少し前に社内で新しいシステムが導入されて、
それのログインをするのに、なぜか社内でもリモートアクセス用の2要素認証が求められるという。
これだけでも「えっ」という感じなのだけど、さらにSMS認証や電話認証の場合は認証をパスしないのだという。
あくまでもリモートアクセス用の認証手段なわけであって、
社内で使うことは想定されていないと思っていたし、ここ以外ではそういう要求はない。
ただ、うちの職場について言えば、リモートアクセスの設定をしていない人は皆無なので、
2要素認証というだけならばなんとかなったはずである。
問題はその2要素認証の手段に制約があることである。
内線電話を使ったSMS認証を利用している人は多かった。
会社貸与の端末で対応できる認証手段としてはもっともシンプルだからである。
ただ、これだと新しいシステムへのログインに使えないということになった。
許されるのはスマートフォンアプリを使った認証方法のみである。TOTPを入力すると。
とはいえ、会社からスマートフォンが付与されているならともかく、
うちの職場では内線電話のみの付与なわけで、私物のスマートフォンを使わなければ対応できない。
私物を使ってもよいというルールはあるが、私物で対応しなければならないルールもない。
こういう場合どうするのかという話だが、申請をして専用のパスワードを使った認証にするそうだ。
ただし、その場合は社内でしかアクセス出来ないという制約が付くようだが。
なぜこんなことになってしまったのか。
まず社内でも2要素認証が求められる理由は外部のクラウドサービスを使っているためではないかと思う。
ゼロトラストの考え方で、社内ネットワークだから信用できるのではなく、
社内外問わずに強固な認証手段を採用するという考えによったようである。
(ただ、専用のパスワードを使った認証は社内限りなど完全に徹底されているわけではない)
2要素認証の種類が限定されているのは、センシティブな情報を扱うシステムだからという説明があった。
言うほどセンシティブか? とは思うし、SMS認証がそんなに悪いか? とも思う。
でも一般論としてはTOTPの方が安全なのは事実かな。
必須なら内線電話の代わりにスマートフォンを会社で用意するべきだと思うが。
ただ、一応は代替手段があるということで必須ではない。
リモートアクセスの2要素認証は内線電話でも対応可能であることを考えれば、
あえて高コストなスマートフォンを職場で契約するべきという判断はしにくいだろう。
しかし、それによる不便はけっこうあるのが実情である。
なんでこんなことになってしまったんだか。
一応、こういう方法も考えられるけど。
WinAuthを使ってPC自体を認証器にしてしまうという方法である。
会社のマニュアルにはこんな方法は書かれていないけど、
HMAC-based TOTPを使っているなら、そういうことは可能ではある。
これはTOTPが必要になる操作をするPCが固定されている場合には有用だが、
リモートアクセスをしたいときにそのPCがあるとは限らないだろうから、やめた方が良いだろう。
正直どうかと思う話だが、今後は社内でも2要素認証が必要とか、
2要素認証はスマートフォンアプリを使った方法でなければならないとか、
そういう方向へ向かっていくのは避けられないのかもしれない。
TOTPだけなら専用のトークンを貸し出すとかいう方法も考えられるが、
内線電話の代わりにスマートフォンを契約するという対応の方が楽かな。
アプリがないと仕事に差し障りがあるならそうするしかないよね。
ある時期にプライベートのスマートフォンで発行するTOTPに変えたから、
今回の問題にはひっかからなかったけど、僕も以前は内線電話でSMS認証をしていて、
仕事のことなんだから会社の端末で対応するのが相当という考えはあると思う。
それが難しいという状況は正直どうなのかなと思うところである。
みんな会社が契約したスマートフォンを持ってますよってなら全然問題ないんだけどね。
うちはそうではないからね。