多要素認証を導入しただけで満足していませんか？ 認証が回避される4ケースを紹介

多様な働き方に対応した認証基盤の構築に向け、多くの企業で多要素認証の導入が進んでいる。だがこれを“導入するだけ”では不完全だ。イスラエルのセキュリティ企業が認証を回避する4つのケースを解説する。

[宮田健，ITmedia]

　テレワークをはじめとした場所を選ばない働き方を実現する上で、デバイスの認証やID管理の問題は避けては通れない。多くの企業がこれに向け、自社で利用するSaaSのログイン時に多要素認証やシングルサインオン（SSO）を実装するが、これらの導入だけで「万全な認証基盤を構築できた」と考えるのは危険かもしれない。

　イスラエルのセキュリティベンダーCyberArkの日本法人であるCyberArk Softwareは2021年10月8日、同社が「レッドチーム演習」を通じて得た「多要素認証を回避する最新攻撃手法」を紹介するオンラインイベントを開催した。同イベントでは、CyberArk Softwareのシャイ・ナハリ氏（Red Team Services　バイスプレジデント）が多要素認証を回避する4つの攻撃手法を語った。

併せて読みたい関連記事

• SaaS利用時に注意すべき3つのセキュリティ課題とは――ガートナーが提言
• 日本企業のゼロトラスト導入「予定なし」が3割　グローバルと大きな溝――Okta調査
• 多要素認証を回避する攻撃を確認、CISAが報告

多要素認証の“落とし穴”　認証を回避される4つのケースとは？

CyberArk Software　シャイ・ナハリ氏

　まずはナハリ氏が率いるレッドチームの役割を解説する。社内システムの脆弱（ぜいじゃく）性を評価する仕組みにはレッドチーム演習以外にも、脆弱性を評価し、検知して攻撃対象領域を把握する「脆弱性管理」や、一定の領域の脆弱性にフォーカスし、そこに攻撃が仕掛けられたときにどうなるかをデモを含めて検証する「ペネトレーションテスト」などがある。