テクノロジーの進化と並行するように、不正アクセスをはじめとするサイバー攻撃の脅威も増しています。そこでセキュリティを強化する手段として重要になるのが、2つ以上の異なる要素の情報を認証時に要求する多要素認証です。本記事では、多要素認証の概要や仕組みをはじめ、そのメリットや諸要素の使い分け方などについて解説します。
多要素認証(MFA)の意味
「多要素認証(MFA:Multi-Factor Authentication)」とは、WebサイトやECサイトなどにログインする際に、ユーザーの真正性を確認する行為を指します。従来のシステムと決定的に異なるのは、その名の通り、複数のファクターを組み合わせて認証する点です。この「2つ以上の異なるファクターによる認証」は、昨今のセキュリティ対策において重要なポイントとなっており、これを実施する認証を多要素認証と呼んでいます。
同じファクターでの認証を2回実施しても、それは多要素認証ではありません。多要素認証では、言語や数字といった知識ベースだけではなく、デバイスを用いた所持要素、指紋や虹彩といった生体要素など、複数のファクターによって真正性を確かめるのです。
多要素認証(MFA)の仕組み
多要素認証の基本的な仕組みは、それぞれの認証要素ごとに事前登録された情報と、認証時にユーザーが提供する情報とを照合するというものです。
登録
ユーザーが多要素認証をするためには、事前の登録が必要です。
まずはユーザー情報を用いてアカウントを作成します。本人確認やパスワードも生成されます。この時点で知識要素が登録された状態です。
続いて「多要素」認証とするために、知識要素以外の要素を追加します。生体要素の登録で行われるのは、指紋の読み取りや顔情報の取得などです。所有要素であれば、デバイス情報の登録やQRコードの読み取りなどを行います。
生体要素、所有要素のどちらか、あるいは両方を登録することで、多要素認証の準備が整います。
認証
認証は登録情報を用いて、ユーザーが本人であるか確認します。確認時に複数の要素を組み合わせて認証を行うことが、多要素認証と呼ばれる理由です。
まずはユーザーがユーザーIDとパスワードを入力し、知識要素を確認します。その後は登録した生体要素、所有要素の情報も確認することで、多要素認証が行われることが一般的です。生体要素であれば指紋や顔の一致、所有要素であればワンタイムパスワードの入力やパスカードのタッチなどを行います。
それぞれの認証を行い、登録情報と一致していれば、本人確認が完了です。
各要素の種類については、この後の章で詳しく解説します。
多要素認証(MFA)のメリット
多要素認証のメリットとして以下があります。
- セキュリティ強化の実現
- ユーザーの利便性向上
セキュリティ強化の実現
多要素認証によってセキュリティ強化が実現できます。多要素認証はユーザーのなりすましを防ぎやすくなり、不正アクセスの可能性を低減可能です。
従来の知識要素のみの単要素認証は、ユーザーIDやパスワードなどの知識要素が流出すれば誰でもなりすましが可能でした。しかし、多要素認証であれば知識要素が流出しても、別の要素が奪われない限り、なりすましはできません。特に生体要素は、人工でなりすましを突破することはほぼ不可能です。
よって多要素認証は知識要素による単要素認証と比較して、なりすましによる不正アクセスを防ぎやすいことから、セキュリティ強化を実現できます。
ユーザーの利便性向上
多要素認証の導入は、シングルサインオン(SSO)との相性がよく、ユーザーの利便性を向上させやすいこともメリットです。
ユーザーIDやパスワードの入力は案外面倒なものです。しかし、ブラウザへの記録やパスワード管理ツールへの保存はあまり推奨されません。ユーザーの頭の中のみに留めておくことが望ましいです。しかし、利用するサービス数が多くなればパスワードが分からなくなってしまうリスクがあるでしょう。
SSOと多要素認証を組み合わせると、上記のリスクを解消できます。多要素認証で生体要素や所有要素を組み合わせておけば、ユーザーは知識要素を忘れても安全な環境でサービスにアクセスできます。
多要素認証とSSOを組み合わせることで、利便性の向上とセキュリティ強化の両立が可能です。
多要素認証(MFA)のデメリット
多要素認証にはデメリットも存在します。例として挙げられるのは、以下のデメリットです。
- 導入コストがかかる
- 利便性が失われる可能性もある
- 個人端末に頼ることになる
多要素認証を導入する場合はコストが必要です。例として、生体認証であれば指紋リーダーや顔認証用のカメラをユーザー数分用意しなければなりません。
また多要素認証の組み合わせによっては、かえって利便性が失われる可能性があります。例として、生体要素で指紋や顔の読み取りに時間がかかる場合や、所有要素で逐次スマートフォンを開かないといけないケースでは利便性が失われるでしょう。
主に所有要素の場合は、個人のスマートフォンやパソコンなどのデバイスにワンタイムパスワード発行用のアプリを利用することが一般的です。そのため、個人デバイスの持ち込みが難しいエリアや業務の場合は注意が必要です。
多要素認証(MFA)の必要性
情報通信技術の発達によって、社会を取り巻く環境は大きな変革を遂げました。しかし、物事には必ずメリットとデメリットがあり、IT技術の発展にも負の側面が存在します。それが年々、高度化かつ巧妙化しているサイバーテロの脅威です。
情報は企業にとって、ヒト・モノ・カネと同様、貴重な経営資源です。情報爆発社会といわれる現代において、その重要性は日々増大しています。高度化かつ巧妙化するサイバーテロという脅威から企業を守るためには、複数の認証プロセスによる情報管理基盤の強化が必要不可欠なのです。
情報漏えいインシデントは企業価値の失墜を招き、社会的信用に致命的な悪影響を及ぼします。例えば、2014年に国内最大手の教育関連企業の顧客情報が流出するという事件が発生しました。漏えいしたのは、約2,800万件以上の顧客の住所や氏名、電話番号、性別や生年月日などです。事件の原因は情報管理システムの運用を委託していた、グループ企業の元従業員による意図的な情報流出だったといいます。このようなリスクを最小限に抑えるためにも、データ管理の最適化は非常に重要な経営課題です。
多要素認証(MFA)における要素の種類
多要素認証を構成しているのは以下で示す3つのファクターです。
- ユーザーだけが知る「知識要素」
- ユーザーが持つ「所持要素」
- ユーザーの身体的特徴である「生体要素」
多要素認証においてはこの3つのファクターから、2つ以上を組み合わせて不正アクセスを防止します。ここでは、「知識要素」「所持要素」「生体要素」について詳しく解説していきます。
知識要素
先述したように、知識要素はユーザーだけが知り得る言語や数字などの情報群を指します。「What you know(あなたが知っていること)」の頭文字を取って、「WYK認証」とも呼ばれています。
このWYK認証には、複製されにくいというメリットがある一方、失念やなりすましといったリスクが懸念されてもいます。
パスワードによる認証
知識認証におけるもっとも代表的なものが、IDや英数字の組み合わせによる認証です。もっとも一般的で馴染み深い手法ですが、安全性という観点ではやや不安が残ります。堅牢なシステム環境を構築したい場合は、単体での導入ではなく他要素と組み合わせた運用が推奨されます。
暗証番号(PIN)による認証
複数桁からなる数字を入力することで、真正性を確認する方式です。主に4桁から6桁の数字で構成されています。数字の組み合わせパターンには限界があるため、安全面での脆弱性が危惧されます。
所持(所有)要素
ユーザーが所持しているデバイスによって真正性を確認する方式を指します。モバイルデバイスやUSBなどによる認証が該当します。デバイスの紛失や盗難のリスクがあるため、紛失時や盗難時における具体的な対応策の明確化が重要です。
カードによる認証
ICカードや磁気カードなどによる認証方式です。具体的にはクレジットカードや従業員証などが挙げられます。すでに従業員証をICカードで作成している企業であれば、そのまま流用できるケースもあります。
SMSによる認証
モバイルデバイスの「SMS(ショートメッセージ)」を利用した方式です。ユーザーの所有するモバイルデバイスに対して、送信された言語や数字の入力によって認証します。同一の携帯電話番号は存在しないため、本人確認と非常に相性のよい手法です。情報通信技術とモバイルデバイスの発展に伴って、急速に普及しています。
生体(存在)要素
ユーザーの身体的特徴を利用する方式を指します。指紋や虹彩、顔や静脈などによる認証が主な手法です。バイオメトリクス認証とも呼ばれ、複製やなりすましが非常に困難なため、安全性と信頼性においてもっとも高い効果が期待できます。しかし、比較的高コストになるため、費用対効果を明確にしておくことが大切です。
指紋による認証
ユーザーの指紋情報から真正性を確かめる方式です。同じ指紋を持つ人間は誰1人としていないため、拇印や犯罪捜査などにも使われてきました。盗難やなりすましはほぼ不可能であり、安全性の高さが大きなメリットです。
顔による認証
ユーザーの顔の特徴を認識して特定する方式です。目・鼻・口の3点の位置やバランスなどを基準に判断します。非常に高い安全性を誇るため、出入国管理のような国家インフラや企業の入退場管理といった環境で導入されています。モバイルデバイスのロック解除に利用される機会の多い方式ですが、現状ではマスク装着時に認証不可というのが今後の課題です。
新しいタイプの多要素認証(MFA)の要素
多要素認証に用いられるのは知識、生体、所有要素が一般的でしたが、近年は新しいタイプの要素が登場しています。
- 行動ベース
- コンテキストベース
行動ベース
行動ベースとは、ユーザーとビジネスの情報を紐づけた行動を判別する要素のことです。
行動ベースの要素として、具体的には以下を指します。
- ログイン試行の失敗回数
- ログイン試行の日時
- ユーザーロール
ログイン試行の失敗回数が一定数を超えていれば異常行動とみなして、認証させません。ログイン試行の日時によって、業務時間以外の時間帯や曜日のログインを認証させないこともできます。また一般ユーザーにも関わらず、管理者しかできないであろう他人のパスワード変更のような行動を試みることも、認証させません。
行動ベースは上記のようにユーザーの情報に合わせて行動を登録し、異常があれば認証させない要素です。
コンテキストベース
コンテキストベースとは、アクセス環境にもとづいてユーザーの本人確認ができる要素のことです。
コンテキストベースの要素として、具体的には以下を指します。
- ユーザーの位置情報
- ログインに使用されたデバイス
- ログインに使用された送信元IPアドレス
- ログインに使用されたデバイスのオペレーティングシステム
上記のように、事前にユーザーのアクセス環境を登録しておき、認証を実施します。登録内容と逸脱している場合は認証をさせないことや、別の要素で仮認証を行うことも可能です。
コンテキストベースの要素は、上記のように所有要素に近い情報が用いられます。
多要素認証(MFA)における要素の使い分け方
上記のように、認証で使える情報は多種多様なので、どの要素を使えばいいのか戸惑ってしまう方もいることでしょう。多要素認証の使い分け方において、絶対的な正解はありません。大切なのは、自社の規模や事業形態に適応するソリューションを導入することです。例えば、すでにICカードや従業員証、あるいは携帯電話などを所有している場合は、所持要素を導入するパターンが考えられます。
生体要素の導入を検討しているのであれば、専用リーダーの取り付けが必要です。「アクセス端末が対応しているのか・もしくは取り付けられるのか」といった点が、導入の判断材料になるでしょう。
また、メリットとデメリットを正しく理解することも重要です。例えば、知識要素はもっとも一般的な方法であり、導入コストが低いというメリットはある一方で、安全面での脆弱性が懸念されます。所持要素は多くの特定情報を使えるのは大きなメリットですが、紛失や盗難などのリスクは否めません。生体要素は高いセキュリティを誇るものの、導入コストはもっとも高額です。
このように、各方式によってさまざまな特徴を備えているため、メリットとデメリットをしっかりと把握し、自社の事業形態や経営戦略に沿ったソリューションの導入が重要になります。情報資産の質や量を把握し、情報漏えいインシデント時のリスクを明確化するなど、確固たる経営ビジョンのもとでの運用が必要です。
多要素認証(MFA)と2要素認証(2FA)と多段階認証の違い
多要素認証との区別に混乱しがちな仕組みとして、「2要素認証(2FA)」や「2段階認証」があります。
まず、2要素認証は、多要素認証の一種です。先に紹介した「知識情報」「生体情報」「所持情報」の3要素のうち、2要素を認証時に求めることを指します。これに対して多要素認証は、2要素だけでなく3要素使うケースも含めた概念です。また近年は、新しいタイプの多要素認証として解説した「行動ベース」や「コンテキストベース」の要素が用いられることもあります。これらを含めた5種類のうち、2種類を用いる2要素認証と3種類以上を用いる多要素認証に分類が可能です。
2段階認証は、認証を2回に分けて行う方法です。2段階認証では、認証時に利用する要素の数は問われません。例えば、「パスワードとPINを入力する(知識要素を2つ求める)」というように、同じ種類の要素を2つ使う場合でも2段階認証に該当します。他方で多要素認証の場合は、複数の異なる要素を必ず使わなければなりません。
他段階認証は2段階認証に引き続いて、回数が増えた認証方法です。この場合でも2要素は1つでも、複数でも該当します。しかし、セキュリティ面を考えれば多要素を組み合わせることが望ましいです。
よくある質問
続いては、多要素認証に関するよくある質問に答えていきます。
[FAQ]おすすめの多要素認証(MFA)サービス「HENNGE One」
多要素認証に対応したソリューションとしては、SaaS認証基盤サービス「HENNGE One」の導入がおすすめです。HENNGE OneをMicrosoft 365やGoogle Workspaceなどのクラウドサービスと連携させることで多要素認証環境を簡単に構築できます。
さらに、HENNGE Oneはシングルサインオン(SSO)にも対応しているので、多要素認証のネックであるユーザーの利便性低下も補完可能です。昨今では、クラウドサービスを複数利用する企業が増えています。HENNGE Oneによって多要素認証とシングルサインオンをセットで導入することで、セキュリティレベルの向上とユーザーの利便性向上の両方を実現できます。
まとめ
企業にとって、情報管理の最適化は非常に重要な経営課題です。情報漏えいなどによる企業価値の低下を防ぐためには、多要素認証をはじめとするセキュリティ対策に取り組むことが欠かせません。
強固な認証セキュリティを構築するためにおすすめなのが「HENNGE One」の導入です。HENNGE Oneは多要素認証をはじめ、シングルサインオンやIP制限、デバイス証明書など、企業のセキュリティ強化に役立つ機能が豊富に搭載されています。信頼性の高い安全なセキュリティ体制を構築するために、ぜひHENNGE Oneの導入を検討してみてはいかがでしょうか。
-
多要素認証の例は?
多要素認証においては、「知識要素」「所有要素」「生体要素」の中から2要素以上を組み合わせて認証を行います。例えば、ID/パスワード(知識要素)を要求すると同時に、スマホ(所有要素)へSMSで通知したワンタイムパスワードの入力も求めるなどです。
-
多要素認証のデメリットは?
多要素認証のデメリットは、認証時のユーザーの手間が増えることです。ユーザーの負担を減らすには、シングルサインオンと併用するなど運用の工夫をすることが求められます。
また、多要素認証に用いるデバイスやカードを使い回すなど運用の仕方を誤ると、セキュリティ対策として十分な効果を発揮しなくなってしまいます。自社の状況に合った認証方法を選び、正しい運用を徹底する必要があるでしょう。
さらに、認証方法によってはカードリーダーなどの機器をそろえる必要があるなど、導入コストがかかります。
- カテゴリ:
- ID管理