マルチファクター認証の詳細
マルチファクター認証 (MFA) は、ユーザーに基本認証情報以外の情報の提供を要求する認証方法です。
MFA は、ユーザーがサービスまたはアカウントにアクセスするために 2 つ以上の異なる検証要素を提供することを要求するセキュリティプロセスです。これにより、パスワードだけでなく、サービスに保護のセキュリティレイヤーが追加され、権限のない個人がアクセスすることが困難になります。
MFA は、複数の要素を必要とすることでセキュリティを大幅に強化し、フィッシングや個人情報の盗難などのさまざまなサイバー脅威から保護するのに役立ちます。MFA の仕組みに関するインサイトを次に示します。
- 第 1 要素:ユーザー名とパスワードを使用してログインするユーザー。
- 第 2 要素:ユーザーは、ユーザーに関する第 2 要素 (認証アプリやセキュリティキーなどの本人確認方法) の入力を求められます。
さらに、これらの要因は、通常、一般的なセキュリティの脅威に対する保護レベルに基づいて、セキュリティで保護されたものと保護されていないものに分類できます。
- 担保付き要素:
- FIDO(Fast Identity Online):この要素は、ハードウェアトークンまたは生体認証方法を使用し、ユーザーがIDを確認するための物理デバイスまたは一意の生体認証特性を持っていることを確認することで、高レベルのセキュリティを提供します。
- TOTP (Time-Based One-time Password): このファクターは、短期間 (通常は 30 秒) 有効なワンタイムパスワードを生成します。通常、モバイルアプリを介して配信され、ユーザーに特定のデバイスとアプリへのアクセスを要求することで、セキュリティのレイヤーが追加されます。
- 安全性の低い要因:
- 電子メール: この要素は、ユーザーのメールアドレスに検証コードまたはリンクを送信します。便利ですが、メールアカウントが侵害される可能性があるため、安全性は低くなります。
- SMS: この要素は、ユーザーの電話番号にテキストメッセージで検証コードを送信します。また、SIMスワップやその他の携帯電話の脆弱性の可能性があるため、安全性も低下します。
セキュリティを強化するには、メールやSMSなどの安全性の低い要素よりも、FIDOやTOTPなどの安全な要素の使用を優先することをお勧めします。
注:
- ServiceNow では、MFA はデフォルトでアクティブ化されています。
- MFA は、 glide.authenticate.multifactor プロパティを使用して有効にします。このプロパティを無効にする場合は、MFA を無効にするビジネス上の根拠を提供する必要があります。
ServiceNowの MFA は、認証アプリ、Fast IDentity Online 2 (FIDO2)、パスキー、時間ベースのワンタイムパスワード (OTP) などの検証方法をサポートしています。利用可能な検証方法の詳細は次のとおりです。
- 認証アプリ: 一意の一時的な確認コードを生成するアプリ。例:Okta、Google Authenticator、Microsoft Authenticator など
- FIDO2: 公開キー暗号化を使用してユーザー ID を検証する物理デバイス。例:ハードウェアキー(YubiKey)、生体認証スキャナー(AppleのTouch ID)。
- パスキー:生体認証センサー、PIN、またはパターンを使用してデバイスのロックを解除し、パスキーを使用してログインします。
- OTP:短時間のみ有効な一意のパスワードを生成するための秘密キーと現在時刻。例:SMS (OTP) とメール (OTP)。
MFA は、以下と併用できます。
- ローカルデータベース認証 (ネイティブ ServiceNow 認証) または ライトウェイトディレクトリアクセスプロトコル統合
- SSO、SAML、または SSO OIDC。詳細については、「複数プロバイダーのシングルサインオン (SSO)」を参照してください。