GLOSSARYAzure用語集

サイバー攻撃の脅威が増すなか、サイバーセキュリティ強化を余儀なくされています。特にクラウドサービスはログイン画面に誰もが容易にアクセスできてしまうため、より意識的にセキュリティ対策を行う必要があります。このようななか、IDやパスワード認証だけでなく、さらに複数の認証を追加してセキュリティを強化する「多要素認証」が注目されています。今回は、多要素認証とは何か、そしてMicrosoft Azureで多要素認証を提供する「AzureAD」をご紹介します。

1．多要素認証とは

多要素認証（MFA：Multi Factor Authentication）とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することです。

知識情報：パスワード、PIN（Personal Identification Number：個人識別番号）コード、秘密の質問等
所持情報：ICカード、携帯電話、ハードウェアトークン、セキュリティキー等
生体情報：指紋、静脈、顔、声紋、虹彩等

例えば、ID・パスワードで認証した後に、ユーザーが持っている携帯電話にパスコードをショートメッセージで送り、そのパスコードを入力することで初めて認証ができるというものです。指紋などを用いた生体認証と組み合わせることもあります。

また、銀行ATMでお金を下ろす際に必要なキャッシュカードと暗証番号の組み合わせも多要素認証の一つです。

パスワードは、同じものを複数サービスで使い回すケースが多いことから、IDとパスワードのみの認証では、不正ログインをはじめとしたサイバー攻撃のリスクは大きいものです。多要素認証であれば、万が一IDとパスワードが漏えいしても、他の要素がなければログイン不可能であるため、セキュリティを高めることができます。

2．AzureADの多要素認証

クラウドサービスであるAzureにおいては、Azure portalをはじめとした、その他のさまざまな SaaSアプリケーションなどの外部リソースにアクセスする際に、多要素認証を行うことができるサービスがあります。それが「AzureAD（Azure Active Directory）」と呼ばれるID管理・アクセス管理サービスです。

AzureADでは、SMSや電話、生体認証、ワンタイム パスコードなどの複数の方法を組み合わせて多要素認証が可能です。

●Azure ADの多要素認証の種類

Azure ADで多要素認証は、Azure管理者用、Office365、Azure Multi-Factor Authenticationの3通りで行えます。このうち、Azure Multi-Factor Authenticationではすべてのユーザーが、多要素認証の機能を使用できます。どのような種類が利用できるのかご紹介します。

・Windows Hello for Business

パスワードを、PINや生体認証に置き換えてサインインできる機能です。

・Microsoft Authenticatorアプリ

Android／iOS用のアプリであり、アカウントを紐づけることで、アプリからPINや生体認証を用いてサインインできます。

・FIDO2 セキュリティキー

USBデバイスやBluetooth、無線通信にセキュリティキーを組み込むことで認証する方法です。

・OATH

1回限りのパスワード（ワンタイムパスワード）を生成し、認証する方法です。

・SMS/音声

電話番号を入力した後、テキストメッセージや音声によって認証コードを受け取り、認証する方法です。

・パスワード

パスワード認証は、従来から長く用いられている、IDとパスワードによる認証です。

3．多要素認証の設定方法

Azure ADの多要素認証を設定するためには、次の手順で行います。

1.管理者が多要素認証を有効化するユーザーを設定する

まず管理者が、MFAを有効化するユーザーを選んで設定する必要があります。Azure portalの管理画面から［ユーザー］→［すべてのユーザー］を選択し、画面上部の［Multi-Factor Authentication］をクリックすると新しいタブが開き、多要素認証ページが表示されます。
そこで多要素認証を有効にするユーザーを選び、［有効にする］を選択します。
有効化の確認画面が出てきたら、「Multi-Factor authを有効にする」を選択します。

2.ユーザーが認証方法を設定する

1の工程で管理者によって多要素認証が有効化されたユーザーがAzure portalにログインすると、2要素目を設定する画面が表示されます。この画面で、電話やモバイルアプリなど、ユーザー自身に最適な方法を選択します。
コードの送信方法についても、テキストメッセージや電話での受け取りなど、最適なものを選択できます。

電話を選んだ場合は、電話番号を入力します。そして電話に、指定した受け取り方法で認証コードが届きます。そしてその認証コードを、表示される画面に入力して設定します。一度登録しておけば、ログイン時に同じように認証コードが電話に届きますので、その都度、2段階のログインができます。

4．まとめ

近年は、クラウドサービスを狙ったサイバー攻撃が深刻化しています。多要素認証は、クラウドサービス利用においてセキュリティを守る重要な役割を果たします。AzureADを活用して、強固なセキュリティ体制を整えましょう。

AzureADの利用方法や多要素認証の設定方法、Azure全般についてのお困りごとがございましたら、Azureの導入から 活用まですべてサポートしておりますAzure相談センターへお気軽にご相談ください。