近年、企業や組織を取り巻くIT環境は大きく変化しており、クラウドサービスの利用拡大やリモートワークの普及により、IDとパスワードによる認証の重要性がこれまで以上に高まっています。一方で、ランサムウェアをはじめとするサイバー攻撃や不正ログインの被害も増加しており、従来のパスワード認証だけでは十分とは言えない状況になりつつあります。
こうした背景から注目されているのが、多要素認証(Multi-Factor Authentication:MFA) です。多要素認証は、パスワードなどの「知識情報」だけに頼らず、複数の異なる認証要素を組み合わせることで、認証の安全性を高める仕組みです。現在では、さまざまなシステムやクラウドサービスで導入が進んでいます。
本記事では、「多要素認証(MFA)とは何か」という基本から、認証要素の種類や仕組み、それぞれのメリットについて、できるだけわかりやすく解説します。
多要素認証(MFA)とは? 2要素認証、3要素認証の総称
多要素認証(MFA)とは、認証の信頼性をより高めるために、「知識」「所有物」「生体情報」の3つの認証要素のうち、異なる2つ以上の要素を組み合わせることで、認証を強化する方法です。2つの要素を組み合わせた場合は2要素認証、3つの要素の場合は3要素認証とも呼ばれます。
多要素認証は、金融機関や政府機関など、厳格な情報セキュリティが求められるシステムで広く採用されています。近年は、サイバー攻撃の高度化・巧妙化・広範化を反映して、さまざまな業界の情報セキュリティガイドラインで多要素認証の導入が要請され、一般企業でも導入されるケースが増えています。
なお、MFAとは、多要素認証を英語表記したMulti-Factor Authenticationの頭文字を取ったものです。
多要素認証(MFA)の必要性
「多要素認証(MFA)とは」でご紹介した各認証要素には、それぞれメリットもあればデメリットもあります。
たとえば、知識認証の代表であるパスワードでは、ありがちなパスワードや簡単なパスワードを設定してしまうと、簡単に推測されたり総当たり攻撃で破られたりする恐れがあります。
また、パスワードの使いまわしは、一度パスワードが漏えいすると他のシステムへ侵入されるリスクを高める要因となります。しかし、利用するサービスが増える中、すべてのサービスで異なる複雑なパスワードを使い分けることはユーザーにとって困難であると言えるでしょう。
多要素認証では、3つの認証要素のうち2つ以上を必要とするため、認証情報の窃取による不正アクセスや情報漏えいといったセキュリティ侵害のリスクを低減することが可能です。
個人情報などの重要情報を扱う組織や特定の業界では、セキュリティ対策として多要素認証を必須とすることが増えてきました。また、ガイドラインに対応することで、対外的な信頼性を向上させるために採用するケースもあり、その必要性が高まってきています。
\「多要素認証」の適用範囲が拡大! 各業界のセキュリティガイドラインはこちら/
多要素認証を要請する主なガイドライン
多要素認証(MFA)の3つの認証要素と特徴
「知識」「所有物」「生体情報」の要素を使った認証方式は、それぞれ「知識認証」「所有物認証」「生体認証」と呼ばれます。それぞれの認証方式には安全面、運用面、コスト面において、メリットとデメリットがあります。
知識認証
利用者があらかじめ登録した文字や数字などの「知識」を使用する認証方式です。パスワードや PIN コードなどがこれに該当します。知識は脳の中にあるので、脳内にある限り、他人からは奪われにくい情報です。必要なのは記憶だけなので、コストもかかりません。しかし、人の記憶力に依存しているため、管理に大きな課題があります。
サイバー攻撃の巧妙化に伴い、パスワードレス認証(FIDO2、WebAuthn)への移行が進行中です。
| 代表例 | メリット | デメリット |
|---|---|---|
| パスワード PINコード 秘密の質問 パターン | 他人によるなりすましを防ぐことができる 実装や管理にかかるコストが低い 新たなハードウェアやソフトウェアの導入が不要 リセットや再発行が容易 | 複数のパスワード管理が面倒、覚えられない 使い回しにより安全性が著しく低下する フィッシングやパスワード攻撃への脆弱性 |
所有物認証
所有物認証とは、特定の物理的なアイテムやデバイスを使用する認証方式です。実際に物理的なアイテムを所有している必要があるので、オンラインでの攻撃に対して耐性があります。また、特定の端末内に登録されるデジタル証明書も所有物認証に含まれます。使い切りのワンタイムパスワード(OTP)や、QRコードによる認証が主流になりつつあります。
| 代表例 | メリット | デメリット |
|---|---|---|
| ICカード ワンタイムパスワード用トークン デジタル証明書 | 物理的なアイテムやデバイスを使用するため、オンラインでの攻撃に対して耐性がある シンプルな仕組みのため、使い方が分かりやすい | 導入・管理・保守にコストがかかる 紛失や故障、盗難のリスクがある 使用時に取り出す必要がある 使用方法・管理について教育・トレーニングが必要 |
生体認証
指紋や顔、虹彩(瞳の模様)など、身体の一部の「生体」情報を使用する認証方式です。モノの持ち運びを意識する必要がないことや簡単さが好まれています。ただし、生体情報を読み取る認証器が必要なためコストがかかります。さらに、バックアップにパスワードが必要なので、パスワードの漏えいリスクが残ります。また、プライバシーの観点で大きな課題があります。さらに、声紋やキーストロークなど「行動バイオメトリクス」も注目されています。
| 代表例 | メリット | デメリット |
|---|---|---|
| 指紋 顔 静脈 虹彩 声紋 | 何も持ち歩く必要がなく簡単で便利 瞬時に認識され迅速な認証が可能 紛失や盗難のリスクが低い 偽造が困難である(※) | 生体情報を取得するための認証器を導入する必要がある バックアップ用にパスワードが必要なため、漏えいリスクがある 怪我や発汗など、特定の状況で利用不可能になる場合や認識エラーになる可能性がある 生体情報は変更できないため一度漏えいすると永続的に悪用される可能性がある |
二段階認証と二要素認証の違い
ここで、多要素認証を理解する上で知っておきたい「二段階認証」と「二要素認証」について解説します。
名前はよく似ていますが、どう違うのでしょうか?
二段階認証とは?
二段階認証とは、認証の手順を2回に分けて行う認証方式です。
たとえば、IDとパスワードを入力した後に秘密の質問に答えるといったケースが挙げられます。この場合、「パスワード」と「秘密の質問」はいずれも知識情報ですが、確認の手順が2段階に分かれているため、二段階認証に該当します。
二段階認証は「2回に分けて確認する」点に特徴がありますが、同じ固定の知識情報を重ねるだけでは、セキュリティ効果が限定的になることがあります。
一方で、同じ知識認証であっても、ワンタイムパスワード(OTP)のように毎回変化する情報を組み合わせることで、不正ログインの成立を大きく難しくできます。
また、二段階認証の中には、パスワードによる知識認証の後に、スマートフォンなどの物理的なアイテムを用いた所有物認証を行うケースもあります。このような場合は、認証の段階が2回であると同時に、異なる2つの認証要素を使用しているため、二段階認証であり、かつ二要素認証でもあります。
二要素認証とは?
一方、二要素認証とは、3つの認証要素のうち2つの要素を必要とする認証方式です。
つまり、「知識認証と所有物認証」「知識認証と生体認証」「所有物認証と生体認証」のいずれかの組み合わせを使うことになります。
多要素認証は、3つの認証要素のうち2つ以上を使う認証であるため、二要素認証を含む概念です。3つの認証要素がすべて要求される認証はあまりないため、実質的には多要素認証と二要素認証は同じ意味で使われています。
「二段階認証とは?」のように、同じ要素で2回認証するような二段階認証では、安全性の強化にはつながりません。
一方、二要素認証の場合は、異なる二要素を両方とも窃取することはサイバー攻撃者にとってハードルが高いため、より強固な情報セキュリティ対策になります。
つまり、二段階認証と二要素認証は、言葉は似ていますが、認証の安全性には大きな違いがあるのです。
多要素認証(MFA)の注意点
一方で、多要素認証の導入にはいくつかの注意点もあります。特に、認証用の端末を使用する所有物認証や生体認証を利用する場合には、注意が必要です。
コスト
多要素認証を導入するためには、認証用の端末やシステムの導入・管理にコストがかかります。特に大規模な組織では、全従業員に対応するための初期費用や、予期せぬトラブルによる追加コストが膨大になる可能性があります。
端末忘れ、故障・紛失
予期せぬトラブルの代表例として、置き忘れなどのヒューマンエラーが挙げられます。この場合、自宅やオフィスに端末を取りに戻るか、システム管理者に一時的に設定を変えてもらうリスクの高い対応を取らざるを得なくなることがあります。いずれにしても手間と時間がかかり、業務遂行の妨げとなります。また、端末のバッテリー切れでも同様の事態が想定されます。
また、故障や紛失の場合はさらに深刻です。紛失した端末の無効化や、端末の再発行・再設定が必要となり、それに伴う手間やコストが発生します。従業員数が多くなるほどこういった事態が起こる確率や頻度が高くなります。
持ち歩きの不便さ
トークンなどの認証用の端末は、常に持ち歩かなければならないという物理的な負担があります。特に、業務用以外に個人用の端末もある場合、それぞれを適切に管理して持ち歩く必要があり、忘れ物や紛失のリスクが高まります。さらに、セキュリティ上持ち込めない環境や、ネットワーク環境がないと使用できない状況も考慮する必要があります。
PassLogicであらゆる多要素認証のトラブルを回避!
PassLogicは、知識・所有物・生体の認証3要素すべてに対応した多要素認証ソリューションです。 マトリックス方式の「PassLogic認証」をはじめ、9種類の認証方法を自由に組み合わせた多彩な多要素認証を提供します。
手ぶらで実現できる多要素認証
多彩な組み合わせの多要素認証の中でおすすめなのが、PassLogic認証(マトリックス方式)と、クライアント証明書を組み合わせた多要素認証です。
PassLogic認証は、ログイン画面に、乱数を配置したマトリックス表が表示され、事前に決めておいたパターンに沿って数字を読み取ることでワンタイムパスワードとして利用する認証方法です。
クライアント証明書(デジタル証明書)は、ユーザーが使用する端末にあらかじめインストールしておくことで、会社が使用を認めている端末であることを証明します。
この組み合わせでは、どちらの認証もブラウザ上で完結するため、追加の端末が必要ありません。
PassLogic認証とクライアント証明書による手ぶらで実現できる多要素認証は、パスワードも認証用の端末も不要なため、前述のトラブルを回避できます。
また、端末を必要としないことで導入コストを大幅に軽減することも可能です。
まとめ
多要素認証とは、パスワードなどの知識認証に加えて、生体認証やスマートフォンを使った所有物認証などの追加要素を組み合わせる認証方式です。これにより、脆弱性のあるパスワードだけの認証よりも、不正アクセスを防止しやすくなります。
多要素認証を導入するソリューションにはさまざまなものがありますが、ユーザーの利便性とセキュリティの高さ、さらにコストパフォーマンスにも優れた多要素認証の導入を検討することをおすすめします。
PassLogicは、知識・所有物・生体の3要素すべてに対応し、マトリックス方式など9種の認証による多彩な多要素認証を提供しています。特に「PassLogic認証」と「クライアント証明書」の組み合わせは、パスワードも認証用端末も不要な多要素認証としておすすめです。
ご興味を持っていただけた方は、下記バナーから資料請求、またはボタンからお問い合わせください。
この記事を書いた人:
パスロジ株式会社 マーケティングチーム
〒101-0051 東京都千代田区神田神保町1-6-1 タキイ東京ビル7F
お問い合わせ https://passlogic.jp/inquiry/