二要素認証
二要素認証の概要
2FA、2段階認証、またはTFAとも呼ばれる二要素認証は、ユーザ名とパスワードに加えてもう1つのセキュリティIDを使用することで、ユーザ認証のセキュリティ レイヤーを追加する方式です。一般的に、実際の対象ユーザだけが所持し、元のログイン方法と本質的に異なるものを使用します。例としては、スマホ アプリ、SMS認証、キーフォブなどがあります。
SMSを利用した二要素認証
この機能は現在、米国と英国でのみ使用可能です。別の国に在住している場合、SMS認証はまだベータ版の機能であり、シスコではその信頼性を保証できません。設定ページで、ご自由にお客様の電話番号をテストしてください。SMS認証は、次の国でも動作することが確認されています:カナダ、メキシコ、フランス、スペイン、イタリア、ドイツ。
二要素認証によって保護されたアカウントへのアクセス権の復元
二要素認証(TFA)は重要なセキュリティ メカニズムであり、アカウント所有者を確実に識別したうえでないと、Cisco Merakiで無効化できません。アクセス権が失われないようにするために使用可能な方法が2つあります。1つは予備の電話番号(SMS認証の場合)で、もう1つはワンタイム コード リスト(Google認証システムの場合)です。
この2つの方法は、二要素認証を無効化または一時的に回避する際に優先的に使用する方法です。何らかの理由でこれらの方法を使用できない場合、Cisco Merakiテクニカル サポートに連絡し、身分証明を提示する以外に方法はありません。TFAに使用するSMSとGoogle認証システムの削除を要求するには、2つの方法があります。
2FAの削除要求はサポートの電話回線経由では解決できない点に注意してください。 2FAの無効化は、管理者のEメールで要求され、処理されなければなりません。セキュリティ上の目的から、これにはMerakiケースを介した支援が必要となります。アクセス権を復元する手順は、以下を参照してください。
方法1:
- Eメールをlicensing@meraki.com宛てに送信してケースをオープンします。
- このEメールは、無効にするアカウントのTFAのメール アドレスから送信する必要があります。
- アカウントが所属するオーガナイゼーションのフルネームを含める必要があります。 - 別のオーガナイゼーション管理者が、ダッシュボードを通じてケースに関してコメントし、アカウントのTFAを無効化するための承認を与える必要があります。
- この場合、Eメールおよび電話での承認は認められません。承認は、ケースに関するコメントとして行う必要があります。
- この承認を行えるのは、フル アクセス権を持つオーガナイゼーション管理者のみです。
方法2:
フル アクセス権を持つ別のオーガナイザーション管理者が存在しない場合、または何らかの理由でこの管理者が対応できない場合は、代わりに次の手順を実行します。
- Eメールをlicensing@meraki.com宛てに送信してケースをオープンします。
- このEメールは、無効にするアカウントのTFAのメール アドレスから送信する必要があります。 - Cisco Merakiサポート担当者に連絡し、そのアカウントのTFAを無効にする必要があることを説明し、要求されたドキュメントを提供します。
- サポート担当者は、要求の妥当性を検証するために、オーガナイゼーションとそのコンテンツと設定に関するさらに詳しい情報を要求します。
- このステップが完了すると、Cisco Merakiサポート担当者からドキュメントが送信されます。このドキュメントは、署名し、公証人認証を受けたうえで、Cisco Meraki本社に郵送(住所は下記参照)する必要があります。
- サポートはこのドキュメントを受領すると、TFAを無効化する前に、それをスキャンしてケースに添付します。
- 郵送上の問題が発生する場合に備えて、このレターは追跡可能な形式で送付することを強くお勧めします。
- サポート チームによって別途指定されている場合を除き、住所の形式は次のようにしてください。
Cisco Meraki - Support Operations
500 Terry A Francois Blvd
4th Floor, C/O [サポート担当者の名前]
San Francisco, CA 94158
電話番号の設定と変更
二要素認証に使用する電話番号をダッシュボードで変更するには、次の手順を実行します。
1.有効なユーザ名とパスワードでダッシュボードにログインします。
2.ログイン後、ダッシュボードでMy Profile(プロファイル)オプションを見つけます。画面の右上隅にあります。
3.My Profile(プロファイル)をクリックします。
4.このページのSMS Authentication(SMS認証)セクションまでスクロールダウンします。
5.現在登録されている電話番号の横にあるEdit(編集)をクリックします。
6.Phone Number(電話番号)フィールドに新しい電話番号を入力します。
7.Setup your phone(あなたの電話をテストしてください)セクションで、Send code(コードを送信する)ボタンをクリックします。コードが新しい電話番号に送信されます。
8.そのコードをCode(コード)フィールドに入力し、Verify(確認)ボタンをクリックします。
9.Next(次)をクリックします。
10.オプションで、予備の電話番号を入力します。Next(次)をクリックします。
11.情報を確認して、Save changes(変更を保存)をクリックします。
2FAの電話番号の更新
サポートは、使用中の電話番号を更新できません。元の番号または現在の番号が利用できないために番号を変更できない場合は、こちらに記載された手順に従って、2FAを無効にする必要があります。そうすると、電話番号を更新できるようになります。
クライアントVPNでの二要素認証の使用
Cisco MerakiクライアントVPNには、ネットワークへの接続に必要な複数のユーザ認証方法が組み込まれています。セキュリティ レベルを追加したいと考える管理者のために、クライアントVPNでは、ユーザに第2の認証手順を求める、サードパーティ製の二要素認証ソリューションを使用できます。
クライアントVPNは二要素認証をネイティブでサポートしていないため、この設定ではサードパーティ製ソリューションが必要です。そのため、補足情報とトラブルシューティングについては、二要素認証ソリューションのドキュメントを参照してください。
二要素認証は、次の2つの方法のいずれかで組み込むことができます。
- 認証の一部として含める方法。ユーザは通常どおりユーザ名とパスワードの入力が求められますが、サードパーティ製ソリューションが必要とする追加情報を提供する必要があります(たとえば、パスワードに鍵を追加する)。
- プッシュ通知を利用する方法。ユーザが「accept(同意)」ボタンなどのボタンをプッシュするまで、RADIUSサーバーのエージェントが同意メッセージを保留します。Merakiプラットフォーム上のデフォルトでは、RADIUSセッションは短時間でタイムアウトします。ソリューションによっては、このタイムフレームでは短すぎる場合があります。延長する必要がある場合は、Meraki ポートにお問い合わせください。
上記の方法はどちらも、リモート アクセス用の二要素セキュリティとして、PCI DSS 3.0標準に準拠しています。
クライアントVPNはxauthの使用をサポートしていないため、xauthを使用する二要素認証はサポートされていません。
その他のリソース
以下のサイトに、クライアントVPNで使用できる二要素認証の例が記載されています。ご参照ください。
ダッシュボードで二要素認証用にGoogle認証システムを使用する
管理者は、ダッシュボードにログインするために二要素認証を義務付けることができます。ユーザが使用できるオプションの1つに、Google認証システムがあります。このサービスは、SMSサービスに関係なく二要素認証が可能になるという利点があります。
設定
- モバイルのアプリ ストアにアクセスして、Google認証システム アプリをダウンロードすることで、Google認証システムをスマートフォンにダウンロードします。
- ダッシュボード プロファイルの編集と確認
- アプリがダウンロードされたら、ダッシュボードにログインして、右上のMy Profile(プロファイル)ページに移動します。
- SMS authentication(SMS認証)というラベルのセクションを見つけ、リストされたオプションから適切なハイパーリンクを選択します。この例では、iPhoneを使用しています。
- ダッシュボード アカウントをトークンとしてGoogle認証システムに追加します
- Google認証システムで、「+」ボタンを選択し、「scan barcode(バーコードをスキャン)」ボタンをタップします。
- ダッシュボード ページで2番目のバーコードをスキャンします。これはお使いのアカウントに固有で、Google認証トークンとお客様のログインを同期します。
- これで、新しいトークンが認証システムに表示されます。なお、トークンは30秒ごとに変わります。ダッシュボードの確認ウィンドウに現在アクティブなトークンを入力して、トークンが機能していることを確認します。
スマートフォンの画面
ダッシュボードの画面
- 確認後、Continue(続行)、OKの順に選択して、二要素認証をオンにします。
注記:OKをクリックすると、ダッシュボード アカウントはログアウトされます。
次のログインから、認証システムに表示されるアクティブな確認コードの入力が求められます。