二要素認証！ID/パスワード＆メール通知のパスコード認証を実装しよう～Assure MFA～

■多要素認証は、不正アクセスやデータ漏洩防止のための重要な手段

---

昨今、インターネットを利用したサービスやオンライン取引が急速に拡大する中、多要素認証が不可欠なセキュリティ手段として注目されています。一般的なパスワード(知識情報)での認証だけではなく、所持情報や生体情報を掛け合わせることで、不正アクセスやデータ漏洩を防ぐといった強力な手法です。

堅牢なシステムであるIBM iですが、社内でのパスワード使いまわし等、ID/パスワードの適切な運用管理がなされていない環境では、不正ログインから情報漏洩につながりかねません。多要素認証は、こういったインシデントやアクシデントを防ぐ有効な手段です。

この記事では、IBM iのための多要素認証ツール『Assure MFA』を使った二要素認証の例をご紹介します。

■『Assure MFA』は別サーバー不要、IBM i上に導入可能な多要素認証ツール！

---

Assure MFAは、IBM i上で多要素認証を可能にするツールです。別途認証サーバーの準備やアプリの改修は不要で、簡単にIBM i上に導入できます。このツールには以下の認証機能が搭載されています。

【Assure MFAの認証機能】
　①　パスコードのメール通知  ：メールアドレスに送信されたPINコードを使用した認証
　②　パスコードのPopUp通知：PC端末上のアプリケーションに表示されるPINコードを使用した認証
　③　秘密の質問への回答    ：事前に設定した秘密の質問に回答することで認証
　④　Radiusサーバー連携   ：Radiusサーバーで管理されるパスワードを使用した認証

今回は、「① パスコードのメール通知」による認証について詳しく見ていきましょう。

■パスコードのメール通知による二要素認証を実装、設定は3ステップ！

---

通常のサインオンに、パスコードのメール通知を組み合わせた二要素認証の設定はたったの3ステップです。 下記の例をもとに、設定を行い、実際にサインオンした際の動きを確認してみましょう。

【実装例】ユーザー「SANWA」に二要素認証の制御をかける
　①　MFAユーザー登録
　②　認証ルールの設定・有効化
　③　ユーザープロファイルの現行ライブラリ・初期プログラム変更

①　MFAユーザー登録

---

Assure MFAのメニューより、ユーザー「SANWA」をMFA User Profilesに登録します。
ユーザー「SANWA」がサインオンした際に、パスコードを通知するメールアドレスもこちらで登録します。

②　認証ルールの設定・有効化

---

Assure MFAのメニューより、認証ルールを設定し、有効化します。
今回は「パスコードをメール通知する」ルールに、ユーザー「SANWA」を登録します。

③　ユーザープロファイルの現行ライブラリ・初期プログラム変更

---

MFAユーザーとして登録するユーザー「SANWA」の現行ライブラリと初期プログラムを変更します。

これで設定は完了です。それでは、実際にユーザー「SANWA」でサインオンしてみましょう。

【結果】

---

【二要素認証のサインオン成功の場合】

このように、通常のサインオン後に、メールで届くパスコードを入力し、二要素での認証が行われました！

【二要素認証のサインオン失敗の場合】

このように、パスコード無しにはサインオンすることができませんでした。

AssureMFAによる認証履歴は、全てAssureMFAのログに書き込まれるため、ユーザーアクセスの監視にも役立ちます。
IBM iの多要素認証にご興味があれば、ぜひお気軽にお問い合わせください！