パンデミック発生によるサイバー攻撃の急増、多様化によって、これまで一般的だったパスワード認証は限界に達し、多要素認証が求められる時代になりました。
本記事では、多要素認証の基本や具体例、過去に起こった不正アクセス被害を解説しつつ、認証の重要性や最適なシステムを紹介していきます。
多要素認証に求められる機能とは?
そもそも多要素認証とは「MFA:Multi-Factor Authentication」とも呼ばれ、認証の3要素である「知識情報」「所持情報」「生体情報」の中から、2つ以上の異なる認証要素を用いて認証する方法のことです。
身近にある具体例を挙げると、所持情報のキャッシュカードと知識情報のパスワードを入力するATMの利用は、まさに多要素認証の典型例といえるでしょう。
安全といわれるクラウドサービスにおいても、一度ハッキングされると機密事項の漏洩につながるため、ビジネスシーンでも多要素認証の重要性は増すばかりです。
スマートフォンの爆発的普及で管理するアカウント数が増え続ける昨今、パスワード認証だけでは限界に近づいており、多要素認証が今後のセキュリティのスタンダードとなる日も近いかもしれません。
多要素認証のシステム要件
先ほども少し触れましたが、多要素認証は「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証することです。
では、これら3つの要素がそれぞれどのようなものなのか、具体例を交えながらみていきましょう。
知識情報
知識情報とは、簡単にいうとユーザーの頭の中にしかない情報のことで、システムを利用する際に記憶している情報を入力して、認証を行う仕組みです。
昔からあるもっとも知名度の高い認証方法ですが、人間の記憶力に頼ることになるため、忘れてしまったり、調査されやすいデメリットもあります。
知識情報の具体例
- パスワード
もっともスタンダードな認証方法で、アルファベットや数字からなる文字列を構成する情報のこと。 - PINコード
「Personal Identification Number」の略で、スマートフォンの不正利用を防ぐために設定する「パスコード」のこと。
生体情報
生体情報とは、顔や声、指紋など、本人が備えている身体の特徴を利用して識別を行う仕組みのことです。
3つの認証方法ではもっとも安全性が高く、ユーザーの負担も少ないため、テクノロジーの進化に伴い急速に普及が進んでいます。
生体情報の具体例
- 顔認証
目、鼻、口などの特徴点の位置や、大きさなどをもとに本人照合を行う方法で、スマートフォンや空港の入退場、ライブ会場などで利用されている。 - 指紋認証
その名の通り1人1人違う特性を持った指紋を利用して、本人を認証する方法で、主にデバイスのロック解除で利用されている。 - 声紋認証
音声認証とも呼ばれる声紋認証は、発声器官の差異から生じる声の特徴を抽出して、本人かどうかを特定する方法で、スマートスピーカーが代表例。
所持情報
所持情報とは、ユーザーのみが所有している「モノ」を用いて認証する仕組み。
モノといってもさまざまありますが、キャッシュカードやICカード、ハードウェアトークンなど、他人と共有する機会が少ないモノが該当します。
最近は、肌身離さず持ち歩く機会が多いスマホもトークンの役割を果たすため、今後所持要素として普及していく可能性が高いです。
- ワンタイムパスワード
ワンタイムパスワードとは、文字通り一度しか使えないパスワードを発行して認証する仕組みで、金融機関を中心に導入が進んでいる。 - FIDO(ファイド)
「Fast Identity Online(高速なオンラインID認証)」の略で、そもそもパスワードを使わずに認証を行う国際規格。次世代の認証方式として有力視されている。
二要素認証や二段階認証との違い
多要素認証を語る上で頻繁に登場する「二要素認証」「二段階認証」というワードですが、言葉こそ似ているものの、両者の意味は全く違うものになります。
ここでは、両者が混同しないようそれぞれの意味をわかりやすく解説していきます。
多様性認証と二要素認証の違い
二要素認証は多要素認証の一部で、上記で解説してきた知識・生体・所持要素のうち2要素を使う認証のこと。
例えば、パスワードによる認証(知識認証)を行なった後、SMSに送られるワンタイムパスワード(所持認証)を入力するケースは、二要素認証に該当します。
多様性認証と二段階認証の違い
一方で二段階認証ですが、2回認証するという点では同じであるものの、2つ要素を使わなくても成立します。
例えば、パスワードによる認証(知識認証)を行なった後、秘密の質問への回答(知識認証)を求められた場合、これは共に知識認証であるため二要素認証は成立せず、二段階認証となります。
二段階認証はブルートフォース攻撃(総当たり攻撃)のリスク軽減に有効ですし、どちらもセキュリティ強化に欠かせない方法ですが、認証方式を選ぶことになった際は、より安全性が高い二要素認証を選択するとよいでしょう。
不正アクセスによる情報漏洩事故事例
インターネットの普及やテクノロジーの進歩に伴い進化してきたセキュリティ基盤ですが、同時にサイバー攻撃も多様化・巧妙化しており、不正アクセスによる情報漏洩事故は後を絶ちません。
2022年も不正アクセスの被害は報告されていますので、いくつか事例をみていきましょう。
オンラインショップへの不正アクセスでカード情報流出
アメリカに本社を構える某化粧品製造メーカーでは、運営するオンラインショップが何者かの不正アクセスを受け、ユーザーのクレジットカード情報4万6,702件が流出した可能性があることを明らかにしました。
これは、カード情報流出の可能性があるとの連絡を受け、第三者調査機関による調査を実施したところ、ユーザーが入力した情報が外部に流出するプログラムが設置されていたとのこと。
今後は、不正検知システム(24時間365日稼動)を使用してカードの利用状況をモニタリングし、問題の早期発見に注力するとコメントしています。
社内ストレージへの不正アクセスで個人情報流出
クレジットカード情報だけでなく、社内ストレージがターゲットにされる事例もあります。
人材コンサルティングから働き方改革のサポートまで、幅広く手掛ける某企業では、同社が運用する社内ストレージが第三者による不正アクセスを受け、個人情報約2万件が流出したことを明らかにしました。
今後は、外部クラウドサービスにデータを移行、さらに専門の第三者機関を交え、セキュリティレベルを向上し、再発防止に努めるとしています。
クラウド利用をサポートするHENNGE IdP Edition
一度不正アクセスによる被害を受けてしまうと、失った信用を取り戻すことはなかなか難しく、ビジネスに甚大な影響を及ぼす可能性もあります。
取り返しがつかないことにならないよう、ここで紹介するHENNGE IdP Editionをはじめとした認証基盤の構築や、自社セキュリティの見直しを行いましょう。
HENNGE IdP Editionの特徴
HENNGE IdP Editionは、複数のクラウドサービスのシングルサインオンを実現するのみならず、多要素認証やパスワードレス認証でクラウドをサポートするIDaaS(Identity as a Service)です。
HENNGE IdP Editionの特長は以下になります。
- 豊富なアクセスセキュリティ対策
- 200以上のSaaSに対応
- MFA(多要素認証)
- 脱パスワードの実現
など、次世代の認証方式を実現するさまざまな特長や機能を備えています。
HENNGE IdP Editionの機能
最後に、HENNGE IdP Editionの機能をざっくりとみていきましょう。
HENNGE IdP Editionの主な機能は以下の通りです。
- SSO(シングルサインオン)
- アクセス制御
- ID / パスワードの一元管理
- アクセスログ管理
- Active Directory連携
- デバイス証明書
- 脱パスワード
- セキュアブラウザ
- マルチアプリ制御
- 脱VPN
まとめ
Report Oceanによると、多要素認証市場は、2021年から2027年にかけて17%のCAGRで成長すると予測されており、リモートワーク文化の定着で今後さらに成長するのではないかともいわれています。
もし、記事をきっかけに多要素認証を導入したいと考えているなら、手厚いサポート体制で最適な導入を支援するHENNGE IdP Editionを使用して、基盤を構築してみてはいかがでしょうか。
