Embedded Files
多要素認証に関する解説集
目次
目次
多要素認証導入の必要性
多要素認証導入の必要性
近年、オンラインで利用可能なサービスの増加・多様化に伴い、それらを狙った詐欺などの犯罪も組織化が進み、ID・パスワードを不正入手する手口が高度化・巧妙化しています。
例えば、数年前のフィッシングメールは文面を読めば明らかに内容がおかしいと判断できるものが大半でしたが、近年のフィッシングメールは、実際にやり取りしていたメールの返信を装って送られて来るなど、騙すための事前の調査や準備が周到になっており、注意深く読んでいても不正なメールであることを見抜くのが難しくなっています。フィッシングサイトも、本物のサイトとそっくりに作られるようになり、本物と見分けるのが難しく、誤ってIDとパスワードを入力してしまう危険性が高まっています。
コンピュータウィルスに感染させようとする手口も巧妙化していますし、コンピュータウィルス自体も単に業務を妨害するだけでなく、詐欺など金銭目当てが明確となり、検出されずに目的が果たせるよう高度化してきています。
世界中の様々なサービスで、ID・パスワードなどの大量流出事故も続いています。このように流出してしまったものと同じIDやメールアドレスと、パスワードの組で他のサービスを利用していると(いわゆる「パスワードの使い回し」)、不正ログインされる危険性は非常に高くなります。
このように、ID・パスワードが流出してしまう危険性は年々高まっています。
学内のITサービスに目を移すと、2006年に統合認証基盤が立ち上がり、2020年では150を超える学内のシステムと連携しています。そして、それぞれのITサービスには、ますます重要な情報が蓄積されるようになってきています。一組のID・パスワードだけで様々なサービス、重要な情報にアクセスできるようになり、便利になった反面、もしID・パスワードが流出してしまった場合の被害は極めて大きくなっています。
このように、パスワード流出の危険性が上がっている点と、不正ログインを受けた場合の影響が大きくなってきていることから、その対策として、より安全確実な認証方法が求められています。
京都大学で導入する多要素認証
京都大学で導入する多要素認証
今回、京都大学において利用する「多要素認証」は2つの要素を組み合わせる「2要素認証」です。1要素目として従来のIDとパスワードを入力し、2要素目としてワンタイムパスワードを入力します。
メールOTP
メールOTP
メールによって通知されるワンタイムパスワードです。8桁の数字で24時間以内に一度だけ利用することができます。利用者があらかじめ登録したメールアドレスに通知されることにより、利用者本人であることを確認します。このため、あらかじめ登録するメールアドレスは、本人しか読むことができないものである必要があります。有効期間内で未使用のワンタイムパスワードが複数ある場合は、最新のもののみが有効となります。
京都大学の全学アカウントにおける2要素認証では、まずこの「メールOTP」を設定しておくことで、TOTP等の他の方式を設定した端末の機種変更等の際にも自力で再設定からやりなおすことができるよう備えておくことを推奨します。
TOTP
TOTP
2要素目のワンタイムパスワードとしては、30秒ごとに変化する6桁の数字を用いる「TOTP」 (Time-based One-time Password、タイムペースのワンタイムパスワード)を利用します。この6桁の数字は、利用者ごとに異なります。
TOTPを取得するためには、利用者ごとに初期設定を行ったTOTP表示アプリを利用します。TOTP表示アプリとしては、次のものが無料で利用できます。なお、これらは厳密には時間と利用者ごとに異なる「種」を用いてTOTPを計算する「計算機」なので、表示アプリのダウンロードや初期設定が完了した後の利用の際には通信は発生しません。
スマートフォン(Android、iPhone)のアプリ版
Webブラウザ(Chrome、Firefox、Edge (Chromium版)) に組み込むプラグイン版
京都大学の全学アカウントにおける2要素認証では、標準的な利用方法としてこの「TOTP」の利用を推奨します。
メールOTPとTOTP以外の方法
メールOTPとTOTP以外の方法
上述の他に、次の方法にも対応しています。
FIDO/Passkey
それぞれについて設定をした場合、2要素目として、いずれか一つを選んでログインすることができます。設定を行ったスマホやパソコンを家に忘れてきたり故障して使えなくなったときに、ログインできなくなって困ることがないように、FIDO/Passkeyは複数の端末を同時に登録することが可能です。
2要素目による認証を必要とする場合・必要としない場合
2要素目による認証を必要とする場合・必要としない場合
原則として、アクセス元が学内か学外かにかかわらず、2要素目の入力が必要です。
一斉に多要素認証に切り替えると大きな混乱が生じる可能性があることから、多要素認証への切替は順次進めていきます。従って、サービスごとに、2要素目が必要かどうかが異なります。
2要素目による認証の有効期間
2要素目による認証の有効期間
多要素認証によってログインする際に、「このブラウザを信頼する 」にチェックを入れると、7日間に限り2要素目の入力を省略することができます(この期間は変更される可能性があります)。1要素目であるパスワードによる認証は省略されません。
ブラウザ単位での認証となるので、同一端末であっても種類の違うブラウザでは、2要素目の入力が必要です。
共有端末など、他人が利用する可能性があるブラウザでは「このブラウザを信頼する 」にチェックは入れないでください。
設定方法の詳細
設定方法の詳細
初期設定と利用方法の詳細については① 初回設定に掲載のマニュアルを参照してください。
万一、2要素目の入力ができずログインできなくなって困った場合は、情報環境機構の支援センターにて対応いたします。
メール通知ワンタイムパスワード解説
メール通知ワンタイムパスワード解説
メールによって通知されるワンタイムパスワードです。8桁の数字で24時間以内に一度だけ利用することができます。
ログインの際にメールによるワンタイムパスワードの送信を依頼することにより、あらかじめ指定しておいたメールアドレスにワンタイムパスワードが届きます。
ログイン画面で繰り返してワンタイムパスワードの送信を要求すると、その度に異なる数字のワンタイムパスワードが届きます。最も新しいワンタイムパスワードのみが有効となります。短時間に何度も送信依頼をすると、どれが最新かわからなくなりますので注意してください。
プッシュ通知型で受信することができる携帯電話のキャリアメールを送信先として設定しておくと便利かもしれません(受信制限設定に注意)。
ワンタイムパスワードの送り先となるメールアドレスに、全学教職員アカウントの多要素認証が必要なシステムのメールアドレスを指定すると、ログインできずワンタイムパスワードが記載されたメールを読むことができませんので、メールアドレスを指定する際には注意してください。(学生用メール(KUMOI)・教職員用メール(KUMail)・@ms.c.kyoto-u.ac.jp)のメールアドレスは指定できないようになっています。)
ワンタイムパスワードが届くメールサーバが不正アクセスに遭わないように、そちらのパスワード管理などのセキュリティ対策もしっかりと行うようにお願いします。
TOTP(タイムベース・ワンタイムパスワード)解説
TOTP(タイムベース・ワンタイムパスワード)解説
TOTPを用いた多要素認証では、初期設定を行ったTOTP表示アプリに表示された30秒ごとに変化する6桁の数字を2要素目として入力することで認証を行います。
TOTP表示アプリとしては、ソフトウェアで提供されているブラウザプラグインやスマートフォンアプリがあります。Google Authenticatorをはじめとして、多くのものが無料で提供されています。
6桁の数字が利用者ごとに異なるようにするため、利用者ごとにTOTP表示アプリに対する初期設定が必要となります。
初期設定の際のQRコードが、利用者ごとに異なる「秘密のシード(種)」となります。TOTP表示アプリは、時間と「秘密のシード(種)」を用いて、利用者ごとに異なる6桁の数字を計算します。
認証サーバとTOTP表示アプリとの間でTOTPの計算の元となる「秘密のシード(種)」を共有します。認証サーバとTOTP表示アプリで、同じ時間に同じ「秘密のシード(種)」で計算すると同じ数字となり、認証されるようになります。
初期設定をやりなおすと、「秘密のシード(種)」が変更されてしまうため、前回に初期設定を行ったTOTP表示アプリで表示される数字が使えなくなることに注意してください。
設定済みの「秘密のシード(種)」を他のTOTP表示アプリにコピーすることで、TOTP表示アプリを増やすことができます。必要な端末にコピーして増やしておきます。(※)
従って、多要素認証において2要素目の入力を求められたときに、身近に自分用に設定済みのTOTP表示アプリうちの一つがあれば、TOTPの6桁の数字を得ることができます。
ブラウザからのログインの際に、そのブラウザ自体にプラグインがインストールされている必要はありません(他のブラウザのプラグインで表示させたものも利用できます。)。
TOTP表示アプリは計算を行うだけですので、通信は発生しません。
有効な「秘密のシード」や計算結果の6桁の数字は、他人に教えてしまわないよう注意してください。
TOTP表示アプリを設定した端末の紛失・盗難に注意してください。画面ロックの設定を行うなど対策をとってください。また、紛失・盗難の際は、すみやかにTOTPの初期設定を初期化し、無効化してください。
FIDO・パスキー解説
FIDO・パスキー解説
FIDO (ファイド)とは、Fast IDentity Online(素早いオンライン認証) の略で、主として指紋認証や顔認証をはじめとする生体認証を統一的に扱えるように考案された規格です。パスキーは、FIDOの認証技術を利用者に使いやすい形で展開している仕組みです。
指紋や顔を認識するための生体情報は、FIDO・パスキーに対応したスマートフォン等の端末の中にのみ保存されるため、生体情報自体を認証サーバと共有する必要がない仕組みとなっていることが特徴です。
京都大学で導入する多要素認証では、FIDO2/WebAuthnと呼ばれる規格に対応している認証器(端末)であれば利用することができます。
多要素認証の初期設定では、複数のFIDOの認証器を登録することができます。すでに登録済みの認証器を再度登録しようとすると、登録済みというメッセージが表示されます。
多要素認証の2要素目としてFIDO認証を選択した場合、複数登録したFIDO認証器のうちいずれか一つで認証を行うことによって、ログインすることができます。
FIDO認証器の登録は個別に削除できます。
FIDO認証器の紛失・盗難には注意してください。例えば、YubiKeyを認証器として登録している場合、指紋認証ではないため(タップするだけ)、簡単になりすましができてしまいます。紛失・盗難の際には、FIDO認証器の登録削除を行って、初期設定をやりなおしてください。
なお、FIDO2/WebAuthn対応として提供されている認証器には様々なものがあるため、全ての認証器について動作確認がとれているわけではありません。中には不具合があるものが存在している可能性がありますので、利用できない可能性があることを踏まえた上で試して頂きますようお願いします。情報環境機構としては、できる限り情報提供をしたいと考えていますが、このような状況にあることから、FIDO・パスキーに対するお問い合わせには当面の間応じられませんので、ご了承頂きますようお願い致します。
Page updated
Report abuse