ITサービスを利用する際に、利用者が本人であることを確認することを「認証」と言います。
多要素認証(MFA)は、この認証をより確実にするために、「本人しか知らない知識」「本人しか持っていない所有物」「本人自身の生体情報」の3つの要素のうち、異なる2つ以上の要素を組み合せることで、認証を強化する方法です。
多要素認証を導入すれば、なりすましによる不正アクセスを防止し、ユーザーがより安心してシステムを利用できるようになります。
この記事では、多要素認証(MFA)の概要や必要性についてご紹介します。
多要素認証(MFA)とは
多要素認証(MFA)とは、認証の信頼性を高めるために、「知識」「所有物」「生体情報」の3つの認証要素のうち、異なる2つ以上の要素を組み合せることで、認証を強化する方法です。事実上、二要素あれば成立するので、二要素認証とも呼ばれます。
多要素認証は、金融機関や政府機関など、厳格な情報セキュリティが求められるシステムで広く採用されています。近年は、サイバー攻撃の高度化・巧妙化・広範化を反映して、さまざまな業界の情報セキュリティガイドラインで多要素認証の導入が要請され、一般企業でも導入されるケースが増えています。
なお、MFAとは、多要素認証を英語表記したMulti-Factor Authenticationの頭文字を取ったものです。
多要素認証(MFA)の3つの認証要素と特徴
「知識」「所有物」「生体情報」の要素を使った認証方式は、それぞれ「知識認証」「所有物認証」「生体認証」と呼ばれます。それぞれの認証方式には安全面、運用面、コスト面において、メリットとデメリットがあります。
知識認証
利用者があらかじめ登録した文字や数字などの「知識」を使用する認証方式です。パスワードや PIN コードなどがこれに該当します。知識は脳の中にあるので、脳内にある限り、他人からは奪われにくい情報です。必要なのは記憶だけなので、コストもかかりません。しかし、人の記憶力に依存しているため、管理に大きな課題があります。
| 代表例 | メリット | デメリット |
|---|---|---|
| パスワード PINコード 秘密の質問 パターン | 他人によるなりすましを防ぐことができる 実装や管理にかかるコストが低い 新たなハードウェアやソフトウェアの導入が不要 リセットや再発行が容易 | 複数のパスワード管理が面倒、覚えられない 使い回しにより安全性が著しく低下する フィッシングやパスワード攻撃への脆弱性 |
所有物認証
所有物認証とは、特定の物理的なアイテムやデバイスを使用する認証方式です。実際に物理的なアイテムを所有している必要があるので、オンラインでの攻撃に対して耐性があります。また、特定の端末内に登録されるデジタル証明書も所有物認証です。
| 代表例 | メリット | デメリット |
|---|---|---|
| ICカード ワンタイムパスワード用トークン デジタル証明書 | 物理的なアイテムやデバイスを使用するため、オンラインでの攻撃に対して耐性がある シンプルな仕組みのため、使い方が分かりやすい | 導入・管理・保守にコストがかかる 紛失や故障、盗難のリスクがある 使用時に取り出す必要がある 使用方法・管理について教育・トレーニングが必要 |
生体認証
指紋や顔、虹彩(瞳の模様)など、身体の一部の「生体」情報を使用する認証方式です。モノの持ち運びを意識する必要がないことや簡単さが好まれています。ただし、生体情報を読み取る認証器が必要なためコストがかかります。さらに、バックアップにパスワードが必要なので、パスワードの漏えいリスクが残ります。また、プライバシーの観点で大きな課題があります。
| 代表例 | メリット | デメリット |
|---|---|---|
| 指紋 顔 静脈 虹彩 声紋 | 何も持ち歩く必要がなく簡単で便利 瞬時に認識され迅速な認証が可能 紛失や盗難のリスクが低い 偽造が困難である(※) | 生体情報を取得するための認証器を導入する必要がある バックアップ用にパスワードが必要なため、漏えいリスクがある 怪我や発汗など、特定の状況で利用不可能になる場合や認識エラーになる可能性がある 生体情報は変更できないため一度漏えいすると永続的に悪用される可能性がある |
二段階認証と二要素認証の違い
ここで、多要素認証を理解する上で知っておきたい「二段階認証」と「二要素認証」について解説します。
名前のよく似た認証ですが、どう違うのでしょうか?
二段階認証とは?
二段階認証とは、認証の段階を2回経て行う認証方式です。
たとえば、IDとパスワードを入力した後に秘密の質問に答えるといったケースが挙げられます。「パスワード」と「秘密の質問」はどちらも知識情報ですが、段階が2回に分かれているので二段階認証です。
ただし、「パスワード」と「秘密の質問」のように、同じ知識情報に属する認証要素での認証を2回行うのでは、安全性の強化にはつながりません。
同じ二段階認証でも、パスワードを入力する知識認証の後にスマートフォンなどの物理的なアイテムを使用した所有物認証を行うようなケースであれば、段階も2回、要素も2つ使っているため二段階認証でもあり、二要素認証でもあります。
二要素認証とは?
一方、二要素認証とは、3つの認証要素のうち2つの要素を必要とする認証方式です。
つまり、「知識認証と所有物認証」「知識認証と生体認証」「所有物認証と生体認証」のいずれかの組み合わせを使うことになります。
多要素認証は、3つの認証要素のうち2つ以上を使う認証であるため、二要素認証を含む概念です。3つの認証要素がすべて要求される認証はあまりないため、実質的には多要素認証と二要素認証は同じ意味で使われています。
「二段階認証とは?」のように、同じ要素で2回認証するような二段階認証では、安全性の強化にはつながりません。
一方、二要素認証の場合は、異なる二要素を両方とも窃取することは、サイバー攻撃者にとってハードルが高いため、より強固な情報セキュリティ対策になります。
つまり、二段階認証と二要素認証は、言葉は似ていますが、認証の安全性には大きな違いがあるのです。
多要素認証(MFA)の必要性
「多要素認証(MFA)の3つの認証要素と特徴」でご紹介したように、認証に用いる要素によってメリットもあればデメリットもあります。
たとえば、知識認証の代表であるパスワードでは、ありがちなパスワードや簡単なパスワードを設定してしまうと、簡単に推測されたり、総当たりで破られてしまう恐れがあります。とはいえ、複雑なパスワードを、利用するサービスごとにいくつも用意して覚えておくのは大変です。一方で、生体認証のひとつである指紋認証では、指紋情報が盗み取られてしまうと、指紋を変更するのは困難なため、永続的に悪用される可能性があります。
多要素認証では、3つの認証要素のうち、2つ以上を必要とするため、認証情報の窃取による不正アクセスや、情報漏えいといったセキュリティ侵害のリスクを低減することが可能です。
個人情報などの重要情報を扱う組織や特定の業界では、セキュリティ対策として多要素認証を必須とすることが増えてきました。また、企業の対外的な信頼性を向上させるために採用するケースもあり、その必要性が高まってきています。
まとめ
多要素認証とは、パスワードなどの知識認証に加えて、生体認証やスマートフォンを使った認証などの追加要素を組み合わせる認証方式です。これにより、パスワードだけの単一要素による認証よりも、不正アクセスを防止しやすくなります。
多要素認証は、現代の情報セキュリティにおいて重要な役割を果たしています。多要素認証を導入するソリューションには、さまざまなものがありますが、ユーザーの利便性とセキュリティの高さ、さらにコストパフォーマンスにも優れた多要素認証の導入を検討することをおすすめします。
パスロジ株式会社の「PassLogic(パスロジック)」は、特定のパターンから生成される「デバイスレス・ワンタイムパスワード」を用いる高セキュリティな知識認証を利用した認証プラットフォームです。表示された乱数表からパターンに沿って読み取るワンタイムパスワードを利用するので、複雑なパスワード管理を必要としません。認証器不要で、ブラウザ上で完結するため、コストを低く抑えられます。
多要素認証では、「デバイスレス・ワンタイムパスワード」と「クライアント証明書」を使った、ブラウザだけで完結するパスワードレスな方法に加え、モバイルアプリをタップして1分間だけログインを許可する「ログインプロテクト」機能やソフトウェアトークン、ハードウェアトークンも選択できます。
ご興味を持っていただけた方は、下記ボタンから資料請求またはお問い合わせください。
