パスワードは煩雑で、MFAはフィッシング対策というよりは一時的な対策に過ぎず、証明書用の公開鍵基盤を独自に運用するのは非常に手間がかかります。長期的な目標は、フィッシングされないパスワードレス認証情報への移行です。
「パスワードは大きな問題です。使い勝手の面でも、管理の面でも大きな問題です」と、マイクロソフトのアイデンティティセキュリティ担当バイスプレジデント、アレックス・ワイナート氏はTechRepublicに語った。「パスワードを回避する方法は様々ありますが、昔ながらのやり方は、とにかくパスワードを設定し、それを別の方法でバックアップするというものです。」
残念ながら、ソーシャルエンジニアリングのせいで、このような方法は依然として安全ではありません。
「私たちはフィッシング耐性のある認証情報への移行を進めています。パスワードを別のものでバックアップすることの問題は、誰かがパスワードを推測した場合、もう一方の部分を承認するように誘導できることです」とワイナート氏は述べた。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
フィッシング耐性があるとみなされる 2 つの多要素認証オプションは、Windows Hello などの生体認証オプションが組み込まれた FIDO セキュリティ キーと、個人 ID 検証および共通アクセス カードです。
ジャンプ先:
- ADFS経由で証明書を更新するのは複雑でコストがかかる
- モバイル証明書とAzure AD
- 優れたセキュリティは生産性を向上させる
ADFS経由で証明書を更新するのは複雑でコストがかかる
皮肉なことに、規制の厳しい業界でセキュリティ意識の高い組織で、従来のゴールドスタンダード(セキュリティ証明書を保持し、社内の認証局で検証するスマートカード)の導入という骨の折れる作業を既に済ませている場合、新しいFIDOキーへの移行を試みる際に、ADFSを実行せざるを得なくなる可能性があります。これは特にBYODポリシーを採用している企業に当てはまります。
最近まで、Azure ADでPIVとCACを使用する唯一の方法は、独自のインフラストラクチャでADFSを実行し、証明機関と連携することでした。ADFSをSAMLトークンの署名サーバーとして使用するには、署名証明書の管理が必要になります。
「証明書の管理は難しく、安全に管理するのは非常に困難です。オンプレミスのインフラを守るのは非常に困難です」とワイナート氏は述べた。「もしそうするなら、多くのリソースを投入できるようにする必要があります。」
オンプレミスのインフラストラクチャは攻撃を受けやすい
すべての組織がこうしたリソースを利用できるわけではありません。アイデンティティ基盤をクラウドに移行しようとする動きの多くは、自社サーバー上でセキュリティを維持するのがいかに難しいかという点に起因しています。ワイナート氏は、最近のデータ侵害を例に挙げました。
「侵害はほぼ常にオンプレミスのインフラから発生します」と彼は述べた。「ほとんどの環境では、VPNへの侵入はそれほど難しくありません。なぜなら、その環境内のユーザーが1人でも不正なリンクをクリックしてマルウェアに感染すれば、VPN内部のコマンド&コントロールを掌握できるからです。そこから、証明書の検証や署名といった重要な処理を行っているサーバーへの横方向の移動は、比較的短時間で行えます。」
最近発生したある攻撃では、ADFSサーバーにシステムレベルのマルウェアが仕込まれ、組織がHSMを使用していたにもかかわらず、攻撃者はプロセスをラップして署名を傍受することができました。これは、ワイナート氏が「かなり高度な攻撃者」と呼ぶ攻撃者によって実行されました。
「彼らがそれをやった以上、誰もがそれを試すだろう」と彼は警告した。
モバイル証明書とAzure AD
Windows Hello、FIDOトークン、パスキーは、証明書インフラストラクチャを運用することなく、サーバーベースの認証と同等の強力な認証を実現します。ただし、一部の組織ではまだこの移行ができません。
「長期的な目標は、PKIを全く管理しなくて済むようにすることです。クラウドで管理する方がはるかに簡単で、セキュリティもはるかに高いからです」とワイナート氏は述べた。「独自のPKIを運用するのは、おそらく誰もが避けたいことだと思いますが、すぐに避けられる人はいないでしょう。」
Azure AD の証明書ベースの認証により、Azure AD にスマートカードのサポートが追加され、iOS および Android 上のネイティブアプリおよび Web ベースアプリに FIDO セキュリティ キーを使用してサインインする際に、フィッシング耐性のある MFA を要求するポリシーを設定できるようになりました。これは、最新バージョンの Microsoft 認証ライブラリを使用していないアプリにサインインする際に、YubiKey を使用する iOS および Android 上の Microsoft Authenticator アプリにも適用されます。
ハードウェアキーを使用すると、チームはリモートワーカー、BYOD、その他の管理対象外デバイスに証明書をプロビジョニングできます。準備ができるまで既存のインフラストラクチャを移行する必要はありません。また、証明書がセキュリティキーのハードウェア保護から外れることがないため、証明書が確実に保護されているという安心感も得られます。デバイス上で直接証明書をプロビジョニングする場合、デバイスのPINを信頼する必要があり、より厳格なPINポリシーを設定すると、ユーザーの生産性に大きな影響が出る可能性があります。
優れたセキュリティは生産性を向上させる
組織のセキュリティ強化に加え、従業員のエクスペリエンスも向上します。モバイルデバイスを頻繁に接続して最新の証明書を確認する必要がなくなるだけでなく、認証プロンプトが多すぎてMFA疲れに陥り、フィッシング攻撃の可能性があるものに「はい」をクリックするといったこともなくなるからです。スマートフォンやセキュリティキーで証明書を使用すれば、ユーザーにプロンプトを表示する必要は一切ありません。
ユーザーに1~2時間ごとにMFAでサインインするよう繰り返し促すことでセキュリティが向上すると考えている組織が多すぎる。しかし、それは逆効果だとワイナート氏は警告する。
「これは逆効果です。ユーザーをイライラさせるだけではありません」と彼は言った。「対話型のプロンプトをセキュリティ対策として使うことはもうできません。ユーザーはそれに「はい」と答えてしまうからです。」
彼はそれを強制的なパスワード変更に例えました。
「一見すると良いアイデアのように思えますが、実際には最悪のアイデアです」とワイナート氏は言います。「パスワードを変更しても、攻撃者が次のパスワードや現在のパスワードを推測しやすくなるだけです。なぜなら、人間のパスワードは予測可能だからです。」
ハードウェア キーは持ち運びにも便利です。誰かが新しい電話を入手した場合、または第一線の従業員が共有キオスクにサインオンしたり、毎日異なるデバイスを発行されたりした場合でも、トークンをすぐに使用できます。
モバイル Azure AD 証明書ベースのアクセスはパブリック プレビュー段階であり、当初は USB ポートに接続する YubiKey セキュリティ キーでのみ機能します。Microsoft は、NFC サポートと、より多くのハードウェア プロバイダーを追加することを計画しています。
これは、Azure AD の他の便利な機能強化にも合致するものです。Active Directory や ADFS へのアクセスをセキュリティ保護するために既に YubiKey を使用している場合は、セキュリティキーと同じ証明書を使用して、Azure Virtual Desktop などの Azure AD で保護されているリソースへの認証が可能になります。
これをAzure ADの新しいきめ細かな条件付きアクセスポリシーと組み合わせることで、アプリごとに必要なMFAのレベルを選択できます。これにより、すべてのアプリケーションにFIDOを許可する必要がなくなり、TOTPなどのオプションを使用してFIDOをサポートしていない可能性のあるレガシーアプリケーションへのアクセスを許可できるようになります。
これらは生産性とセキュリティの間で誤った選択を強いることのない選択肢だとワイナート氏は指摘する。
「組織として、あるいはユーザーとして、誰かの生産性を阻害すれば、その人は必ずセキュリティよりも生産性を優先するでしょう」と彼は述べた。「人々により良いセキュリティ対策を実践してもらいたいなら、安全なやり方を生産的なやり方に変えていく必要があります。」
