一連の大規模なハッキング事件の後、Twitterは先週、ついにGoogleやFacebookに追随し、二要素認証を導入しました。この新しいセキュリティツールを利用するユーザーは、Twitterにログインするたびに、携帯電話に送信されるテキストメッセージで受信したコードを入力する必要があります。
Twitterがアカウント所有者に2要素認証を提供するという決定は朗報だ。特にここ数カ月で一連の報道機関やジープ、バーガーキングなどの大手ブランドがハッキング被害に遭っていることを考えると朗報だが、著名人のアカウントの乗っ取りを防ぐにはそれだけでは不十分だと警告する専門家もいる。
第一に、この新しいセキュリティオプションは、多くのスタッフが単一のTwitterアカウントに投稿する組織には役立たない可能性が高い。当然のことながら、全員が同じ携帯電話を使用しているわけではない。また、中間者攻撃(ユーザーが偽のTwitterログインページに誘導され、ログイン情報と6桁の2段階認証パスワードを入力し、悪意のある人物がアカウントにアクセスできるようにする攻撃)からもユーザーを保護することはできない。
ブランドにとって、Twitterアカウントのハッキングは壊滅的な打撃となり得ます。アカウントを閉鎖し、ハッカーの支配から解放するには多額の費用がかかるだけでなく、顧客関係や評判管理上の懸念も考慮しなければなりません。4月にAP通信のアカウントがハッキングされ、ハッカーがホワイトハウスの爆発についてツイートしたように、株価が暴落する可能性もあります。
幸いなことに、携帯電話に送信されるSMSコードは、ブランドを保護するための二要素認証の唯一の方法ではありません。他に検討すべき3つの優れた選択肢をご紹介します。
ハードウェアトークン:YubiKey
スウェーデン系アメリカ人企業Yubico社が製造するYubiKeyは、USBスティックのような小型ハードウェアで、顧客や従業員がコンピュータのUSBポートに差し込みます。ユーザーがウェブサイトやシステムにログインするたびに、YubiKeyのボタンを押してワンタイムパスワードを生成する必要があります。このパスワードは、ログインしたユーザーが本人であることを証明します。Yubico社は、近距離無線通信(NFC)に対応したYubiKey NEOも製造しており、NFC対応モバイルデバイスのセキュリティを確保するために、非接触通信を可能にします。
Google、Microsoft、米国国防総省、トルコ政府など、数多くの有名企業が従業員、ユーザー、顧客にYubiKeyを導入しています。YubicoはOneLoginやClavidといった複数のシングルサインオンサービスとも提携しており、Adobe、Salesforce、LinkedInなど、数多くのサービスでYubiKeyを利用できるようにしています。また、LastPass、PasswordSafe、Passpackといったパスワードマネージャーとも連携しています。実際、Yubicoによると、このハードウェアトークンは120カ国で100万人以上のユーザーが利用しているとのこと。
「YubiKeyのサポートを追加したいサービスプロバイダーは、OATH(オープン認証規格)、当社の無料オープンソースサーバーコンポーネント、またはホスティングサービスであるYubiCloudのいずれかを選択できます」と、YubicoのCEO、スティナ・エーレンスヴァルド氏は述べています。「シンプルなWeb APIを使えば、YubiCloudの統合は約20分で完了します。YubiCloudは、YubicoのWebストアで購入したYubiKeyとすぐに連携します。」
Yubicoのハードウェア、ソフトウェア、サービスを利用するユーザー数が最大5,000人の企業の場合、YubiKey 1個あたり年間13ドル、つまり5年間で約31万8000ドルの費用がかかります。Ehrensvard氏によると、小規模企業向けには、YubiKey 50個入りのトレイをYubicoのウェブストアから購入することも可能です。これは750ドルの1回限りの費用で、YubiCloudの無料版または無料のオープンソースソフトウェアで利用できます。
エーレンズヴァルド氏は、自社がグーグルや他のIT大手と協力し、新しいオープン認証規格の開発に取り組んでいると述べた。「この規格は2014年に発表される予定で、当社のプレミアムYubiKeyであるYubiKey NEOは、グーグルのサービスやその他のクラウドサービスや金融サービスですぐに使用できるようになります。」
ユーザーの電話の場所: Toopher
Toopherの二要素認証ソリューションは、わずか数行のコードで企業のウェブサイトにインストールでき、ユーザーのスマートフォン上のアプリを通じて機能します。ユーザーがサイトにログインしようとすると、ソフトウェアはユーザーが使用しているコンピューターとスマートフォンの物理的な場所を検出し、本人確認を行います。
Toopherアプリをインストールした後、ユーザーはアプリをWebサービスと連携させます。ユーザーが新しい場所から初めてサイトにログインしようとする際は、アプリを通じて許可を与える必要があります。特定の場所からの最初のログイン以降は、自動的に許可を与えるように設定できます。これにより、アプリはバックグラウンドで実行され、ユーザーには見えない形で動作します。この点において、Twitter、Google、Facebookなどが採用しているSMSベースの2要素認証とは異なります。これらの認証では、ログインするたびにコードの入力が必要です。
Toopher の CEO である Josh Alexander 氏は、この面倒さにより Twitter の新しい 2 要素認証オプションの採用率は低いままであると主張している。「ログインのような任意の操作をするたびに、毎回ポケットから携帯電話を取り出さなければならないのは、あまりにも面倒です。」
Toopherは、ユーザー数が50人以下の企業には無料でご利用いただけます。社内導入の場合、ユーザー1人あたり月額2.50ドルという高額になることもありますが、数千人のユーザーを抱えるサイトや企業の場合は、ユーザー1人あたり月額数セントという低価格でご利用いただけます。
二要素認証ソリューションのスマートな補完
カリフォルニア州レッドウッドシティに拠点を置く Impermium は、2 要素認証プロバイダーではありませんが、独自の統計モデルと機械学習モデルを使用して脅威情報とリスクベースの認証を提供し、アカウントの乗っ取りから Web サイトと個々のユーザーを保護します。
同社は、元ヤフーメールのゼネラルマネージャーだったマーク・リッシャー氏によって2010年に設立され、CNN、Pinterest、Typepad、Tumblrなど約50万社の企業を顧客として獲得している。
その魅力とは?Impermiumは、ソーシャルメディアの利用状況を含め、多数のサイトにおけるユーザーの行動を監視しているため、サイトにログインしようとしているユーザーが不正行為のパターンを持っているのか、それとも善良な行動のパターンを持っているのかを判断できます。こうして、攻撃の試みが起こる可能性を予測できるのです。つまり、Impermiumは、ユーザーが使用しているデバイス、ネットワーク、物理的な所在地、そしてサイトにログインしようとしているユーザーのソーシャルレピュテーションなどを調べ、オンライン領域全体におけるユーザー行動の逸脱を察知するのです。
Impermium は、サービスとしてのソフトウェア プラットフォームのビジネス ユーザー向けの製品と、企業の Web サイトを保護する製品の 2 つの製品を提供しています。
前者は「Accountability」と呼ばれる新しいサービスで、Twitter、Salesforce、Box、Facebook、Marketoのアカウントを監視し、疑わしいアクティビティを検知するとユーザーにメールまたはテキストメッセージでアラートを送信します。現在、ベータサービスは無料でご利用いただけます。
Impermium の 2 番目の製品である CloudSentry は、Web ホスト型アプリケーションが疑わしい動作を識別するのに役立ちます。
「このシステムはサイトのログインフローに統合され、誰かが接続しようとしている状況を分析します」とリシャー氏は語る。「つまり、いつも使っているiPadから(いつもの都市から)ログインしている場合は、低リスクのシナリオなので、そのように判断します。一方、インドネシアのサイバーカフェから誰かがあなたの認証情報を使ってログインしている場合は、高リスクのシナリオなので、より高いリスク評価を与え、アカウントの一時停止、権限の制限、あるいはToopherのような二次認証の要求といったことを(クライアントに)提案します。」
Risher 氏は、Impermium が提供するサービスを、家の玄関の鍵を補強する警報システムに例え、その意味では 2 要素認証ソリューションを補完する重要なものであると述べています。
「YubiKeyとToopherはどちらも玄関ドアを強化する製品として高く評価されています。しかし、サイトやアプリケーションにはインテリジェンスが必要です。たとえ誰かが鍵を持っていたとしても、入室を許可するべきかどうかを判断できるリアルタイムのリスク分析が必要なのです。」
