あらゆる場所でのMFA: 多様な業界を保護するためのカスタマイズされた戦略 (2024/10/10)

https://blogs.oracle.com/cloud-infrastructure/post/mfa-everywhere-tailored-strategies

投稿者：Pavana Jain | Vice President, Product Management

現在、進化する脅威環境において、エンタープライズ・デジタル資産へのアクセスを保護することは、かつてないほど重要です。既存および新しいグローバル規制により、これらの脅威に対処するための推奨技術として、多要素認証(MFA)の導入が義務付けられています。MFAは、デジタル資産のドアに複数のロックをかけるため、強力な防御策ですが、さまざまな業界のさまざまなビジネスニーズには、万能のアプローチでは不十分です。高等教育から銀行、医療、製造、小売まで、各セクターは、セキュリティとユーザビリティのバランスをとる、カスタマイズされたMFA戦略を必要としています。このブログ投稿では、特定の業界要件に合わせてMFAを調整し、効率を損なうことなく堅牢な保護を促進する方法を探ります。

図1: MFAの取込みジャーニー

MFAのベストプラクティス

MFAアプローチでは、認証プロセスを効率的かつユーザーフレンドリに保ちながら、強力なセキュリティ原則を適用する必要があります。残高を維持するには、次の主なベスト・プラクティスを考慮してください。

• リスク・レベルの評価: MFAファクタをリソースの機密性と照合します。デジタル資産へのリスクの高いアクセスには、より強力な要素を使用します。
• 摩擦の最小化: ユーザーに便利なMFAメソッドを選択します。
• 柔軟性の提供: 複数の認証オプションを提供して、ユーザーは自分のプリファレンスや状況に合った方法を選択できます。
• 適応認証の使用: 要因に基づいて調整し、ステップごとに自動的に増加するコンテキスト対応MFAを実装して、異常が検出された場合のみ、より厳密な対策を実施します。
• ポリシーの定期的な更新: 脅威の進化に伴ってMFAポリシーを継続的に評価および改善し、ユーザー・エクスペリエンスを妨げることなく堅牢なセキュリティを提供します。

図2: コード変更ゼロでMFAをどこにでも実装

MFAのベスト・プラクティスは一般的ですが、各業界には、業務、規制要件およびリスク・プロファイルによって形作られた独自のビジネス・ニーズがあります。たとえば、金融サービスは機密性の高い財務データを保護するために厳格なセキュリティを要求し、医療は医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠して患者情報を保護し、高等教育は家族教育権とプライバシーに関する法律(FERPA)に準拠して学業記録を保護する必要があります。

情報セキュリティの標準

小売業者は、カートの放棄を防ぐためにスムーズなユーザー・エクスペリエンスを優先し、政府機関は機密情報と重要なインフラストラクチャの保護に重点を置いています。また、組織は、コストとリスク保証のレベルにより、特定のMFAソリューションを考慮して異なります。たとえば、教育機関では、プッシュ通知やSMSワンタイム・パスワードなどのモバイル・デバイスベースの検証によって、ハードウェアに依存する特殊な方法ではなく、よりコスト効率の高いMFA形式が提供されます。

しかし、本質的に高いリスクに直面している政府機関は、スマートカード、生体認証スキャナー、ハードウェア依存MFAの導入を非常に重視している可能性があります。こうした個別の要件により、カスタマイズされたセキュリティ上の課題やコンプライアンス要件に対応する業界固有のMFAソリューションの必要性が高まります。

Omdiaの2024年意思決定者調査で、エンタープライズITの意思決定者は、「どのパスワードレス認証技術を使用しているか、使用する予定ですか?」と尋ねられました。Omdiaのシニアアナリスト、Don Tait氏は、以下の回答を発表しています。

「パスワードなし認証の技術的優先事項は、業種間で特に異なる傾向があることが判明しました。たとえば、政府部門内で最も一般的な反応は、OTPトークン(回答者の60%)、生体認証(40%)、行動パターン(40%)でした。小売および電子商取引業界では、生体認証(67%)とOTPトークン(67%)が最も人気のある認証技術でした。エネルギーなどの重要なインフラでは、強力な認証が必要であり、バイオメトリクス(50%)、スマートカード(50%)、トークン(50%)などのテクノロジーが、回答者が言及した最も人気がありました。

お客様およびパートナのフィードバックに基づいて、業種ごとにカスタマイズされたMFAベスト・プラクティスを紹介します。これらの提案は、各業界固有の課題と運用要件に合わせて、ユーザビリティを維持しながらセキュリティを強化することを目的としています。

• 政府機関: リモート・デスクトップまたは機密データベースにアクセスする政府職員は、スマート・カードおよび指紋を使用できますが、内部通信ツールでは、パスワードとワンタイム・パスワード(OTP)のみが必要な場合があります。ベスト・プラクティスとして、機密情報または機密情報を処理するシステムに対して、ハードウェア・トークンや生体認証などのより強力なMFAメジャーを実装します。Eメール・データベースや非クリティカル・データベースなどの低リスク・タスクにアダプティブ認証を使用し、異常なアクティビティに対してのみより厳密なチェックをトリガーします。
• 小売: 新しい場所からオンラインストアにログインしている顧客は、OTPで身元を確認する必要があり、使い慣れたデバイスを使用しているリピート顧客はパスワードのみでログインできます。カート放棄を減らすために、SMSまたは電子メールによって配信されるパスワードやOTPなど、顧客向けの使いやすいMFAに焦点を当てます。適応型MFAを使用して、異常なショッピング・パターンや新しいデバイスからのログインを検出し、必要に応じて追加の検証を促します。
• ヘルスケア: 患者記録にアクセスする医師は、生体認証とハードウェアトークンを使用し、テスト結果にアクセスする患者は電子メールベースのOTPとパスワードを使用します。ベスト・プラクティスとして、指紋や顔認識などの生体認証やヘルスケア・プロバイダのハードウェア・トークンを使用して、電子健康記録(EHR)にアクセスするための厳格なMFA対策を実施します。患者ポータルの場合、パスワードやSMS OTPなどの柔軟なオプションを提供して、アクセスのしやすさを損なうことなくセキュリティを維持します。
• 教育: 学習管理システムにアクセスする学生はパスワードのみを必要とし、財務管理者は支払を処理するためにパスワードと指紋を使用して認証する必要があります。ベストプラクティスとして、学生とスタッフが学習プラットフォームにアクセスするための適応型MFAを使用します。給与計算や学生記録などの機密データを扱う管理スタッフは、パスワードやプッシュ通知、生体認証などのより強力なMFA方法を適用します。
• エネルギー: パワーグリッドにリモートでアクセスするエンジニアは、パスワード、スマートカード、および位置情報検証を組み合わせて使用し、指定されたエリア内にいることを確認します。ベスト・プラクティスとして、特にオペレーショナル・テクノロジ(OT)システムへのリモート・アクセスのために、スマート・カード、ハードウェア・トークン、生体認証などの強力なMFAで重要なインフラストラクチャを保護します。現場作業者に位置情報ベースのMFAを使用し、物理的な場所に基づいて重要なシステムへのアクセスを制限します。
• 通信: 機密性の高い請求情報にアクセスするカスタマー・サービス担当者は生体認証を使用し、アカウント情報を更新する顧客はパスワード+ SMS OTPを使用します。顧客アカウントへの管理アクセスには、リスク(例: 異常なログイン場所)に基づいてエスカレートする適応型MFAを使用します。機密データにアクセスするスタッフに生体認証またはスマート・トークンを使用し、顧客はパスワード+OTPでアカウント管理を認証できます。
• 輸送: 航空会社の従業員がフライト・コントロール・システムにアクセスすると、顔認識とスマート・カードを使用する一方で、フィールド技術者が予期しない場所から輸送ネットワークにログインすると、追加のOTP課題が発生します。ベスト・プラクティスとして、空港や輸送ハブなどのオンサイト・システムにはロケーションベースのMFAを実装し、重要なシステムにアクセスするスタッフには生体認証MFAを実装します。適応型MFAは、現場作業者が業務データにアクセスし、新しいデバイスや馴染みのない場所からログインする際のさらなる検証を促します。
• 銀行振込: 顧客口座にアクセスする銀行伝票ではスマート・カードおよび生体認証が使用される場合がありますが、大規模または国際的な送金を行う顧客は、OTPまたはモバイル・アプリのプッシュ通知で確認する必要がある場合があります。ベスト・プラクティスとして、トランザクション処理やリスク管理などのコア・システムにアクセスする従業員向けに、ハードウェア・トークン、スマート・カード、生体認証などの高保証MFAを導入します。お客様には、トランザクション・サイズまたはアクセス・デバイスに基づく適応型MFAと、SMS OTPやプッシュ通知などの便利な検証方法の組合せを使用してください。
• 金融サービス: 取引プラットフォームにログインする金融アドバイザーは、パスワードと顔認証を使用して認証し、投資ポートフォリオを管理するクライアントは、パスワードとプッシュ通知を電話で使用します。ベストプラクティスとして、機密性の高いクライアント・データを処理し、取引を実行するためのアドバイザーやブローカー向けに、生体認証やハードウェア・トークンなどの強力なMFAを採用してください。クライアントにアダプティブ認証を使用し、価値の高いトランザクションや異常なデバイスや場所からのアクセスにより高いセキュリティ要因にエスカレーションします。
• 製造: 工場のオペレーショナル・テクノロジー(OT)システムにアクセスするエンジニアは、スマート・カードと指紋スキャンを使用して認証される場合がありますが、同じシステムにリモートでアクセスしようとする請負業者は、位置情報に基づいて制限され、より多くのOTP検証が必要になります。スマート・カードやハードウェア・トークンなどの所有ベースのMFAと生体認証を使用して、OTシステムや知的財産などの機密データへのアクセスを保護します。フィールド作業者および請負業者の場合は、位置情報ベースのMFAを使用して、認可された物理的な場所からのリモート・アクセスのみを付与します。

Oracleがどのように役立つか

堅牢な保護とユーザーの利便性およびビジネス継続性のバランスをとるには、各業界の特定の要求に合わせてMFAを調整することが不可欠です。Oracle Access Managementは、任意のデバイスから任意の場所に接続する任意のユーザーを拡張する堅牢なMFAによって、お客様がこの目標を達成できるよう支援します。マイクロサービスで拡張されたOracle Access Managementは、リスク対応のMFAを提供し、Oracle Universal AuthenticatorマイクロサービスでデバイスレベルのSSOとMFAを提供するようになりました。Oracle Access Managementは、Oracle Cloud Infrastructure(OCI)またはオンプレミス・データ・センターにイメージとしてデプロイできます。このサービスにより、組織は既存のエンタープライズ・プラットフォームへのアクセスを柔軟に制御し、クラウドへの移行をサポートできるようになります。Oracle Access Managementは、2024 Gartner PeerのInsightsTM Customers' Choice for Access Managementとしても認められています。

また、MFAを使用して、OCI Identity and Access Management (IAM)でOCIテナンシを保護することもできます。実際、OCI IAM上のすべての新しいクラウド・テナンシは、クラウド管理者向けにデフォルトでMFAを有効にして作成されます。Oracle CloudコンソールからすべてのFusion CloudユーザーにMFAを適用することで、Fusion Cloud Applicationsを保護することもできます。

まとめ

MFAの実装は、各業界の個別のニーズに慎重に適応する必要があります。万能のアプローチは、潜在的なセキュリティのギャップ、ユーザー摩擦の増加、非効率につながる可能性があります。さまざまな分野の独自の要件と課題を理解することで、組織はセキュリティを強化するだけでなく、コンプライアンスと運用効率の達成をサポートするMFAソリューションを導入できます。