- 2024-03-06
二要素認証!ID/パスワード&メール通知のパスコード認証を実装しよう~Assure MFA~
■多要素認証は、不正アクセスやデータ漏洩防止のための重要な手段
昨今、インターネットを利用したサービスやオンライン取引が急速に拡大する中、多要素認証が不可欠なセキュリティ手段として注目されています。一般的なパスワード(知識情報)での認証だけではなく、所持情報や生体情報を掛け合わせることで、不正アクセスやデータ漏洩を防ぐといった強力な手法です。
堅牢なシステムであるIBM iですが、社内でのパスワード使いまわし等、ID/パスワードの適切な運用管理がなされていない環境では、不正ログインから情報漏洩につながりかねません。多要素認証は、こういったインシデントやアクシデントを防ぐ有効な手段です。
この記事では、IBM iのための多要素認証ツール『Assure MFA』を使った二要素認証の例をご紹介します。
■『Assure MFA』は別サーバー不要、IBM i上に導入可能な多要素認証ツール!
Assure MFAは、IBM i上で多要素認証を可能にするツールです。別途認証サーバーの準備やアプリの改修は不要で、簡単にIBM i上に導入できます。このツールには以下の認証機能が搭載されています。
【Assure MFAの認証機能】
① パスコードのメール通知 :メールアドレスに送信されたPINコードを使用した認証
② パスコードのPopUp通知:PC端末上のアプリケーションに表示されるPINコードを使用した認証
③ 秘密の質問への回答 :事前に設定した秘密の質問に回答することで認証
④ Radiusサーバー連携 :Radiusサーバーで管理されるパスワードを使用した認証
今回は、「① パスコードのメール通知」による認証について詳しく見ていきましょう。
■パスコードのメール通知による二要素認証を実装、設定は3ステップ!
通常のサインオンに、パスコードのメール通知を組み合わせた二要素認証の設定はたったの3ステップです。 下記の例をもとに、設定を行い、実際にサインオンした際の動きを確認してみましょう。
【実装例】ユーザー「SANWA」に二要素認証の制御をかける
① MFAユーザー登録
② 認証ルールの設定・有効化
③ ユーザープロファイルの現行ライブラリ・初期プログラム変更
① MFAユーザー登録
Assure MFAのメニューより、ユーザー「SANWA」をMFA User Profilesに登録します。
ユーザー「SANWA」がサインオンした際に、パスコードを通知するメールアドレスもこちらで登録します。
② 認証ルールの設定・有効化
Assure MFAのメニューより、認証ルールを設定し、有効化します。
今回は「パスコードをメール通知する」ルールに、ユーザー「SANWA」を登録します。
③ ユーザープロファイルの現行ライブラリ・初期プログラム変更
MFAユーザーとして登録するユーザー「SANWA」の現行ライブラリと初期プログラムを変更します。
これで設定は完了です。それでは、実際にユーザー「SANWA」でサインオンしてみましょう。
【結果】
【二要素認証のサインオン成功の場合】
このように、通常のサインオン後に、メールで届くパスコードを入力し、二要素での認証が行われました!
【二要素認証のサインオン失敗の場合】
このように、パスコード無しにはサインオンすることができませんでした。
AssureMFAによる認証履歴は、全てAssureMFAのログに書き込まれるため、ユーザーアクセスの監視にも役立ちます。
IBM iの多要素認証にご興味があれば、ぜひお気軽にお問い合わせください!