テクノロジーの進化と並行するように、不正アクセスをはじめとするサイバー攻撃の脅威も増しています。そこでセキュリティを強化する手段として重要になるのが、2つ以上の異なる要素の情報を認証時に要求する多要素認証です。本記事では、多要素認証の概要や仕組みをはじめ、そのメリットや諸要素の使い分け方などについて解説します。
多要素認証の意味
「多要素認証(MFA:Multi-Factor Authentication)」とは、WebサイトやECサイトなどにログインする際に、ユーザーの真正性を確認する行為を指します。従来のシステムと決定的に異なるのは、その名の通り、複数のファクターを組み合わせて認証する点です。この「2つ以上の異なるファクターによる認証」は、昨今のセキュリティ対策において重要なポイントとなっており、これを実施する認証を多要素認証と呼んでいます。
同じファクターでの認証を2回実施しても、それは多要素認証ではありません。多要素認証では、言語や数字といった知識ベースだけではなく、デバイスを用いた所持要素、指紋や虹彩といった生体要素など、複数のファクターによって真正性を確かめるのです。
多要素認証の仕組み
多要素認証の基本的な仕組みは、それぞれの認証要素ごとに事前登録された情報と、認証時にユーザーが提供する情報とを照合するというものです。
たとえば、ID/パスワードなどの知識要素であれば、認証サーバーに事前登録された情報と、ユーザーがその都度入力した情報を照らし合わせて本人確認を行います。指紋などの生体情報についても基本的な仕組みは同様です。事前に登録した指紋情報と、認証時にセンサーで読み取った指紋情報が一致するかどうかでアクセスの可否をシステムが判断します。
少し毛色が違うのは、スマホなどに送信されるワンタイムパスワードです。ワンタイムパスワードとは、認証時に時間制限つきでその都度発行されるパスワードのことです。
ワンタイムパスワードの場合は、ユーザーがアクセスしようとしたとき、そのリクエストに反応してシステムがパスワードを自動生成し、事前に登録された宛先へSMSやメールなどで通知します。ユーザーは一定時間内にそのパスワードをログイン画面に入力し、その正否によってシステムがアクセス許可を出す形です。ワンタイムパスワードの内容は毎回変化するので、前回使ったパスワードはその後使えなくなります。
多要素認証のメリット
多要素認証のメリットは、なりすましによる不正アクセスを抑止し、認証セキュリティを強化できることです。たとえば、認証時に必要とされるのがパスワードだけの場合、もしもそのパスワードを第三者に知られたら、それだけで不正アクセスを許してしまいます。しかし、認証時に複数要素の情報が必要となれば、たとえひとつの要素が突破されたとしても、その他の要素で防御可能です。
複数種類の認証操作を要求する多要素認証には、認証時の手間が増えてしまうデメリットもあります。さまざまなシステムやサービスを利用する企業が増えている現在、それぞれのサービスにアクセスするたびに多要素認証を行うのは軽視できない負担になるでしょう。
しかし、このデメリットに関しては、一度の認証操作で複数のシステムやサービスへのログインを可能にする「シングルサインオン(SSO)」を活用することで緩和できます。多要素認証とシングルサインオンを組み合わせることで、高いセキュリティと利便性を両立できるのです。
多要素認証の必要性
情報通信技術の発達によって、社会を取り巻く環境は大きな変革を遂げました。しかし、物事には必ずメリットとデメリットがあり、IT技術の発展にも負の側面が存在します。それが年々、高度化かつ巧妙化しているサイバーテロの脅威です。
情報は企業にとって、ヒト・モノ・カネと同様、貴重な経営資源です。情報爆発社会と言われる現代において、その重要性は日々増大しています。高度化かつ巧妙化するサイバーテロという脅威から企業を守るためには、複数の認証プロセスによる情報管理基盤の強化が必要不可欠なのです。
情報漏えいインシデントは企業価値の失墜を招き、社会的信用に致命的な悪影響を及ぼします。例えば、2014年に国内最大手の教育関連企業の顧客情報が流出するという事件が発生しました。漏えいしたのは、約2,800万件以上の顧客の住所や氏名、電話番号、性別や生年月日などです。事件の原因は情報管理システムの運用を委託していた、グループ企業の元従業員による意図的な情報流出だったといいます。このようなリスクを最小限に抑えるためにも、データ管理の最適化は非常に重要な経営課題です。
多要素認証における要素の種類
多要素認証を構成しているのは以下で示す3つのファクターです。
1.ユーザーだけが知る「知識要素」
2.ユーザーが持つ「所持要素」
3.ユーザーの身体的特徴である「生体要素」
多要素認証においてはこの3つのファクターから、2つ以上を組み合わせて不正アクセスを防止します。ここでは、「知識要素」「所持要素」「生体要素」について詳しく解説していきます。
知識要素
ユーザーだけが知り得る言語や数字などの情報群を指します。「What you know(あなたが知っていること)」の頭文字を取って、「WYK認証」とも呼ばれています。
このWYK認証には、複製されにくいというメリットがある一方、失念やなりすましといったリスクが懸念されてもいます。
パスワードによる認証
知識認証におけるもっとも代表的なものが、IDや英数字の組み合わせによる認証です。もっとも一般的で馴染み深い手法ですが、安全性という観点ではやや不安が残ります。堅牢なシステム環境を構築したい場合は、単体での導入ではなく他要素と組み合わせた運用が推奨されます。
暗証番号(PIN)による認証
複数桁からなる数字を入力することで、真正性を確認する方式です。主に4桁から6桁の数字で構成されています。数字の組み合わせパターンには限界があるため、安全面での脆弱性が危惧されます。
所持(所有)要素
ユーザーが所持しているデバイスによって真正性を確認する方式を指します。モバイルデバイスやUSBなどによる認証が該当します。デバイスの紛失や盗難のリスクがあるため、紛失時や盗難時における具体的な対応策の明確化が重要です。
カードによる認証
ICカードや磁気カードなどによる認証方式です。具体的にはクレジットカードや従業員証などが挙げられます。すでに従業員証をICカードで作成している企業であれば、そのまま流用できるケースもあります。
SMSによる認証
モバイルデバイスの「SMS(ショートメッセージ)」を利用した方式です。ユーザーの所有するモバイルデバイスに対して、送信された言語や数字の入力によって認証します。同一の携帯電話番号は存在しないため、本人確認と非常に相性のよい手法です。情報通信技術とモバイルデバイスの発展に伴って、急速に普及しています。
生体(存在)要素
ユーザーの身体的特徴を利用する方式を指します。指紋や虹彩、顔や静脈などによる認証が主な手法です。バイオメトリクス認証とも呼ばれ、複製やなりすましが非常に困難なため、安全性と信頼性においてもっとも高い効果が期待できます。しかし、比較的高コストになるため、費用対効果を明確にしておくことが大切です。
指紋による認証
ユーザーの指紋情報から真正性を確かめる方式です。同じ指紋を持つ人間は誰ひとりとしていないため、拇印や犯罪捜査などにも使われてきました。盗難やなりすましはほぼ不可能であり、安全性の高さが大きなメリットです。
顔による認証
ユーザーの顔の特徴を認識して特定する方式です。目・鼻・口の3点の位置やバランスなどを基準に判断します。非常に高い安全性を誇るため、出入国管理のような国家インフラや企業の入退場管理といった環境で導入されています。モバイルデバイスのロック解除に利用される機会の多い方式ですが、現状ではマスク装着時に認証不可というのが今後の課題です。
多要素認証における要素の使い分け方
上記のように、認証で使える情報は多種多様なので、どの要素を使えばいいのか戸惑ってしまう方もいることでしょう。多要素認証の使い分け方において、絶対的な正解はありません。大切なのは、自社の規模や事業形態に適応するソリューションを導入することです。例えば、すでにICカードや従業員証、あるいは携帯電話などを所有している場合は、所持要素を導入するパターンが考えられます。
生体要素の導入を検討しているのであれば、専用リーダーの取り付けが必要です。「アクセス端末が対応しているのか・もしくは取り付けられるのか」といった点が、導入の判断材料になるでしょう。
また、メリットとデメリットを正しく理解することも重要です。例えば、知識要素はもっとも一般的な方法であり、導入コストが低いというメリットはある一方で、安全面での脆弱性が懸念されます。所持要素は多くの特定情報を使えるのは大きなメリットですが、紛失や盗難などのリスクは否めません。生体要素は高いセキュリティを誇るものの、導入コストはもっとも高額です。
このように、各方式によってさまざまな特徴を備えているため、メリットとデメリットをしっかりと把握し、自社の事業形態や経営戦略に沿ったソリューションの導入が重要になります。情報資産の質や量を把握し、情報漏えいインシデント時のリスクを明確化するなど、確固たる経営ビジョンのもとでの運用が必要です。
多要素認証と2要素認証(2FA)との違い
多要素認証との区別に混乱しがちな仕組みとして、「2要素認証(2FA)」や「2段階認証」があります。
まず、2要素認証は、多要素認証の一種です。先に紹介した「知識情報」「生体情報」「所持情報」の3要素のうち、2要素を認証時に求めることを指します。これに対して多要素認証は、2要素だけでなく3要素使うケースも含めた概念です。
2段階認証は、認証を2回に分けて行う方法です。2段階認証では、認証時に利用する要素の数は問われません。たとえば、「パスワードとPINを入力する(知識要素を2つ求める)」というように、同じ種類の要素を2つ使う場合でも2段階認証に該当します。他方で多要素認証の場合は、複数の異なる要素を必ず使わなければなりません。
よくある質問
続いては、多要素認証に関するよくある質問に答えていきます。
多要素認証の例は?
多要素認証においては、「知識要素」「所有要素」「生体要素」の中から2要素以上を組み合わせて認証を行います。たとえば、ID/パスワード(知識要素)を要求すると同時に、スマホ(所有要素)へSMSで通知したワンタイムパスワードの入力も求めるなどです。
多要素認証のデメリットは?
多要素認証のデメリットは、認証時のユーザーの手間が増えることです。ユーザーの負担を減らすには、シングルサインオンと併用するなど運用の工夫をすることが求められます。
また、多要素認証に用いるデバイスやカードを使い回すなど運用の仕方を誤ると、セキュリティ対策として十分な効果を発揮しなくなってしまいます。自社の状況に合った認証方法を選び、正しい運用を徹底する必要があるでしょう。
さらに、認証方法によってはカードリーダーなどの機器をそろえる必要があるなど、導入コストがかかります。
おすすめの多要素認証サービス「HENNGE One」
多要素認証に対応したソリューションとしては、SaaS認証基盤サービス「HENNGE One」の導入がおすすめです。HENNGE OneをMicrosoft 365やGoogle Workspaceなどのクラウドサービスと連携させることで多要素認証環境を簡単に構築できます。
さらに、HENNGE Oneはシングルサインオン(SSO)にも対応しているので、多要素認証のネックであるユーザーの利便性低下も補完可能です。昨今では、クラウドサービスを複数利用する企業が増えています。HENNGE Oneによって多要素認証とシングルサインオンをセットで導入することで、セキュリティレベルの向上とユーザーの利便性向上の両方を実現できます。
まとめ
企業にとって、情報管理の最適化は非常に重要な経営課題です。情報漏えいなどによる企業価値の低下を防ぐためには、多要素認証をはじめとするセキュリティ対策に取り組むことが欠かせません。
強固な認証セキュリティを構築するためにおすすめなのが「HENNGE One」の導入です。HENNGE Oneは多要素認証をはじめ、シングルサインオンやIP制限、デバイス証明書など、企業のセキュリティ強化に役立つ機能が豊富に搭載されています。信頼性の高い安全なセキュリティ体制を構築するために、ぜひHENNGE Oneの導入を検討してみてはいかがでしょうか。
