バイセル Tech Blog

バイセル Tech Blogは株式会社BuySell Technologiesのエンジニア達が知見・発見を共有する技術ブログです。

バイセル Tech Blog

社内へ多要素認証(MFA)を導入推進した事の振り返り

はじめまして!

株式会社バイセルテクノロジーズ 情報システム部所属の戸澤と申します。

バイセルには去年の2月より参画しており、現在そろそろ在籍2年目になります。 前職から数えて情報システムに10年以上従事しておりますが、 SaaSはここ数年からやりはじめたので、日々勉強になることばかりです。

バイセルでの現在の主な業務はSlack運用、Entra IDなどのSaaS製品の導入、セキュリティ運用などなど。 広く業務にあたっています。

今回は自分が社内で多要素認証(MFA)を展開した時のお話を紹介します。

もしかしたら、多くの世の中の情報システムの方も同様のお悩みなどあるかもしれないと思い、書かせていただきました!

はじめに(導入までの経緯)

バイセルでは、リモートワークや一部拠点などからはPCに予めインストールされているVPNのアプリケーションを用いて、社内環境にアクセスする方式をとっております。

※VPNざっくり説明  社外環境(外部回線やリモートワークなど)でも自社の閉域網へアクセスできるようにするアプリケーション全般のこと

それらの方々を対象に11月にMicrosoftアカウントでのログインの際に多要素認証(MFA)を導入しました。

多要素認証(MFA)とは

特定のアプリケーションやオンラインアカウント、ブラウザ上で利用するSaaS製品などにアクセスをする前に、ユーザに2つ以上の認証要素の提供を求める認証方法です。 PCでログインをする時に、スマホにも認証を飛ばし、スマホ認証+パスワード認証でログインを許可する、などの仕組みです。 主には本人認証を強化する事が目的であり、なりすまし防止などにつながります。

こちらを導入した理由には、以下のようなものが挙げられます。

  • バイセル環境は現在Microsoftアカウントを用いて、様々なSaaS製品へのSSO(シングルサインオン)が出来るように処理をしており、良くも悪くも1つのアカウントへの依存が強くなっている状態であること。

  • 現状パスワードのみの環境というのは管理者目線でも流出リスクや取り扱いなどを考えた時に非常に不安が残るものであること。

  • 一部のSaaSではIPアドレス制御などの機能があるが、それもセキュリティ面では完璧ではないこと。

  • バイセルのサービスをご利用頂くお客様の顧客情報などの取り扱い方法の強化。 企業信頼を保つ意味でも、社員の個人認証強化は必須であると常々考えていた。

  • 自分の事になりますが、バイセルへ入社後すぐに、セキュリティ面での向上をもっと出来そうだなと感じ、 将来的なゼロトラストを含めた個人認証強化の施策の1つとして行いたいと考えていたこと。

上記のリスクなどを含めて、自分の上長に相談をしたところ、 入社したばかりでしたが、信頼して任せてもらえることになり、 まずは多要素認証への移行を推進することになりました。

MFA導入

まず導入にあたりいくつかAzureで構築し、連携をしなければならないものがありました。

  • SSPR(セルフパスワードリセット)を利用

  • MFAの認証方法の設定

  • MFAアプリケーションの選定

  • 設定のチューニング

  • 展開時での各部の調整

こちら少し長いですが、1つずつ解説をさせて頂きます。

SSPR(セルフパスワードリセット)を利用するかどうか

SSPRとは、 バイセル社員自身がログインせずにパスワードリセットを行えるようにする手法です。 こちらはSSPRとMFAの認証方法統合もあり、今回のタイミングで一緒に有効にしても良いかなと思いましたが、現状パスワードリセット自体のお問い合わせは非常に少ないため、今回一度に展開するのは一旦は無しとして、現状通りパスワードリセットや管理は管理者側が行う運用にすることにしています。

自社IP以外からのMSログイン時にMFAを求められる認証方法の設定(Entra ID設定方法記載あり)

こちらはEntraIDの条件付きアクセスを利用して行うようにしています。 ここからは自分が行った設定方法を記載します。 ※2024年1月時点の方法となります

EntraID(AzureAD)トップから→左のバーのセキュリティを選択

条件付きアクセスを選択

ネームドロケーションを選択

多要素認証の信頼済みIPを選択

trusted ips より まず自社のグローバルIPを登録します。 ※黒塗りの部分がそれになります

登録完了の図。

次にポリシーの名前を設定します。

Entra IDトップ→条件付きアクセス→新しいポリシーを作成するを選択

それぞれにポリシーを設定します

  • 割り当て → 展開したいグループ(予め作っておくと良いです

  • ターゲットリソース→すべてのクラウドアプリ

  • 条件→場所→対象外→多要素認証の信頼済みIPを登録

これらの設定は、要するに対象IPはMFAを求めないようにするものです。 指定IP以外からのアクセスは全てMFAを求めるようになります。

  • アクセス制御→許可

設定を有効にするを選択して、反映を完了させます。

MFA手段の選定

こちらはバイセルではMS公式のアプリケーションである 「Microsoft Authenticator」を選定しました。 理由としてはMSアカウント利用しているため、もっとも安定して利用できる製品であろうと判断したことと、 バイセルではMDM(モバイルデバイス管理)を導入しており、そちら経由で会社端末に配布するのも簡単に出来ると考えたためです。

設定のチューニング

多要素認証の記憶時間は7日間としました。 理由としては現状はバイセルでは多くがVPN及び閉域網環境であるということを鑑みて、 外部回線利用時の本人認証の強度を向上させる意味で、この設定としました。

展開時での各部の調整

こちらはバイセルの環境ではSlackをコミュニケーションツールとして利用しており、 そちらへの全体アナウンスを行ってからの展開としています。

苦労した点

利便性とセキュリティ面の両立を調整することは難しいものだと感じました。

自分は情報システム側の目線なので、利用する人の考えなどは一旦置いておいて、強硬的に強いセキュリティを作ることも出来るのですが、それは要望に答え業務を改善し続ける情報システムの理念からは離れてしまうと感じ、色々と模索をした形になりました。

また将来的にはバイセルではVPN脱却も検討しており、その環境を作る前段階準備ともなるものなので、MFAは非常に重要な作業であるとも考えておりました。 そのためバイセル社員の理解も念頭に置いて展開を進めたいとも考えておりました。 設定値を一緒に考えてくれて、また自由にやらせてくれた上長には非常に感謝しております。

良かった点

自分自身のスキルアップはもちろんではありますが、それ以外に非常に良かった点もありました。

前述と少し矛盾するのですが、 運用開始してみると意外なほど多要素認証を受け入れてくれる人が多かった点です。

やはり実際に動いてみるとあまり苦に感じない人が多いというのもあったかもしれません。 利便性とセキュリティのバランスはやはり重要だとは思いますが、思い切って実施に踏み込んでよかったかと思います。 またMFAを展開して、バイセル社員の中でも個人認証の強化の重要性に気が付いてくれた方々が居たのも非常に良かったかなと思います。

まとめ

以上が多要素認証導入の内容となります。 自分としては、今まであまり考えなかったセキュリティ強化の領域に対して、 ある程度自分で決める裁量をもらえたことで、自発的にそれらの領域を調べて動けたことが非常にためになりました。 任せてくれた上長には本当に感謝しております。

バイセルテクノロジーズでは、自分の成長と多くの事柄への挑戦が可能です。 挑戦し続けたい方を募集しております。 是非採用サイトをご覧ください!

herp.careers

最後まで読んで頂いて、ありがとうございました!