お役立ち資料
Introduction
多要素認証とは、複数の要素を組みあわせた認証のことです。近年、不正アクセスなどのサイバー攻撃が増えて高度化しており、IDとパスワードによる認証だけでは不十分といえます。そのため、セキュリティレベルを高めるために、多要素認証の導入が求められているのです。
この記事では、多要素認証について、その種類や認証が行われるプロセス、多要素認証が適したサービスなどについて解説します。
目次
多要素認証(MFA)とは?
多要素認証(MFA)とは、ECサイトなどでログイン認証を行う際に、2つ以上の認証要素が必要な認証方法のことです。ここでは、多要素認証とは具体的にどのような認証方法なのか、詳しくご説明します。
複数の要素を組みあわせた認証
多要素認証とは、複数の要素を組みあわせた認証のことで、総務省の『国民のためのサイバーセキュリティサイト』によると、次のように定義されています。
多要素認証
サービス利用時に行う利用者認証を、3つの要素((1)知っているもの(2)持っているもの(3)本人自身に関するもの)のうち、2つ以上の要素を用いて行うものを言います。2つの要素を使うものは「二要素認証」とも言います。
複数の要素とは、以下の記憶情報、所持情報、生体情報のことです。この3つの要素のうち、異なる2つ以上の要素で認証する必要があります。
| 認証要素 | 具体的な認証項目の例 |
| 記憶情報(知識認証) |
ユーザーIDとパスワードやあらかじめ質問を登録しておいて、それに答えるタイプの認証など |
| 所持情報(所有物認証) |
スマホのアプリ、USBトークン、キーカードなど、ユーザーが所持しているものによる認証 |
| 生体情報(生体認証) |
指紋認証、虹彩認証などの生体認証 |
たとえば、ユーザーID・パスワード認証は記憶情報、スマホアプリのワンタイムパスワードは所持情報です。そのため、ユーザーID・パスワード認証と、スマホアプリで発行されたワンタイムパスワードの認証の組みあわせは、多要素認証です。
それぞれの認証要素についての詳細な説明については『<h2>多要素認証(MFA)の種類と具体例</h2>』をご覧ください。
「2要素認証」や「2段階認証」との違い
多要素認証と2要素認証、2段階認証は何が違うのでしょうか。
多要素認証の場合、上記でご説明したとおり、記憶情報、所持情報、生体情報のうち、異なる2つ以上の要素で認証する必要があります。たとえば、ユーザーID・パスワード認証と、あらかじめ登録された質問に答える認証は、どちらも同じ記憶情報の認証です。そのため、この2つを組みあわせた認証は、2要素認証や多要素認証ではなく、単なる2段階認証です。
なお、2要素認証は2つの要素による認証のことで、複数の要素による認証のことを指す多要素認証に含まれます。
多要素認証が必要とされている背景
多要素認証が必要とされている背景には、不正アクセス件数が年々増加していることがあげられます。
法務省の『令和3年版 犯罪白書』によると、不正アクセス行為の認知件数は増減を繰り返しながら、年々増加していく傾向が見られます。令和2年のデータによると、被害を受けたのは一般企業が2,703件と圧倒的に多く、ついで行政機関が84件でした。
認証要素がID・パスワードだけの場合、ID・パスワードが盗まれてしまうと、不正アクセスを防げません。また、パスワード管理が面倒なため、名前+誕生日といった類推しやすいパスワードにしているケースも多く、不正アクセスを招きやすくなっています。
そのため、一度破られると、不正アクセスが簡単にできてしまうID・パスワード認証だけではなく、ほかの認証要素を組みあわせた多要素認証が必要とされているのです。
多要素認証(MFA)の種類と具体例
多要素認証の要素には、記憶情報、所持情報、生体情報の3種類があり、そのうちの異なる2つ以上の要素で認証します。ここでは、それぞれで具体的にどのような認証が行われるのか、ご説明します。
記憶情報(知識認証)
そのユーザーしか知り得ない情報のことを、記憶情報と呼びます。
もっとも一般的なのが、ユーザーIDとパスワードです。また「母の旧姓は?」「最初に買ったCDのタイトルは?」などの質問に対する答えをあらかじめ登録しておき、認証項目にする場合も記憶情報に該当します。
これらの記憶情報は、そのユーザーだけが知っているものであり、他者に漏れなければ安全に利用することが可能です。
所持情報(所有物認証)
ユーザーが所持しているもので、認証を行う際の認証情報です。たとえば、スマートフォン、USBトークン、キーカードといった物理的なデバイスなどがあります。また、Eメールアカウント、認証アプリなどで秘密のコードをユーザーに送信し、そのコードで認証を行う方法もあります。
ユーザーが物理デバイスを紛失する、メールアカウントが他者に乗っとられるなどがない限り、安全に利用できます。
生体情報(生体認証)
ユーザーの生体情報です。たとえば、指紋認証、網膜認証、音声認証、顔認証などがあります。あらかじめこれらの生体情報を登録しておき、認証時に照合します。
基本的には、そのユーザーにしか認証を成功させられません。
多要素認証(MFA)のプロセス
多要素認証を行うプロセスは、次のとおりです。
1.登録
最初に、ユーザーはユーザーIDとパスワードを使い、アカウントを登録します。その後、スマートフォンなどの認証に使うデバイスやEメールアドレス、電話番号、認証アプリのコードなどを登録します。
2.ログイン
ユーザーIDとパスワードによる第1の認証要素で、認証を行います。これにより、本人確認が行われます。
3.検証
第1の認証が成功すると、登録済みのほかの認証項目にシステムがアクセスします。たとえば、登録したEメールアドレスに、コードが送られてくるなどです。
4.反応
ユーザーが、Eメールアドレスに送られてきたコードを入力するなどして、ほかの認証項目による認証が行われます。
多要素認証(MFA)を導入するメリット
多要素認証を導入すると得られるメリットには、どのようなものがあるのかをご説明します。
セキュリティリスクが低減される
ユーザーIDとパスワードによる認証だけなど、1種類の認証しか行わない場合より、セキュリティリスクが低減されるというメリットがあります。
IDとパスワードによる認証だけの場合、認証項目が万が一外部に漏れてしまえば、簡単に不正アクセスされてしまいます。しかし、多要素認証になっている場合、ほかの認証情報を手に入れない限り、不正アクセスされることはありません。
また、ユーザーが所有するデバイスなどによる認証や、生体認証などと組みあわせているため、セキュリティレベルがさらに高まっています。
サイバー攻撃への迅速な対応が可能になる
企業などにサイバー攻撃が行われ、IDとパスワードなどの個人情報が大量に漏洩したとしても、不正アクセスされにくくなっています。ID・パスワードだけではアカウントにログインできず、ユーザーが所持するデバイスや生体情報などがなければアクセスできません。
もしサイバー攻撃により、ID・パスワードが漏洩しても、すぐにIDやパスワードを変更することで、それ以上の被害が起こらないように対策ができます。
利用者の負担が軽減される
認証項目をパスワードにせず、スマホによる認証と生体認証などにすれば、パスワードを覚える必要がなくなります。その結果、パスワード管理が不要になり、利用者の負担を軽減することも可能です。
多要素認証(MFA)の導入に適したサービス
多要素認証の導入に適したサービスは、さまざまなものがあります。ここでは、具体的にどのようなサービスに導入すべきかについて、ご説明します。
クラウドサービス
AWSなどのクラウドサービスは、いまやなくてはならないものとなりました。ストレージサービスやコミュニケーションツール、業務システムなどを社内で管理するのではなく、クラウド上のサービスを利用するケースが増えています。
クラウドサービスにアクセスする際はログイン認証が行われますが、不正アクセスされると、社内の重要情報が流出してしまうなどの恐れがあります。このようなリスクを防ぐためには、ID・パスワードによる認証だけではなく、多要素認証が必要です。
VPN
VPN(仮想プライベートネットワーク)を利用する際にも、多要素認証が必要です。
多くの企業でリモートワークが普及しており、社員がVPN経由で社内ネットワークにアクセスするケースが増えました。しかし、VPNの普及が進み、VPNがサイバー攻撃の対象になるケースもまた増えています。そこで、VPNのセキュリティレベルを向上させるために、多要素認証の導入が求められています。
オンラインショッピング
オンラインショッピングを行う際に、ユーザーは自分のアカウントにログインして買い物を行います。しかし、不正アクセスが起こると、第三者に高額な買い物をされる、個人情報やクレジットカード情報が盗まれて、悪用されるなどの被害が起こります。
このような事態を防ぐために、オンラインショッピングのログイン認証時や決済認証時に、多要素認証を導入すべきです。
インターネットバンキング
インターネットバンキングのログイン認証時や決済認証時にも、多要素認証が必要とされています。
ネットバンキングに不正アクセスされると、第三者に銀行残高が奪われる、個人情報や口座情報が盗まれて悪用されるなどの大きなリスクが生じます。このような被害を防ぐために、多要素認証を導入したセキュリティレベルの高い認証が必要です。
SNS
SNSのアカウントが不正アクセスされて乗っとられると、なりすまし被害が発生します。有名人やインフルエンサーのアカウントが被害にあうと、大きな問題に発展するのです。また、一般人のアカウント情報が盗まれて、犯罪に利用されることもあります。
このような被害を防ぐために、SNSアカウントの認証に多要素認証を導入するべきです。
さらに高度化する多要素認証(MFA)
多要素認証は、ID・パスワードのみの認証よりも、セキュリティレベルが高いです。さらに、より高度化した多要素認証も存在します。ここでは、さらに高度化した次世代の多要素認証について、ご説明します。
多要素認証+位置情報
多要素認証にプラスして、位置情報を認証時に利用する方法です。
認証時に認証を行った端末のIPアドレスを調べることで、その場所を特定できることがあります。このとき、あらかじめ登録しておいた場所以外からアクセスされた場合や、位置情報を特定できなかった場合に、アクセスをブロックするなどの対応を行います。また、ブロックするのではなく、もう一度追加の認証を行うことで、セキュリティレベルを高めることも可能です。
このように、位置情報による認証を追加することで、ユーザー以外の第三者によるアクセスを制限できます。
適応型認証(リスクベース認証)
認証時に、認証項目以外の追加要素を分析し、リスクがあると判断した場合には、追加の認証を行う方法です。たとえば、以下のような追加要素があります。
・位置情報(社内やあらかじめ登録された場所からのアクセスかなど)
・時間(勤務時間内かなど)
・デバイスの種類(あらかじめ登録されている社内のデバイスかなど)
・ネットワークの種類(プライベートネットワークか、パブリックネットワークかなど)
これらの追加要素について分析し、勤務時間外に登録されていないスマホからアクセスがあったなど、リスクが高いと判断された場合には追加の認証を行います。逆に、勤務時間内に社内のネットワークを通じてアクセスがあった場合は、リスクが低いとみなされて、認証を1回のみにします。
このように、その都度リスクレベルに応じた認証方法が選ばれるため、状況に応じた最適な認証を行うことが可能です。
多要素認証+公開鍵暗号方式(FIDO2)
FIDO2とは、パスワードに依存しない認証技術のことです。この技術を活用すれば、顔認証や指紋認証などの機能が搭載されているデバイスを利用して、オンラインサービスに安全にログインできます。
たとえば、顔認証などの生体認証により本人認証を行った後、認証サーバーからスマホアプリなどにコードを送信します。ユーザーは送られてきたコードを入力することで、ログインすることが可能です。このコードは一度しか使えないため、サイバー犯罪者が盗みとって再利用することは困難です。
このような仕組みを導入すれば、パスワードを管理しなくても、高いセキュリティレベルを維持できるでしょう。
まとめ
この記事では、多要素認証について、その種類や認証が行われるプロセス、多要素認証が適したサービスなどについて解説しました。
不正アクセスなどのサイバー攻撃が増え、高度化しているため、セキュリティレベルを高めるための対策が求められています。IDとパスワードによる認証だけだと、簡単に不正アクセスができてしまうため、より強固な認証方法である多要素認証の導入が必要です。
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
CVSSとは?最新CVSS v4.0の評価基準、スコアの計算方法について解説
2024.04.26
詳しく見る
-
- セキュリティ
XDRとは?EDR・NDRとの違いや機能、導入メリットについて解説
2024.04.24
詳しく見る
-
- セキュリティ
FIDO認証とは?パスワード不要の仕組みや安全性、メリット・デメリットを解説
2024.04.23
詳しく見る
-
- セキュリティ
脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方など
2024.04.26
詳しく見る
-
- セキュリティ
PCI DSSとは?認証取得のメリットや目的、最新v4.0での要件について解説
2024.04.18
詳しく見る
-
- セキュリティ
IDaaSとは?機能や導入するメリット・デメリット、比較ポイントを解説
2024.04.16
詳しく見る
-
- セキュリティ
CASBとは?SWGとの違いや機能、導入するメリット・注意点を解説
2024.04.09
詳しく見る
-
- セキュリティ
SBOMとは?仕組みや導入するメリット、ツールの選び方について解説
2024.04.09
詳しく見る
-
- セキュリティ
ゼロデイ攻撃とは?名前の由来やその脅威、企業がとるべき対策について解説
2024.03.26
詳しく見る
-
- セキュリティ
暗号化とは?仕組みやアルゴリズムの種類、メリット・デメリットを解説
2024.03.25
詳しく見る
