ITサービスを利用する際に、利用者が本人であることを確認することを「認証」と言います。
多要素認証(MFA)は、この認証をより確実にするために、「本人しか知らない知識」「本人しか持っていない所有物」「本人自身の生体情報」の3つの要素のうち、異なる2つ以上の要素を組み合せることで、認証を強化する方法です。
多要素認証を導入すれば、なりすましによる不正アクセスを防止し、ユーザーがより安心してシステムを利用できるようになります。
この記事では、多要素認証(MFA)の概要や注意点、メリットについてご紹介します。
多要素認証(MFA)とは
多要素認証(MFA)とは、認証の信頼性をより高めるために、「知識」「所有物」「生体情報」の3つの認証要素のうち、異なる2つ以上の要素を組み合せることで、認証を強化する方法です。事実上、二要素あれば成立するので、二要素認証とも呼ばれます。
多要素認証は、金融機関や政府機関など、厳格な情報セキュリティが求められるシステムで広く採用されています。近年は、サイバー攻撃の高度化・巧妙化・広範化を反映して、さまざまな業界の情報セキュリティガイドラインで多要素認証の導入が要請され、一般企業でも導入されるケースが増えています。
なお、MFAとは、多要素認証を英語表記したMulti-Factor Authenticationの頭文字を取ったものです。
多要素認証(MFA)の必要性
「多要素認証(MFA)とは」でご紹介した各認証要素には、それぞれメリットもあればデメリットもあります。
たとえば、知識認証の代表であるパスワードでは、ありがちなパスワードや簡単なパスワードを設定してしまうと、簡単に推測されたり総当たり攻撃で破られたりする恐れがあります。
また、パスワードの使いまわしは、一度パスワードが漏えいすると他のシステムへ侵入されるリスクを高める要因となります。しかし、利用するサービスが増える中、すべてのサービスで異なる複雑なパスワードを使い分けることはユーザーにとって困難であると言えるでしょう。
多要素認証では、3つの認証要素のうち2つ以上を必要とするため、認証情報の窃取による不正アクセスや情報漏えいといったセキュリティ侵害のリスクを低減することが可能です。
個人情報などの重要情報を扱う組織や特定の業界では、セキュリティ対策として多要素認証を必須とすることが増えてきました。また、企業の対外的な信頼性を向上させるために採用するケースもあり、その必要性が高まってきています。
多要素認証(MFA)の3つの認証要素と特徴
「知識」「所有物」「生体情報」の要素を使った認証方式は、それぞれ「知識認証」「所有物認証」「生体認証」と呼ばれます。それぞれの認証方式には安全面、運用面、コスト面において、メリットとデメリットがあります。
知識認証
利用者があらかじめ登録した文字や数字などの「知識」を使用する認証方式です。パスワードや PIN コードなどがこれに該当します。知識は脳の中にあるので、脳内にある限り、他人からは奪われにくい情報です。必要なのは記憶だけなので、コストもかかりません。しかし、人の記憶力に依存しているため、管理に大きな課題があります。
代表例 | メリット | デメリット |
---|---|---|
パスワード PINコード 秘密の質問 パターン | 他人によるなりすましを防ぐことができる 実装や管理にかかるコストが低い 新たなハードウェアやソフトウェアの導入が不要 リセットや再発行が容易 | 複数のパスワード管理が面倒、覚えられない 使い回しにより安全性が著しく低下する フィッシングやパスワード攻撃への脆弱性 |
所有物認証
所有物認証とは、特定の物理的なアイテムやデバイスを使用する認証方式です。実際に物理的なアイテムを所有している必要があるので、オンラインでの攻撃に対して耐性があります。また、特定の端末内に登録されるデジタル証明書も所有物認証に含まれます。
代表例 | メリット | デメリット |
---|---|---|
ICカード ワンタイムパスワード用トークン デジタル証明書 | 物理的なアイテムやデバイスを使用するため、オンラインでの攻撃に対して耐性がある シンプルな仕組みのため、使い方が分かりやすい | 導入・管理・保守にコストがかかる 紛失や故障、盗難のリスクがある 使用時に取り出す必要がある 使用方法・管理について教育・トレーニングが必要 |
生体認証
指紋や顔、虹彩(瞳の模様)など、身体の一部の「生体」情報を使用する認証方式です。モノの持ち運びを意識する必要がないことや簡単さが好まれています。ただし、生体情報を読み取る認証器が必要なためコストがかかります。さらに、バックアップにパスワードが必要なので、パスワードの漏えいリスクが残ります。また、プライバシーの観点で大きな課題があります。
代表例 | メリット | デメリット |
---|---|---|
指紋 顔 静脈 虹彩 声紋 | 何も持ち歩く必要がなく簡単で便利 瞬時に認識され迅速な認証が可能 紛失や盗難のリスクが低い 偽造が困難である(※) | 生体情報を取得するための認証器を導入する必要がある バックアップ用にパスワードが必要なため、漏えいリスクがある 怪我や発汗など、特定の状況で利用不可能になる場合や認識エラーになる可能性がある 生体情報は変更できないため一度漏えいすると永続的に悪用される可能性がある |
二段階認証と二要素認証の違い
ここで、多要素認証を理解する上で知っておきたい「二段階認証」と「二要素認証」について解説します。
名前はよく似ていますが、どう違うのでしょうか?
二段階認証とは?
二段階認証とは、認証の段階を2回経て行う認証方式です。
たとえば、IDとパスワードを入力した後に秘密の質問に答えるといったケースが挙げられます。「パスワード」と「秘密の質問」はどちらも知識情報ですが、段階が2回に分かれているので二段階認証です。
ただし、「パスワード」と「秘密の質問」のように、同じ知識情報に属する認証要素での認証を2回行うのでは、安全性の強化にはさほどつながりません。
同じ二段階認証でも、パスワードを入力する知識認証の後にスマートフォンなどの物理的なアイテムを使用した所有物認証を行うようなケースであれば、段階も2回、要素も2つ使っているため二段階認証でもあり、二要素認証でもあります。
二要素認証とは?
一方、二要素認証とは、3つの認証要素のうち2つの要素を必要とする認証方式です。
つまり、「知識認証と所有物認証」「知識認証と生体認証」「所有物認証と生体認証」のいずれかの組み合わせを使うことになります。
多要素認証は、3つの認証要素のうち2つ以上を使う認証であるため、二要素認証を含む概念です。3つの認証要素がすべて要求される認証はあまりないため、実質的には多要素認証と二要素認証は同じ意味で使われています。
「二段階認証とは?」のように、同じ要素で2回認証するような二段階認証では、安全性の強化にはつながりません。
一方、二要素認証の場合は、異なる二要素を両方とも窃取することはサイバー攻撃者にとってハードルが高いため、より強固な情報セキュリティ対策になります。
つまり、二段階認証と二要素認証は、言葉は似ていますが、認証の安全性には大きな違いがあるのです。
多要素認証(MFA)の注意点
一方で、多要素認証の導入にはいくつかの注意点もあります。特に、認証用の端末を使用する所有物認証や生体認証を利用する場合には、注意が必要です。
コスト
多要素認証を導入するためには、認証用の端末やシステムの導入・管理にコストがかかります。特に大規模な組織では、全従業員に対応するための初期費用や、予期せぬトラブルによる追加コストが膨大になる可能性があります。
端末忘れ、故障・紛失
予期せぬトラブルの代表例として、置き忘れなどのヒューマンエラーが挙げられます。この場合、自宅やオフィスに端末を取りに戻るか、システム管理者に一時的に設定を変えてもらうリスクの高い対応を取らざるを得なくなることがあります。いずれにしても手間と時間がかかり、業務遂行の妨げとなります。また、端末のバッテリー切れでも同様の事態が想定されます。
また、故障や紛失の場合はさらに深刻です。紛失した端末の無効化や、端末の再発行・再設定が必要となり、それに伴う手間やコストが発生します。従業員数が多くなるほどこういった事態が起こる確率や頻度が高くなります。
持ち歩きの不便さ
トークンなどの認証用の端末は、常に持ち歩かなければならないという物理的な負担があります。特に、業務用以外に個人用の端末もある場合、それぞれを適切に管理して持ち歩く必要があり、忘れ物や紛失のリスクが高まります。さらに、セキュリティ上持ち込めない環境や、ネットワーク環境がないと使用できない状況も考慮する必要があります。
PassLogicであらゆる多要素認証のトラブルを回避!
パスロジ株式会社の「PassLogic(パスロジック)」は、7種類の認証方法と、16種類の多要素認証を提供する多要素認証ソリューションです。すべての認証方法でパスワードを使用せず、多要素認証に関するあらゆる課題解決をサポートしています。
手ぶらで実現できる多要素認証が最適
16種類の中でおすすめなのが、PassLogic認証(マトリックス方式)と、クライアント証明書を組み合わせた多要素認証です。
PassLogic認証は、ログイン画面に、乱数を配置したマトリックス表が表示され、事前に決めておいたパターンに沿って数字を読み取ることでワンタイムパスワードとして利用する認証方法です。
クライアント証明書(デジタル証明書)は、ユーザーが使用する端末にあらかじめインストールしておくことで、会社が使用を認めている端末であることを証明します。
この組み合わせでは、どちらの認証もブラウザ上で完結するため、追加の端末が必要ありません。
PassLogic認証とクライアント証明書による手ぶらで実現できる多要素認証は、パスワードも認証用の端末も不要なため、前述のトラブルを回避できます。
また、端末を必要としないことで導入コストを大幅に軽減することも可能です。
まとめ
多要素認証とは、パスワードなどの知識認証に加えて、生体認証やスマートフォンを使った所有物認証などの追加要素を組み合わせる認証方式です。これにより、脆弱性のあるパスワードだけの認証よりも、不正アクセスを防止しやすくなります。
多要素認証を導入するソリューションにはさまざまなものがありますが、ユーザーの利便性とセキュリティの高さ、さらにコストパフォーマンスにも優れた多要素認証の導入を検討することをおすすめします。
PassLogicは、7種類の認証方法と、16種類の多要素認証で、多要素認証に関するあらゆる課題解決をサポートしています。特に「PassLogic認証」と「クライアント証明書」の組み合わせは、パスワードも認証用端末も不要な多要素認証としておすすめです。
ご興味を持っていただけた方は、下記バナーから資料請求、またはボタンからお問い合わせください。