在宅勤務を行う上で重要なセキュリティ対策。

独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威 2020」では、組織における脅威として「不注意による情報漏えい（規則は遵守）」「インターネット上のサービスからの個人情報の窃取」などをあげています。

【出典】IPA 情報セキュリティ10大脅威 2020

一昨年から不正アクセス被害の報道が相次いでいます。
警察庁が公開している「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、平成30年と比較して令和2年は約1.9倍もの不正アクセスがありました。

【出典】不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

在宅勤務の普及などでクラウドサービスを使用する機会の多い昨今、IDやパスワードの漏洩や不正アクセスに対する対策は必須です。

今回は対策の１つとして考えられる「多要素認証（MFA）」と「シングルサインオン（SSO）」をとりあげます。

• 多要素認証とは
• 多要素認証、二要素認証、二段階認証？？
• 在宅勤務で多要素認証が必要とされる理由
• シングルサインオンのデメリット
• シングルサインオンに対応したコールセンターシステム
  • Genesys Cloud
  • Bright Pattern Contact Center
• まとめ

多要素認証とは

多要素認証（MFA：Multi-Factor Authentication）とは、クラウドサービスなどの各種サービスへログインする際、ユーザー本人が持つ情報のうち2つ以上の要素によって認証する方法です。 認証には以下の3要素があります。

• 「知識情報」ユーザー本人のみが知っている情報　ID・パスワードや事前に秘密の質問など
• 「所持情報」ユーザー本人のみが所持している情報　ワンタイムパスワードやICカードなど
• 「生体情報」ユーザー本人の身体的特徴　指紋や顔など

身近な例では銀行のATMでお金をおろす場面があげられます。
お金をおろす際にキャッシュカード（所持情報）と暗証番号（知識情報）が必要ですが、これはまさに多要素認証を行っていることになります。

多要素認証、二要素認証、二段階認証？？

多要素認証と似た「二要素認証」「二段階認証」という言葉を聞いたことはありませんか。
昨年、電子決済サービスを悪用した大規模な不正出金問題で被害を受けた銀行の多くが、多要素認証を導入していなかったことが話題となりました。
その頃から「二要素認証」「二段階認証」という言葉も頻繁に聞かれるようになりました。

• 「二要素認証」2つの要素を使った認証のことで多要素認証の1つです。
• 「二段階認証」認証のステップを2回経て認証しますが使用する要素の数は問いません。

二段階認証の具体的な例では ID・パスワード（知識情報）でログインした後で秘密の質問（知識情報）を入力するパターンです。
この方式では認証の段階を2つ踏むため「二段階認証」ですが、要素は知識情報だけ（1種類）しか使用していないため「二要素認証」には該当しません。

在宅勤務で多要素認証が必要とされる理由

総務省が公開している「テレワークセキュリティガイドライン」では、パソコンなどの端末利用時は多要素認証などでセキュリティ強化することを推奨しています。

オフィス内での勤務とは異なり、テレワーク環境は人によってまちまちです。
端末の紛失などによる情報漏洩リスクを少しでも下げるために多要素認証は有効な手段と言えます。

いくら社員に気を付けるよう注意しても人である限り「うっかり」紛失してしまう可能性は0にはできません。
万が一が起きた場合のリスクを最小限にするためには「人に頼らない仕組み」が必要ではないでしょうか。

「セキュリティ強化のために多要素認証が必要なのはわかるけど、複数のサービスを使っているから多要素での認証は面倒…」と感じることはありませんか？

しかもパスワードはセキュリティ強化のため複雑で一定の文字数以上の設定を求められることが多いです。

パスワードをメモして見えやすいところに貼ったりして、逆にそちらの方がリスクになってしまう…では本末転倒ですよね。

上記の課題はシングルサインオン（SSO：Single Sign On）と多要素認証を組み合わせることで解決できます。

シングルサインオンとはID・パスワードによる認証を1度行うだけで複数のサービスにログインできる仕組みのことです。

入力が1回で済むのであれば複雑なパスワードを設定しても管理ができそうですね。
シングルサインオンと多要素認証の組み合わせでセキュリティを強化する効果も期待できます。

シングルサインオンのデメリット

便利なシングルサインオンですがデメリットもあります。
お気づきの方も多いと思いますが、ID・パスワード入力が1回で済むと言うことは、万が一情報が漏洩した場合1つのサービスではなく複数のサービスに被害が拡大する可能性があると言うことです。
上記のリスクを避けるためには多要素認証との組み合わせが有効です。

その他にも以下のデメリットが考えられます。

• 導入に費用がかかる
• シングルサインオンに連携できないサービスがある

シングルサインオンの導入が必要かどうかは使用しているサービスの種類や数、会社の規模などにより異なりますから、自社の状況をしっかりと把握した上で判断してくださいね。

シングルサインオンに対応したコールセンターシステム

シングルサインオンに対応したコールセンターシステムを以下にご紹介します。 コールセンターシステム選びの参考にしていただけると幸いです。

• Genesys Cloud

  シームレスなオール・イン・ワンのコールセンターソリューション。

www.genesys.com

• Bright Pattern Contact Center

  エンタープライズ向けのオールインワン・クラウド型コンタクトセンターソフトウェア。

brightpattern.cba-japan.com

まとめ

感染症対策・PCP対策として有効な在宅勤務。
セキュリティ対策を講じる事は雇用する側、雇用される側双方が安心して仕事に取組むための重要なポイントです。
セキュリティ対策は手間や費用がかかる一方でそれ自体が利益を生むものではないため後回しになりがちですが、手遅れにならないうちにぜひ対策を！