Windowsの2段階認証(2ファクタ認証)とは?
Windowsの2段階認証(2ファクタ認証)とは、エンドユーザーが、Active DirectoryのID・パスワード入力のほかに、異なる要素を持つセキュリティコードを組み合わせて認証を行うことで、2段階の本人確認を行い、不正アクセスを防止するための認証方法です。
Windowsにログインする際、Active DirectoryのID・パスワードを入力することで、ログインを行います。しかし、パスワードのみによるセキュリティ認証は、第三者による盗み見やハッキング、パスワードの総当たり攻撃を完全に防げるわけではありません。そこで、更なる2段階認証(2ファクタ認証)を取り入れることで、二重のセキュリティの仕組みを導入できます。
それでは、2段階認証を具体的に実装していくためには、どのようなツールが必要なのでしょうか?
2段階認証を実装するツールとは?
情報セキュリティの向上が叫ばれている昨今、2段階認証を実装するためのツールが、市場に多く販売されています。 多くのツールの中から、より自社・自組織に合うツールを選ぶためには、「2段階目の認証に、どの方法を採用するか?どの方法がより自組織の業務に合うか?」という視点が必要です。
たとえば、モバイル端末を活用する企業では、SMS認証の方が取り入れやすいこともあるでしょうし、Mobile Duoアプリの方が環境に適している場合もあります。また、2段階認証の実装だけではなく、ほかにもパスワードにまつわる機能を備えることで、追加のツールを導入することなく、必要なライセンス料金を最小限に抑えることが可能となります。
当社製品のADSelfService Plusは、2段階認証の実装にも対応する、Active Directoryアカウント管理セルフサービスソフトです。
パスワードのセルフリセットをサポートする機能に加え、合計14の方法により、2段階認証を追加できます。 もちろん、すべてのクライアントPCに2段階認証を加えるのではなく、クリティカルなサービスに権限を持つOU・メンバーシップに基づいて、2段階認証を設定するのも可能です。 以下に、ADSelfService Plusによる2段階認証機能を詳しくお伝えします。
セキュリティ侵略に対抗するための二重防壁
セキュリティ侵略は日に日に増加しており、ユーザー名とパスワードのみを利用してユーザーのアカウントの安全性を保つことはできなくなりつつあります。パスワードを強固にするだけでなく、より強力なソリューションによって、不正なユーザーを振るい落とすためのセキュリティを向上させる必要があります。二段階認証(TFA)—ユーザーの知っていることや持っているものによって、本人確認を行うプロセスです。
ADSelfService PlusでWindowsにログイン
ADSelfService Plus' Windows Logon TFA機能を有効化すると、ユーザーはWindows端末にアクセスするために、二段階の手順で本人確認をする必要があります。第一段階の認証は、Windowsの通常の資格情報です。第二段階の認証は、以下の方法があります。
詳しくはこちらをご覧ください。
- セキュリティ質問
- 認証コード
- Google Authenticator
- Microsoft Authenticator
- モバイルアプリ認証
- Duo Security
- RSA SecurID
- RADIUS認証
- SAML認証
- ADベースのセキュリティ質問
- プッシュ通知認証
- 指紋認証
- QRコード認証
- TOTP認証
Windows Logon TFAは、パスワードが漏洩した場合でも機密情報を保護します。不正なユーザーがユーザーのパスワードを知っても、ユーザーの電話やメールアドレスにアクセスして認証コードを知る必要があります。さらに、SMSおよびメールベースの認証コードや、Duo Security、RSA SecurIDなどの認証コードはユーザーごとに固有です。これらのコードは一度使用したり、一定時間が経過したりすると失効します。
Windows Logon TFAを有効化すると、Windowsのローカルおよびリモートログイン時にTFAが追加されます。
ADSelfService Plusは、Windows Logon TFAを以下のオペレーティングシステムでサポートしています:
- Windows Vista以降
- Windows Server 2008以降
仕組み
- ユーザーがWindows端末へのログインを試みるとき、本人確認をするためにActive Directoryのドメインの資格情報が必要です。
- 次に、ユーザーは、SMSまたはメールアドレスに送信された時間制限のある認証コード、またはサードパーティの認証プロバイダーを通じて本人確認を行う必要があります。
- これで、ユーザーはWindows端末に正常にログインすることができます。
利点
Windows Logon TFAでは、ADSelfService Plusが、ユーザーアカウントのセキュリティを向上させて、潜在的なセキュリティ上の脅威に対抗できるようにします。ドメイン内の全ユーザーがWindows Logon TFAを利用する必要はないことが多いため、ADSelfService Plusは、TFAをドメイン、OU、グループメンバーシップに基づいて設定する機能も提供しています。
以下はwindowsログインTFAを示します。
主な機能
シングルサインオンでの単一アイデンティティ
ワンクリックで100以上のクラウドアプリケーションにシームレスにアクセスできます。エンタープライズシングルサインオンを使用すると、ユーザーはActive Directoryの資格情報ですべてのクラウドアプリケーションにアクセスできます。ADSelfService Plus へようこそ!
パスワード/アカウント期限通知
Active Directoryユーザーに対して、差し迫ったパスワード・アカウントの有効期限通知を送信することができます。
パスワード同期
Office 365、G Suite、IBM iSeriesなど、Windows Active Directoryのユーザーパスワード/アカウントの変更を複数のシステムに自動的に同期できます。
パスワードポリシーの強化
ADSelfService Plusを使用してさまざまなハッキングの脅威に対抗する強力なユーザーパスワードの設定を確保することが可能です。パスワードの複雑さ要件が明確に表示されることにより、Active Directoryユーザーは準拠するパスワードを作成することができます。
ディレクトリの自主更新と社員検索
Active Directoryユーザーが最新情報を更新できるようにするポータルと、検索対象の人物の連絡先番号などの検索キーを使用して、同僚に関する情報を検索するためのクイック検索機能です。
