SMSなどに対応しています。認証プロセスのセキュリティをさらに強化するために、FIDO2スマートフォン用セキュリティキーや標準プッシュ要素に加えて、顔認証などの生体認証要素を使用するようにサービスを設定できます。

サイバー攻撃は多くの場合、アイデンティティ管理とアクセス管理を標的として開始されます。一般的なアプローチの1つは、従業員に偽の企業ログインページを送信する高度なフィッシングメールを使用することです。このようなフィッシングメールは多くの場合、ソーシャルエンジニアリングの手法（IT担当者を装って従業員に電話をかけるなど）で増幅されます。次に、脅威アクターは収集したユーザー認証情報を使用して、実際の企業ログインページにログインします。標準のプッシュ多要素認証を使用している場合、従業員はプッシュ通知を受け取ります。この通知を承認すると、脅威アクターがアクセスしてしまいます。

Akamai MFAはFIDO2認証規格に基づいています。つまり、脅威アクターが従業員のログイン認証情報を取得した場合でも、従業員はFIDO2プッシュ通知を受信しません。そのため、脅威アクターは侵害されたユーザー認証情報を使用してユーザーアクセスを行うことはできません。

はい、Akamai MFAを使用して多要素認証ソリューションを提供し、VPNの認証ポリシーのセキュリティを強化できます。PacketFence Gatewayは、環境にインストールすることでVPNサーバーと他のネットワークデバイスを統合できるソフトウェアコンポーネントです。この統合では、プライマリ認証にRADIUS（Remote Authentication Dial-In User Service）、LDAP（Lightweight Directory Access Protocol）、またはMicrosoft AD（Microsoft Active Directory）を使用し、セカンダリ認証にAkamai MFAサービスを使用します。Akamai MFAとPacketFence Gatewayを統合することで、VPNサーバーやその他のネットワーク要素（ファイアウォールや企業ネットワークなど）を使用しているオフプレミスのユーザー間の安全な通信を確立できます。

多要素認証と2要素認証の主な違いは、認証に必要な要素の数です。2要素認証では2つの要素（ユーザー名とパスワードなど）が使用されます。多要素認証は3つ以上の要素（ユーザー名、パスワード、ワンタイムパスワードなど）を使用し、より高いレベルの安全なアクセスを実現します。