多要素認証とは、認証における「知識情報」「所持情報」「生体情報」の3つの要素のうち、2つ以上の異なる要素を組み合わせて行う認証方法のことです。英語表記では「Multi-Factor Authentication」となり、この頭文字を取って「MFA」ともよばれます。
デジタル技術の向上はユーザーの利便性を向上させますが、それはサイバー攻撃者にとっても同じこと。ブルートフォースアタックなどにより認証を突破されてしまうと、なりすましによる不正利用などの被害リスクがあります。
これを防ぐためには、より複雑で長いパスワードを設定する必要がありますが、ユーザーの負担が大きくなりますし、そもそも認証用のIDやパスワードが漏えいしてしまえば意味がありません。
そこで期待が寄せられているのが多要素認証です。
本コラムでは、多要素認証の必要性やメリット、導入ポイントなどをご紹介いたします。
クラウド型ID管理・統合認証サービス「Okta(オクタ)」のサービスページはこちら
多要素認証(MFA)とは?なぜ必要なのか
多要素認証とは、認証における「知識情報」「所持情報」「生体情報」の3つの要素のうち、2つ以上の異なる要素を組み合わせて行う認証方法のことです。英語表記では「Multi-Factor Authentication」となり、この頭文字を取って「MFA」ともよばれます。
認証の要素
認証に使われる要素には、「知識情報」「所持情報」「生体情報」の3つがあります。
知識情報
知識情報とは、認証を行うユーザーなどが記憶しておくことのできる情報を指します。
たとえば、「パスワード」「認証コード」「秘密の質問」といったものが当てはまります。
本人だけが知っている情報をシステムに登録しておき、ログインの際に一致させる仕組みであるため、他人からは推測されにくいものにすることが重要です。
所持情報
所持情報とは、ユーザーだけが所有している情報を指します。
たとえば、クレジットカードや身分証明書、ICカード、ワンタイムパスワード用のトークンなどが当てはまります。
「クレジットカード」「携帯電話」などは、本人のみが所持していると考えられるため、カードに記載されたセキュリティコードや、携帯電話宛てに送信される認証コードも所持情報に該当します。
所持情報は、紛失すると使用できません。また、盗難により、なりすましのリスクもあります。紛失や盗難には細心の注意を払う必要があるほか、こうした場合の無効化や再発行の手順が厳格である必要があります。
生体情報
生体情報とは、ユーザーの身体的な情報を指します。
たとえば、「指紋」「虹彩」「静脈」などが当てはまります。
認証のために、パスワードを記憶したり、何かを所持しておく必要もなく、ユーザーにとって負担感の少ない認証方法です。紛失などの心配もありません。ただ、読み取り装置の精度によっては、誤認識が多かったり、「顔」や「音声」など、比較的、複製しやすい認証方法での、なりすましによる認証が可能な点がデメリットです。
コンピューターの性能が向上したおかげで、より短時間で多くの処理が行えるようになりました。サイバー攻撃者もその恩恵を受けているため、考え得る限りのすべてのパスワードの組み合わせを片っ端から試していく「ブルートフォースアタック」のようなサイバー攻撃にかかる時間が短縮しています。たとえば、従来は安全だといわれていた8桁のパスワードの解析にかかる時間も、現在では2日まで短縮しています(※アルファベット・数字・記号を混合した場合)。
かといって、10桁などの長く複雑なパスワードを、利用しているシステムやサービスごとに設定・管理するのは容易なことではありません。パスワード管理ツールなどもありますが、その利用すらも面倒に感じて複数のサービスで同じパスワードを使いまわしているというユーザーも少なからず存在します。
上の「知識情報」でお伝えしたように、パスワードは「知識情報」に該当します。長く複雑なパスワードを設定して一つの要素のみを強化するよりも、「所持情報」や「生体情報」と組み合わせて認証した方がセキュリティレベルが向上します。たとえ「知識情報」が流出したとしても、「所持情報」や「生体情報」も持っていなければ認証できません。
セキュリティレベルの向上こそが、多要素認証の必要性といえます。
多要素認証(MFA)のメリット
多要素認証のメリットは、大きく「セキュリティの向上」「ユーザーの利便性の向上」の2つです。
セキュリティの向上
前章でもお伝えしていますが、多要素認証を活用することで、なりすましによる不正利用を防ぎやすくなります。サイバー攻撃者は成功確率の高い方法を選ぶ傾向にあるため、認証のために2つ以上の要素を入手しなければならない多要素認証はまず敬遠されます。仮に、なりすましを試みようとしても、2要素以上の情報を窃取することは困難です。
もし、IDとパスワードが流出したとしても、それだけでは認証を突破できないため、多要素認証のセキュリティは高いといえます。
ユーザーの利便性の向上
多要素認証を活用しない場合、多くのシステムやアプリケーションでは認証に「知識情報」を採用するため、セキュリティを担保するために、ユーザーは長くて複雑なパスワードを設定しなければなりません。システムによっては、定期的なパスワード変更が求められ、その負担は小さくありません。
多要素認証を導入すれば、ユーザーのパスワード管理における負担を減らしながらセキュリティ向上が可能になります。
多要素認証(MFA)とその他の認証の違い
多要素認証と似た名前のものに「二要素認証」「多段階認証」があります。
多要素認証とは、どう違うのでしょうか?
二要素認証との違い
二要素認証とは、多要素認証のうち、認証に使用する要素の数が2つのものを指します。つまり、「知識情報と所持情報」「知識情報と生体情報」「所持情報と生体情報」の3つのうちいずれかの組み合わせで認証を行うことになります。
多段階認証との違い
多段階認証とは、3つ以上の段階を踏んで認証を行うことをいいます。
二段階認証とは
段階を踏んで行う認証のうち、段階が2つのものは「二段階認証」といいます。
たとえば、最初にIDとパスワードで認証を行い、続けて、登録してあるメールアドレス宛てに送信されるワンタイムパスワードを使った認証を行う場合、これらはともに「知識情報」となり、二段階認証に当たります。要素は複数にまたがらないため、多要素認証には該当しません。一方、最初にIDとパスワードで認証を行い、その後、指紋認証を行った場合は、二段階認証かつ二要素認証(多要素認証)となります。
多段階認証の場合も同様に、多要素認証に該当する組み合わせと、そうでない組み合わせがあります。
多要素認証(MFA)を導入する際のポイント
多要素認証の製品やサービスを導入する際に気にしておくべきポイントは、次の3つです。
認証メソッドの種類を把握し、適切なものを選ぶ
多要素認証のソリューションには、複数のメソッドがあります。
たとえば、社員証などに利用されるICカードや、あらかじめ登録しておいた端末をBluetoothで認証するというように物理的な方法があります。
また、アプリタイプもあり、こちらはデバイスを問わずに使えるためスマートフォンやタブレットでも利用できますが、逆に、生体認証を行う機器はUSB接続が多く、基本的にパソコンのみからの利用となります。
自社の希望する運用体制とのマッチングも考慮して適切なものを選ぶ必要があるでしょう。
端末の紛失などの防止策も徹底しよう
「所有情報」を組み合わせて多要素認証を実現する場合は、所有するカードやデバイスそのものを紛失・盗難してしまうと、認証が行えなくなってしまいます。
また、「生体情報」のデータが端末に保存されているケースでは、盗難により情報が漏えいして悪用される恐れもあります。
以上の理由から、端末の紛失・盗難を防ぐための運用ルールを整備し、従業員に浸透させるとともに、万が一、紛失・盗難があった場合には遠隔からロックして情報漏えいを防げるようなソリューションを導入して備えておくことが大切です。
ユーザーの負担をより減らせるものを選ぶ
多要素認証に用いる要素は多いほど高セキュリティを実現できますが、実用面を考えるとあまり多くの要素を組み合わせるとユーザーの負担が大きくなり、利便性が低下してしまいます。
逆に、たとえば、多要素認証とともにシングルサインオン(SSO)を導入すれば、ユーザーのログインにおける利便性はさらに向上します。
ユーザー視点での利便性を保ちつつ、セキュリティ向上がかなう方法を検討しましょう。
【関連記事】
【活用事例付き】シングルサインオン(SSO)でできることとは?
シングルサインオン(SSO)製品を導入する際のポイント
まとめ
多要素認証について、概要やメリット、導入のポイントをご紹介しました。
多要素認証を導入・活用することで、認証のセキュリティを高めながら、ユーザーの負担を軽減することができます。
さらに、シングルサインオンを併用すれば、複数のシステムやWebアプリケーションへのログインを簡素化でき、高い利便性を享受できるようになります。
伊藤忠テクノソリューションズでは、7,000以上(※2024年4月時点)ものサービスと連携可能なシングルサインオン製品「Okta」を提供しております。
ワンタイムパスワードや生体認証などの複数の要素で認証を強化する多要素認証機能も搭載しています。
たとえば、社内ネットワークからの認証は登録したメールアドレスとパスワードで認証。社外ネットワークからの認証は、メールアドレスによる認証とスマートフォンに送られるワンタイムパスワードによる認証を組み合わせることなどが可能です。
多要素認証およびシングルサインオンにご興味をお持ちの企業様は、お気軽にお問い合わせください。
伊藤忠テクノソリューションズが提供する「Okta」の詳細は、こちらからご覧ください。