多要素認証(MFA)とは?二要素認証・二段階承認との違いやメリットを解説

  • 投稿日:2021 - 6 - 3
  • 更新日:2021 - 6 - 3
  •   

Webサービスの利便性が向上する一方で、外部からの不正アクセスや情報漏えいなどのリスクも高まっています。そこで注目されているのが多要素認証(MFA:Multi-Factor Authentication)です。近年、セキュリティ対策としてニーズが高まっている多要素認証の概要や、二要素認証・二段階認証との違い、求められる背景やメリットを解説します。

多要素認証とは?

多要素認証とは、パソコンやスマートフォンへのログイン時や、業務システムやWebサービスなどへのアクセスの際に、2つ以上の要素で認証を行うことです。

「要素」は知識情報、所持情報、生体情報の大きく3種類に分けられており、それぞれ別の性質を持っています。異なる要素の情報から本人であることを証明するため、多要素認証では1つの認証方式を用いる場合(単要素認証)に比べて、本人確認を正確に行うことが可能です。

多要素認証はセキュリティを強固にし、不正アクセスに強いため、企業や金融サービスなどの分野で特に導入が進んでいます。

多要素認証の3つの要素

米国商務省の管轄であるNIST(アメリカ国立標準技術研究所)は「デジタル認証ガイドライン(SP 800-63)」の中で、本人確認のための要素について「something you know:知識情報」「something you have:所持情報」「something you are:生体情報」の3種類に分類しており、世界的に多要素認証を考えるうえでのスタンダードな分類方法となっています。

それぞれの要素による認証について具体的に解説します。

知識認証

知識認証では、「本人なら知っている情報(知識情報)」を認証のための要素として使用します。IDとパスワードによる組み合わせや、生年月日、電話番号などが使われるのが一般的です。知識認証はわかりやすく、認証のためのデバイスが不要なので導入しやすい特徴があります。そのため、昔から認証のためによく利用されてきました。

知識認証は人間の記憶力に頼るため、忘れてしまったり、類推または調査されたりしやすいというデメリットもあります。

例:ID、パスワード、電話番号、生年月日、秘密の質問など

所持認証

所持認証は「本人なら持っている物品(所持情報)」を認証のための要素として使用します。所持認証には、暗号化を解除するためのUSBセキュリティキーや、ICチップを搭載したカードなどを使う方法、端末認証などの方法があります。携帯電話やスマートフォンのSMSを利用した認証も、他の端末では受け取れないため所持認証として有効で活用が広がっています。使い捨てのパスワードであるワンタイムパスワードや、ワンタイムパスワードを発行するトークンも所持認証です。

所持認証は認証が容易である反面、物品が盗難された場合には不正利用も容易にされてしまうため、他の要素と組み合わせて使われることが多いです。

例: ICチップ搭載カード、USBセキュリティキー、SMS、ワンタイムパスワード、トークンなど

生体認証

生体認証は「本人が備えている個別の性質」を利用して認証を行います。代表的な例が指紋や声による認証です。顔認証もスマートフォンのロック解除に使われるなど実用化が進んでいます。

生体認証はなりすましが難しく、物理的なカードや鍵のように紛失や盗難の心配がないという特徴があります。 顔認証ではマスクをつけた場合には認識が難しくなる、指紋認証では怪我などの影響で認識が難しくなるなど、本人の状況の変化により認証の精度が変わってしまう点に注意が必要です。

例:指紋、静脈、顔、声紋、虹彩など

多要素認証と要素認証・二段階認証の違いや利用例

多要素認証とよく混同されるのが「要素認証」や「二段階認証(多段階認証)」です。

多要素認証と二段階認証(多段階認証)の違いは、「認証の要素数」と「認証の段階数」によって説明できます。

「認証の要素数」とは、前述の認証に利用する3種類の要素の数です。要素の数が1つの認証は「単(一)要素認証」と呼ばれ、2つ以上の場合は「多要素認証」と呼ばれます。2つの要素を使う認証は「二要素認証」とも呼ばれる場合もあります。「要素認証」は単要素認証と多要素認証を含む、要素に焦点を当てた認証全体を表します。

「認証の段階数」とは、認証に要するステップ数です。たとえば、ログインでID/パスワードを入力するとすぐにデバイスやサービスにログインできるなら一段階認証となります。もし、これに加えて秘密の質問の入力が必要なら二段階認証です。

例えば、ログイン時の最初の認証としてID/パスワードの入力が必要で、その後にスマートフォンにSMSで送信されたコードを入力する必要がある場合は、二要素認証かつ二段階認証です。しかし、二段階目の認証が最初の認証情報(ID/パスワード)と同じ知識認証(秘密の質問や生年月日など)による場合は、単要素認証の二段階認証となります。

多要素認証の利用例

私たちの身の回りでは、ITシステムの利用時だけでなく、さまざまな場面で多要素認証が使われています。多要素認証がどのように使われているのか見てみましょう。

  • 銀行のATM

銀行のATMでは、通帳やキャッシュカード(所持認証)に加えて暗証番号(知識認証)が利用されています。

  • ネット銀行の多要素認証・ワンタイムパスワード

ネット銀行では、ログイン用の認証情報(IDまたは口座番号/パスワードなど。知識認証)を使ってログインしますが、端末やIPアドレスが普段の利用傾向と異なる場合、登録した連絡先に通知が行われたり、秘密の質問やSMSなどによる多段階認証が行われたりします。加えて、振込時にはSMSにワンタイムパスワード(所持認証)が送られ、多要素認証でセキュリティを確保しています。

  • WebサービスのSMS認証

GoogleやAmazonなどのWebサービスでは、二段階認証の設定をするとサービスへのログイン時や決済時などにSMS認証が求められます。ログイン用のID/パスワード(知識認証)に加え、スマートフォンや認証アプリでのSMS受信(所持認証)が必要ですので二要素認証とも言えます。

  • USBセキュリティキーによる認証

Webサービスや社内システムへの接続に、ログイン用の認証情報(知識認証)に加えてUSBセキュリティキー(所持認証)を使った多要素認証を必須としている企業もあります。物理的なデバイスを利用する一方でパスワードのルールを緩和し、生産性とセキュリティの両立を実現させることも可能です。

なぜ多要素認証が必要なのか?背景と多要素承認のメリット

多要素認証が必要だとシステム管理者が提案しても、一般の従業員の中には面倒に感じて反発されることも考えられます。多要素認証が求められるようになった背景には、セキュリティ面だけでなく、認証手続きやパスワード管理の効率化という側面もあります。

多要素認証が求められるようになった背景

業務にクラウドサービスを利用する企業が増えていますが、認証情報が奪われ、アカウントの乗っ取りが生じてしまえば、企業の大きなリスクになります。

ベライゾンジャパン合同会社による調査データ「2020年度データ漏洩侵害調査報告書」では、認証情報の盗難の37%において、窃取された認証情報の継続使用または脆弱な認証情報の利用が原因となっているという調査結果が示されています。この結果からは、容易で推測可能なパスワードの利用や、複数サービスでのパスワードの使い回しが行われている状況がうかがえます。

このようななかで、パスワードに関する定説にも変化が起こりました。従来は「強固な(=長く、記号などを入れた複雑な)パスワードを設定し、定期的に変更する」ことが安全につながると考えられていました。しかし、コンピュータの性能が向上してブルートフォース攻撃(パスワードを総当たりで解除する攻撃)の威力が上がっていることや、パスワードの記憶・管理や変更がユーザーの負担になっていることから、NISTが良いパスワードについての見解を変えるようになりました。

現在、NISTでは「異なる文字種の組み合わせは課さず、最低15文字以上のパスワードまたはパスフレーズを使用」「定期的な変更の強制は推奨せず、変更はパスワード流出の危険がある時のみ」という考え方を推奨しています。

NISTではデジタル認証ガイドラインのなかで、守るべき情報の種類をリスク別に分け、それぞれに応じたレベルの認証を行うように推奨しています。セキュリティレベルの低い方から、「単要素認証1つで大丈夫」「二要素認証が必要」「二要素認証で、うち1つは物理デバイスを用いたものが必要」といった順です。単要素の多段階認証もセキュリティ強化には効果がありますが、NISTでは単要素認証・多要素認証をより重視しています。

また、2018年にMicrosoftではアプリを利用した多要素認証でAzure AD(Active Directory)をサポートし、「パスワード時代の終わり」を宣言しました。同社は、この方法でサービスにログインすることで、不正ログインのリスクを最大99.9%低下させることができるとみています。認証アプリ1つで、多くのMicrosoftのクラウドサービスや連携サービスにパスワードなしでログインできるようになりました。

多要素認証のメリット

多要素認証を利用するメリットは大きく「セキュリティの向上」と「利便性の向上」です。

セキュリティ面では、複数の異なる要素を使った認証を行うことで、アカウントの不正利用を防ぎやすくなるメリットがあります。所持情報や生体情報は、知識情報と比較して盗んだりコピーしたりすることが難しいため、知識認証と組み合わせることで、知識情報による二段階認証よりも強固な認証の仕組みを構築できる点もメリットです。

利便性の面では、煩雑なパスワード管理から開放される点が挙げられます。複雑なパスワードが必須でなくなることでユーザーも快適で、パスワードの失念によって管理者が変更対応に追われることも少なくなります。また、物理デバイスや生体情報による認証では、ログイン情報の入力にかける時間を大きく省けることもあります。

まとめ:多要素認証によるセキュリティ対策が企業の情報を守る

多要素認証

テレワークやクラウドサービスが広がるなか、認証に関するセキュリティレベルを高めることは企業の情報を守るためにも欠かせません。多要素認証は、異なる種類の認証情報を組み合わせ、より安全で利便性の高い認証を行う方法です。近年、多要素認証はニーズの高まりに合わせ、さまざまな方法で普及しています。

moconavi(モコナビ)は、端末識別IDを使った認証とID/パスワード、生体認証などの多要素認証を利用できるモバイル向けテレワークプラットフォームです。コピー操作の制限や、端末内にファイルを残さない仕組みなど、情報漏えい対策を重視しており、安心してお使いいただけます。セキュアなテレワークの実現にお悩みの企業様は、ぜひご相談ください。

moconaviの強固な認証サービスについてはこちら

この記事をシェアする

前の記事:テレワークで改めて考えるVPNの仕組みと脆弱性の課題

関連記事

BYODに必要なセキュリティ対策とは?MDMとMAMの正しい活用方法 BYODに必要なセキュリティ対策とは?MDMとMAMの正しい活用方法 MDMとは?機能やテレワークのセキュリティ対策で求められる背景を解説 MDMとは?機能やテレワークのセキュリティ対策で求められる背景を解説 BYOD導入のメリット・デメリットとセキュリティ対策を徹底解説 BYOD導入のメリット・デメリットとセキュリティ対策を徹底解説