二要素認証

二要素認証の概要

2FA、2段階認証、またはTFAとも呼ばれる二要素認証は、ユーザ名とパスワードに加えてもう1つのセキュリティIDを使用することで、ユーザ認証のセキュリティ レイヤーを追加する方式です。一般的に、実際の対象ユーザだけが所持し、元のログイン方法と本質的に異なるものを使用します。例としては、スマホ アプリ、SMS認証、キーフォブなどがあります。

SMSを利用した二要素認証

二要素認証によって保護されたアカウントへのアクセス権の復元

二要素認証（TFA）は重要なセキュリティ メカニズムであり、アカウント所有者を確実に識別したうえでないと、Cisco Merakiで無効化できません。アクセス権が失われないようにするために使用可能な方法が2つあります。1つは予備の電話番号（SMS認証の場合）で、もう1つはワンタイム コード リスト（Google認証システムの場合）です。

 

この2つの方法は、二要素認証を無効化または一時的に回避する際に優先的に使用する方法です。何らかの理由でこれらの方法を使用できない場合、Cisco Merakiテクニカル サポートに連絡し、身分証明を提示する以外に方法はありません。TFAに使用するSMSとGoogle認証システムの削除を要求するには、2つの方法があります。

方法1：

1. Eメールをlicensing@meraki.com宛てに送信してケースをオープンします。 
   - このEメールは、無効にするアカウントのTFAのメール アドレスから送信する必要があります。 
   - アカウントが所属するオーガナイゼーションのフルネームを含める必要があります。 
2. 別のオーガナイゼーション管理者が、ダッシュボードを通じてケースに関してコメントし、アカウントのTFAを無効化するための承認を与える必要があります。
   - この場合、Eメールおよび電話での承認は認められません。承認は、ケースに関するコメントとして行う必要があります。
   - この承認を行えるのは、フル アクセス権を持つオーガナイゼーション管理者のみです。

方法2：

フル アクセス権を持つ別のオーガナイザーション管理者が存在しない場合、または何らかの理由でこの管理者が対応できない場合は、代わりに次の手順を実行します。

1. Eメールをlicensing@meraki.com宛てに送信してケースをオープンします。 
   - このEメールは、無効にするアカウントのTFAのメール アドレスから送信する必要があります。 
2. Cisco Merakiサポート担当者に連絡し、そのアカウントのTFAを無効にする必要があることを説明し、要求されたドキュメントを提供します。
3. サポート担当者は、要求の妥当性を検証するために、オーガナイゼーションとそのコンテンツと設定に関するさらに詳しい情報を要求します。
4. このステップが完了すると、Cisco Merakiサポート担当者からドキュメントが送信されます。このドキュメントは、署名し、公証人認証を受けたうえで、Cisco Meraki本社に郵送（住所は下記参照）する必要があります。
   • サポートはこのドキュメントを受領すると、TFAを無効化する前に、それをスキャンしてケースに添付します。
   • 郵送上の問題が発生する場合に備えて、このレターは追跡可能な形式で送付することを強くお勧めします。
   • サポート チームによって別途指定されている場合を除き、住所の形式は次のようにしてください。
     Cisco Meraki - Support Operations
     500 Terry A Francois Blvd
     4th Floor, C/O [サポート担当者の名前]
     San Francisco, CA 94158

電話番号の設定と変更

二要素認証に使用する電話番号をダッシュボードで変更するには、次の手順を実行します。

1.有効なユーザ名とパスワードでダッシュボードにログインします。

2.ログイン後、ダッシュボードでMy Profile（プロファイル）オプションを見つけます。画面の右上隅にあります。

3.My Profile（プロファイル）をクリックします。

4.このページのSMS Authentication（SMS認証）セクションまでスクロールダウンします。

5.現在登録されている電話番号の横にあるEdit（編集）をクリックします。

6.Phone Number（電話番号）フィールドに新しい電話番号を入力します。

7.Setup your phone（あなたの電話をテストしてください）セクションで、Send code（コードを送信する）ボタンをクリックします。コードが新しい電話番号に送信されます。

8.そのコードをCode（コード）フィールドに入力し、Verify（確認）ボタンをクリックします。

9.Next（次）をクリックします。

10.オプションで、予備の電話番号を入力します。Next（次）をクリックします。

11.情報を確認して、Save changes（変更を保存）をクリックします。

 

クライアントVPNでの二要素認証の使用

Cisco MerakiクライアントVPNには、ネットワークへの接続に必要な複数のユーザ認証方法が組み込まれています。セキュリティ レベルを追加したいと考える管理者のために、クライアントVPNでは、ユーザに第2の認証手順を求める、サードパーティ製の二要素認証ソリューションを使用できます。

二要素認証は、次の2つの方法のいずれかで組み込むことができます。

• 認証の一部として含める方法。ユーザは通常どおりユーザ名とパスワードの入力が求められますが、サードパーティ製ソリューションが必要とする追加情報を提供する必要があります（たとえば、パスワードに鍵を追加する）。
• プッシュ通知を利用する方法。ユーザが「accept（同意）」ボタンなどのボタンをプッシュするまで、RADIUSサーバーのエージェントが同意メッセージを保留します。Merakiプラットフォーム上のデフォルトでは、RADIUSセッションは短時間でタイムアウトします。ソリューションによっては、このタイムフレームでは短すぎる場合があります。延長する必要がある場合は、Meraki ポートにお問い合わせください。

上記の方法はどちらも、リモート アクセス用の二要素セキュリティとして、PCI DSS 3.0標準に準拠しています。

ダッシュボードで二要素認証用にGoogle認証システムを使用する

管理者は、ダッシュボードにログインするために二要素認証を義務付けることができます。ユーザが使用できるオプションの1つに、Google認証システムがあります。このサービスは、SMSサービスに関係なく二要素認証が可能になるという利点があります。