多要素認証(MFA)とは?導入の必要性やメリットについて解説

 Webサービスやクラウドサービスをビジネスでも利用することが増えています。利便性が高まったのと同時に不正アクセスなどのセキュリティリスクも高まってきています。サービスを利用する際にログインを行いますが、そのログインに対してのセキュリティ対策の1つに「多要素認証」があります。「多要素認証」とは何か、どのような仕組みで、どういったメリットがあるか解説いたします。

多要素認証とは

 多要素認証とは、2つ以上の異なる認証要素を組み合わせた認証のことです。英語では Multi Factor Authentication と記載され、省略してMFAと記載されることもあります。
 認証要素には、「知識情報」「所持情報」「生体情報」の3種類があります。

 例えば、IDとパスワードでログインしている場合は、知識情報のみを利用した認証となります。
 多要素認証では、IDとパスワードのみ利用するような1つの認証要素による認証方法に比べて、2つ以上の認証要素を利用し本人確認をするため、よりセキュアな認証となります。
 情報漏洩により外部に漏れてしまったパスワード(知識情報)を利用して攻撃者が不正アクセスを行った際に、多要素認証であれば、攻撃者はパスワード(知識情報)以外の認証要素を準備できないため、攻撃を防ぐことができます。

3つの認証要素

 それぞれの認証要素について解説します。

  • 知識情報

     知識情報とは、本人だけが知っている情報を指します。
    パスワード、PINコード、秘密の質問などがこれにあたります。

  • 所持情報

     所持情報とは、本人しか持っていないものを指します。
    キャッシュカード、ICカード、SMSやメールで通知されるワンタイムパスワード、スマートフォンアプリケーションに表示されるワンタイムパスワード、ワンタイムパスワードを表示する専用のハードウェアトークンなどがこれにあたります。

  • 生体情報

     生体情報とは、本人の生体的特徴に関する情報を指します。
    指紋、静脈などがこれにあたります。スマートフォンで使われる顔認証も生体情報を利用した認証になります。

表1:認証要素比較表

6485_01.png 6485_02.png 6485_03.png
認証要素 知識情報 所持情報 生体情報
内容 本人だけが知っている情報 本人しか持っていないもの 本人の生体的特徴に関する情報
・パスワード
・PINコード
・秘密の質問
・スマートフォン
・ワンタイムパスワード
・ハードウェアトークン
・指紋
・静脈
・顔

二要素認証・二段階認証の違い

 多要素認証において、よく利用されているのが、2つの要素で認証を行う二要素認証です。
 二要素認証と似た言葉として二段階認証という言葉があります。それぞれの内容と違いを解説します。

二要素認証とは

 二要素認証とは、「知識情報」「所持情報」「生体情報」の3つの認証要素の内、2つの要素を利用して認証する方式を指します。
 例えば、ID、パスワード、ワンタイムパスワードを入力することで認証が完了するようなケースは二要素認証です。
 二要素認証は多要素認証に含まれます。

二段階認証とは

 二段階認証とは、2段階に分けて認証を行う方式を指します。
 例えば、IDとパスワードの入力後に画面遷移し、遷移後の画面で秘密の質問への回答を入力することで、認証が完了するようなケースは二段階認証です。
 上記例のような二段階認証は、知識情報の認証要素しか利用していないので、多要素認証ではありません。

二要素認証と二段階認証の違い

 最も重要な違いは、認証要素を2つ必要とするか、しないかです。
 二要素認証では、2つの認証要素を要求するため、二段階に分かれることが多く、二段階認証と混同されがちです。しかし、認証要素が2つあれば1段階で認証を行っても二要素認証となります。
 二段階認証では、認証要素は1つでも、二段階で認証を行う場合は、二段階認証となります。
 二段階で認証を行うケースで、要求される認証要素が2つある場合は、二要素認証かつ二段階認証となります。

 よりセキュアな認証は、二要素認証を含む、多要素認証となります。

多要素認証の必要性について

 1つの認証要素を利用した認証においては、認証要素としてパスワードなどの知識情報を利用するケースが一番普及した方式となります。しかし、知識情報には、漏洩や総当たり攻撃などに弱いという特徴があります。
 そのため、1つの認証要素だけでは、セキュリティリスクを軽減することは困難です。そこで、セキュリティリスクを軽減するために、2つ以上の認証要素を組み合わせていくことが重要となります。多要素認証であれば、万が一パスワードが漏洩してもワンタイムパスワードや生体認証が必要となるため、不正ログインを防ぐことができるのです。

 また、パスワード管理はセキュリティと利便性の両立に課題があります。
 セキュリティを考えた際にパスワードは、サービスごとに使い回しをすることなく、長くて複雑な文字列で設定している状態が理想的です。
 しかし、管理するパスワードが増えるに従い、管理にかかる労力も増えていきます。そのため、パスワードの使い回しをする、安易なパスワードを設定するなど好ましくない状況が発生します。

 昨今、Microsoft 365(旧 Office 365)やSalesforce、AWS、Azureなどのクラウドサービスの利用が増えてきています。また、テレワークも増加しており、VPN接続やリモートデスクトップを利用した接続なども増加傾向にあります。
 それに伴い、クラウドサービスを利用する際やリモート接続をする際の、管理が必要なパスワードも増えてきています。そのため、先ほど記載したパスワード管理の好ましくない状況が発生し、攻撃者からの不正ログイン、アカウントの乗っ取りなどのセキュリティリスクの増大が懸念されます。

 そのようなセキュリティリスクを軽減するために、多要素認証が有効となります。

多要素認証のメリット

 多要素認証を導入した際に得られるメリットについて解説します。

セキュリティを強化できる

 不正ログインの原因の90%以上はパスワードにあります。パスワードのみの認証に対しては、漏洩したパスワードを利用した攻撃や、よく使われるパスワード文字列で試行する攻撃、一文字ずつ文字列を変更していき総当たりでパスワードを試す攻撃など多くの攻撃手法があり、パスワードだけでは十分な安全性を確保できなくなっています。
 そこで、パスワードのみの認証から、SMSやメールで通知されるワンタイムパスワード、スマートフォンアプリケーションに表示されるワンタイムパスワードなどの所持情報による認証や、本人しか持ち得ない指紋認証や顔認証などの生体情報による認証も追加することで、セキュリティを強化することができます。

 攻撃者が知識情報であるパスワードを不正に取得していても、ワンタイムパスワードを発行するものを所持していなければ、ワンタイムパスワードを入力できず、もしくは本人と同じ生体情報ではないため、2つ目の認証要素を突破することができません。そのため、認証に多要素を要求することが、セキュリティの強化につながります。

ユーザーの利便性を向上できる

 Webサービスやクラウドサービスの利用増加に伴うアカウントの増加により、それらに紐づくパスワードの増加により、パスワード管理のセキュリティと利便性の両立が難しくなってきています。
 セキュアなパスワード管理の手間を惜しんで、パスワードの使い回しや安易な文字列によるパスワード設定を行うなど、セキュリティを犠牲にして利便性を取るケースが発生しています。

 そこで、知識情報のパスワードではなく、多要素認証の認証要素の内、本人確認を行うことができるスマートフォンなどの所持情報、指紋や顔などの生体情報の2つを利用し、認証します。そうすることで、パスワード管理の必要性がなくなり利便性が向上し、また2つの認証要素を利用した多要素認証によりセキュリティを強化でき、セキュリティと利便性の両立を図ることができます。
 例えば、あるクラウドサービスに対してユーザーがIDを入力すると、所持しているスマートフォンにて本人確認を求められ、指紋認証や顔認証により認証を完了させます。その後、認証が完了したことをWebサービスやクラウドサービスへ連携することで、サービスを利用できるようになるケースです。
 このケースにおいては、知識情報の管理が不要で、ユーザーの利便性が高く、加えて攻撃者は認証機も所持しておらず、生体情報もないため、不正ログインをすることができません。

多要素認証を設定するには

 多要素認証を実現するためには、どのように検討し実施していけばよいかを解説します。

クラウドサービスのアカウントごとに多要素認証を設定する

 企業でよく利用されているMicrosoft 365(旧 Office 365)やSalesforceなどのクラウドサービスの多くは多要素認証の設定が可能です。
 最初のステップとして、よく利用しているサービスで、不正アクセスをされた時に影響の大きいサービスから設定をしていくことをお勧めします。
 次に対象のサービスが増えてきた際には、シングルサインオン(SSO)による認証統合を検討することをお勧めします。対象のサービスが増えてくると、Webサービスやクラウドサービスごとに多要素認証の設定が必要となり、ユーザーはサービスにアクセスするたびに認証操作が必要となるためです。認証統合することで設定の手間が軽減され、ユーザーの認証操作が1回で済み、利便性が向上します。

自社サービスには多要素認証のソフトウェアを導入する

 自社サービスの場合、パスワードなどの知識情報のみの認証にしか対応しておらず、多要素認証に対応していない場合があります。その場合、認証に関する機能を多要素認証に対応したソフトウェアに置き換え、自社サービスに適用することをお勧めします。

ThemiStruct Identity Platformは多要素認証を活用できる統合認証基盤

 オージス総研が提供する ThemiStruct(テミストラクト)Identity Platform はB2B / B2Cサービスの顧客向けサイトの認証・認可、ID管理を提供する統合認証基盤です。

 多要素認証だけでなく、シングルサインオン(SSO)やソーシャルメディアを使ったソーシャルログインも提供しています。

 当社では統合認証基盤の導入において上流工程~移行・リリースまでのフルサポート、特定工程のみに限定した部分サポートなど、お客様のニーズやご予算に応じた導入支援が可能です。

 これまで当社が十数年にわたり統合認証基盤の開発・構築・運用に取り組んできた実績を基に、導入段階から本稼働後の運用段階に至るまでお客様が抱える課題に対して、安心・確実・迅速なサポートを提供できます。

※本記事において、掲載・表示されている会社名、商品・サービス名およびロゴは、各社の登録商標または商標です。

2022年5月10日

関連サービス

関連記事一覧