BLOG ベアメールブログ
近年、Microsoft 365をはじめとするクラウドサービスでは、セキュリティ強化のため、基本認証(レガシー認証)から先進認証(モダン認証)への移行が進んでいます。しかし、両者の違いや、OAuth 2.0など関連する用語の意味を整理できていないという方もいるのではないでしょうか。
本記事では、先進認証と基本認証の違いや、メール送信における認証方式について解説します。
目次
先進認証(モダン認証)とは
先進認証(モダン認証)は、クラウドサービスなどへのアクセスをより安全に管理するための認証方式です。
異なる種類の認証要素を2つ以上組み合わせて本人確認を行う「多要素認証(MFA)」や、ユーザや端末、アクセス元などの条件に応じてアクセスを制御する「条件付きアクセス」と組み合わせることで、不正アクセスのリスクを抑えられます。
OAuth2.0を利用したトークンベースの認証方式
先進認証では、OAuth 2.0を利用してサービスへのアクセスを制御します。
OAuth 2.0は、本人確認を行う「認証(Authentication)」ではなく、ユーザやアプリに対してサービスを利用する権限を与える「認可(Authorization)」のためのフレームワークで、RFC 6749で定義されています。
OAuth 2.0では、ユーザ認証や同意が完了すると、クライアントアプリにアクセストークンが発行されます。アプリは、サービスへアクセスする際に、ユーザのパスワードではなく、発行されたアクセストークンを提示します。サービス側は、トークンに紐づくアクセス権限や有効期限を確認し、利用を許可します。
このように、先進認証ではアプリがパスワードを直接扱わず、トークンを利用してサービスへアクセスします。そのため、アクセス権限の範囲や有効期限を制御しやすい点が特徴です。
基本認証(レガシー認証)とは
基本認証(レガシー認証)は、先進認証が普及する以前から利用されてきた従来の認証方式です。設定が比較的容易で、多くのアプリや機器で利用されてきました。
ID・パスワードを利用した認証方式
基本認証では、アプリがサービスへ接続する際に、ユーザIDとパスワードを送信します。サービス側は、受け取った情報が正しいかを確認し、認証に成功した場合にアクセスを許可します。
メール送信においては、メールソフトや業務システム、複合機などにユーザIDとパスワードを設定し、SMTPサーバーへ接続する方法が利用されてきました。先進認証とは異なり、アプリがユーザのパスワードを直接扱う点が特徴です。
Microsoft 365など一部のクラウドサービスでは、ユーザIDやパスワードの漏えいによる不正利用のリスクを考慮し、基本認証から先進認証への移行が進められています。
Exchange Onlineの基本認証廃止については、以下の記事で詳しく解説しています。
先進認証と基本認証の違い
先進認証と基本認証の主な違いは、以下の通りです。
項目 先進認証 基本認証 サービスへのアクセスに使用する情報 アクセストークン ユーザID・パスワード パスワードの取り扱い サービスへのアクセス時に、アプリがパスワードを直接送信しない サービスへのアクセス時に、アプリがパスワードを直接送信する セキュリティ機能との連携 多要素認証や条件付きアクセスと組み合わせられる 多要素認証や条件付きアクセスに対応できない場合がある アクセス権限の制御 トークンごとにアクセス先や権限の範囲、有効期限を設定できる パスワード自体には、アクセス先や権限の範囲を限定する仕組みがない 導入・対応のしやすさ アプリやサービス側の対応が必要 対応している機器・システムが多く、導入しやすい
基本認証では、アプリがユーザIDとパスワードを直接扱うため、認証情報が漏えいすると、第三者に不正利用されるおそれがあります。
一方、先進認証では、パスワードの代わりにアクセス権限や有効期限が設定されたアクセストークンを使用します。また、多要素認証や条件付きアクセスとも組み合わせられるため、基本認証単体で利用する場合と比べて、不正アクセスのリスクを抑えやすくなります。
ただし、先進認証を利用するには、接続元のアプリやシステムがOAuth 2.0に対応している必要があります。既存の業務システムや複合機などでは対応が難しい場合もあるため、実際の運用では、セキュリティ要件とシステムの対応状況を踏まえて認証方式を選ぶことが重要です。
メール送信における認証方式
ここまで、クラウドサービス全般における先進認証と基本認証について紹介してきました。
メール送信においても、Exchange Onlineでは、基本認証の一つであるSMTP AUTHの段階的な廃止と、先進認証(OAuth 2.0)への移行が進んでいます。こうした環境を利用している場合は、移行のスケジュールを把握し、適切に対処する必要があります。
SMTP AUTHとは
SMTP AUTHは、IDとパスワードを使用した基本認証の一つで、メールソフトや業務システムなどのSMTPクライアントが、SMTPサーバーへメールの送信を依頼する際に認証を行うための仕組みです。クライアントが認証情報を提示し、サーバーはその情報を検証したうえで、メール送信を許可します。
SMTP AUTHには、幅広い環境で利用しやすいというメリットがあります。多くのメールソフト、業務システム、複合機、監視ツールなどがSMTP AUTHに対応しており、既存システムからメールを送信する際に導入しやすい方式です。
また、OAuth 2.0への対応が難しいシステムでも、SMTP AUTHであれば比較的少ない改修でメール送信を継続できる場合があります。また、送信元のシステムやネットワークを自社で管理できる環境では、SMTP AUTHを利用しながら、IPアクセス制限やTLSによる通信経路の暗号化、送信専用アカウントの利用、ログ監視などを組み合わせることで、セキュリティを強化できます。
先進認証への移行が求められるケース
一方、Exchange Onlineでは、セキュリティの観点からSMTP AUTH廃止の方針が示されており、OAuth 2.0による先進認証への移行が求められています。SMTP AUTHを利用してメールを送信している場合は、メールソフト・業務システムなどの先進認証への対応状況を確認し、適切に対処する必要があります。
なお、先進認証への対応が難しいシステムでは、Exchange Onlineへ直接接続する代わりに、外部のメールリレーサービスへ送信先を変更し、メール配信を中継させる方法もあります。
「ベアメール メールリレーサービス」は、既存のメールサーバーや業務システムから送信されるメールを中継し、宛先へ配信するサービスです。送信先のSMTPサーバーをベアメールに変更することで、現在のシステムを活用しながらメール配信環境を整備できます。
先進認証への対応が難しい既存システムからのメール送信にお悩みの方は、ぜひベアメールへご相談ください。
Exchange OnlineにおけるSMTP AUTH廃止の詳細や具体的な移行スケジュールについては、以下の記事で詳しく解説しています。
まとめ
本記事では、先進認証と基本認証の概要や、両者の違い、メール送信における認証方式について解説しました。先進認証は、OAuth 2.0を利用したトークンベースの認証方式です。アプリが直接パスワードを扱わず、基本認証と比べて認証情報の漏えいによる不正アクセスのリスクを抑えやすい点が特徴です。
メール送信においては、利用しているサービスやシステムの対応状況、求められるセキュリティレベルを踏まえて、適切な認証方式を選ぶことが重要です。SMTP AUTHの廃止が進められているExchange Onlineを利用している場合は、影響範囲を確認し、先進認証への対応やメールリレーサービスの利用など、適切な対策を検討しましょう。
