多要素認証(MFA)とは?二要素認証・二段階認証との違いやメリットを解説
多要素認証とは、デバイスやツールなどのログイン時に、生体情報・知識情報・所持情報のうち2つ以上の要素を組み合わせて行う認証方法のことです。デジタルでの情報管理が普及してきたと同時に、強固なセキュリティ対策を実現させやすい多要素認証の方法が広く普及しました。
本記事では、多要素認証の詳細やほかの認証方法との違い・活用方法まで詳しく解説します。多要素認証は、企業の情報など大切な資産を守れる手段のひとつです。内容を正しく理解し、強固なセキュリティ対策を実現できるようにしていきましょう。
目次
[ 開く ]
[ 閉じる ]
多要素認証(MFA)とは
多要素認証とは、2つ以上の異なる要素を用いて、デバイスやツールなどのログイン認証を行うことです。「生体情報」「知識情報」「所持情報」の3要素から2つ以上の方法を用いて行います。
ひとつのログイン情報だけではログインできないため、不正ログインやなりすましへの効果が高いセキュリティ方法です。
多要素認証に用いる3種類の要素
多要素認証に用いる3要素は、以下の3種類です。
- 知識情報
- 所持情報
- 生体情報
それぞれ詳しく解説していきましょう。
知識情報
知識情報とは、本人だけが知っている情報を用いた認証要素を指します。一般的にパスワードと称されるものは、知識情報に入ります。そのほかの知識情報の例は、以下のとおりです。
- パスワード
- ID
- 暗唱番号(PINコード)
- 秘密の質問
自分以外に公開していない情報であれば、ほかの人に情報を盗まれる心配はありません。ただし、パスワードの使い回しや端末に記録しておくなどがあると、情報漏洩する可能性もあります。
所持情報
所持情報とは、本人が所有している端末を介した情報での認証要素です。端末そのものを証明書代わりにしていると考えるといいでしょう。代表的な所持情報は、以下のとおりです。
- スマートフォンやタブレットなどの端末情報(IMEIなど)
- 利用している回線
- キャッシュカード
- クレジットカード
- ワンタイムパスワード
- ハードウェアトークン
自身の手元にある端末を介すため、手元にある限り安全性の高い情報です。ただし、端末自体を紛失するなどした場合は、リスクに晒されやすくなります。
生体情報
生体情報とは、利用者本人の身体的な情報を用いた認証要素です。指紋や顔など、一般的に不変と言われるものを情報として使用します。生体情報の例は、以下のとおりです。
- 指紋
- 顔
- 声紋
- 虹彩
- 静脈
本人の身体的な特徴を用いているため、情報を盗むことは限りなく不可能です。ただし、本人がいれば認証できる要素のため、本人がいる場で悪用される可能性が考えられます。
多要素認証の例
多要素認証は3要素のうち複数を組み合わせた認証方法となり、ビジネスやプライベートシーンで幅広く導入されています。ネット関係のログインだけでなく、ATMやネット銀行の操作などのシーンでも見かけることが多いセキュリティ方法です。
多要素認証を使用したセキュリティ例には、以下のようなものがあります。
| サイトログイン | インターネットサイトのログイン時に、①ID・パスワード(知識情報)と②ワンタイムパスコード(所持情報)を求められる場合があります。
ID・パスワードという本人が知っている情報と、所持している端末にワンタイムパスコードを送って利用するという2種類の要素を掛け合わせた方法です。 |
|---|---|
| ネット銀行の振り込み | ネット銀行での振り込みの際、まず①ログインID・パスワード(知識情報)と②銀行の暗証番号(知識情報)、さらに③ハードウェアトークン(所持情報)で認証を行う場合があります。
ハードウェアトークンとは、所持している端末に該当のアプリをいれ、そのアプリ内にワンタイムパスコードを表示させる方法です。いずれかひとつが情報漏洩しても、簡単に他銀行への振り込みは行えないようになっています。 |
| オンラインストレージのログイン | オンラインストレージは、インターネット上にデータが保管できるサービスです。ビジネスシーンで利用されることも多く、①ID・パスワード(知識情報)②顔認証(生体情報)などが必要になるサービスがあります。
オンラインストレージでは機密情報などのデータ共有が行われることも少なくありません。より厳重なセキュリティ体制が求められ、多要素認証が採用されている場合があるのです。 |
多要素認証と二要素認証・二段階認証の違い
二要素認証とは
多要素認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つの要素を使った方法を二要素認証といいます。
例えば銀行ATMを操作するとき、知識情報であるパスワードと、所持情報である銀行カードを使用して認証しています。これは二要素認証です。二要素認証は、多要素認証の中の一部だと言えるでしょう。
二段階認証とは
二段階認証も認証を2回行う方法です。多要素認証と異なるのは、「知識情報」「所持情報」「生体情報」のなかで複数の要素を使用しないという点です。「認証を2回行うが、認証要素はひとつしか使用していない」という場合は、二段階認証となります。
例えばサイトにログインするとき、IDを入力したのち、パスワードを求められてからログインできるというサイトが多いでしょう。認証を2回経ていますが、IDとパスワードのどちらも「知識情報」です。ひとつの要素しか使用していないため、この方法は二段階認証です。
多要素認証の必要性と導入のメリット
デジタル端末で大切な情報が持ち運べるようになったと同時に、セキュリティリスクも高まっている昨今。情報漏洩などのリスクに対応できる強固なセキュリティ環境が求められるようになりました。結果として多要素認証が重要視され、セキュリティ対策として取り入れられることが多くなっています。
多要素認証の目的と必要性について、さらに詳しく見ていきましょう。
サイバー攻撃の増加
IT・デジタルの普及と同時に増加したのが、サイバー攻撃です。近年ではサイトログイン情報や個人情報・クレジットカード情報などの機密情報は、デジタル端末に集約されている場合が多いと言えます。企業や個人の大切な情報が狙われる時代です。
多要素認証は複数の認証方法が揃って、はじめてログインなどにたどり着けます。どれかひとつの認証情報が漏洩するだけでは、簡単に侵入できません。
サイバー攻撃でどれかひとつの情報が漏洩しても、簡単に内部の情報に辿り着けない対策が必須です。そんな中、ひとつの認証方法に依存しない多要素認証の導入は、サイバー攻撃を受けたときにも効果的でしょう。
クラウドサービスの普及
クラウドサービスは、インターネット上に情報などを保管できるサービスです。働き方改革やDX推進などの動きからテレワークの導入が進み、クラウドサービスが普及してきました。外出先で、自身が持っているデバイスからクラウドサービスにアクセスが可能な場合も多くあります。
便利さがある一方、インターネットを通じて外部とつながっている状態が、セキュリティ強度を弱めているという指摘もあります。インターネット上に情報を保管しているため、ネット上の保管場所とID・パスワードなどが漏洩したら、どこからでも、誰でもクラウドサービスにアクセスが可能なためです。
これらの状況を考慮すると、多要素認証などで簡単にログインできない環境を作り、強固なセキュリティ体制を整えることが大切だといえるでしょう。
パスワード管理の限界
近年ではアプリやWebサービスの利用機会が増え、パスワード設定を求められる機会が増えました。複数のサービスを利用すると同時にパスワード設定も多くなり、同一パスワードや特定されやすいパスワードを設定することもあるでしょう。
同一パスワードを設定すると、ひとつのサイトパスワードが漏洩した場合、利用している他のサイトにもアクセスができる状態となります。また、似たようなパスワードの場合では、他のパスワードを特定されるきっかけにもなりかねません。
多要素認証ではサイトなどにログインするたび、パスワードのほかに「所持情報」または「生体情報」を求められます。パスワードが漏洩してしまうだけでは簡単にログインまでできないため、同一のパスワードを使用している場合でも、より高いセキュリティ効果を発揮すると言えるでしょう。
多要素認証を運用するときの注意点
多要素認証はセキュリティ対策として有効で、メリットの多い認証方法であると言えます。強固なセキュリティ対策が実現する一方で、運用するときに注意したいポイントもあることを覚えておきましょう。代表的な注意点は以下のとおりです。
- 導入・運用に費用がかかる場合がある
- サイバー攻撃を完全に防げるわけではない
- ユーザーの利便性を下げてしまう
導入・運用に費用がかかる場合がある
ID・パスワードのみの二段階認証などと比べて、多要素認証は必要な機材の導入や運用に費用がかかる場合があります。生体情報や所持情報などを使用することから、情報を提供するための機器が必要になるためです。指紋認証ならば指紋を確認できる機器、ICカード認証ならばカードとカードリーダーの導入などは必須です。
導入する多要素認証の方法により、別途機材が必要か、アプリケーションなどのランニングコストのみで済むのかは異なります。企業規模や業態などに合わせて、導入内容とコストを比較することがおすすめです。
サイバー攻撃を完全に防げるわけではない
多要素認証はサイバー攻撃に突破されにくくする対策ではありますが、完全に防げるものではありません。多要素認証に頼りきってしまった運用方法では、期待したセキュリティ強度にならない可能性も考えられます。
マルウェア(悪意あるソフトウェア)などによる攻撃は、メールや悪意ある外部のWi-Fiなどから侵入することも多く、認証の工程を経なくてもPCやスマートフォン上の情報に危害を加えられます。ログインなどの認証の際にセキュリティ効果を発揮するのが多要素認証であるため、マルウェアのように認証工程を経ないサイバー攻撃には意味を成しません。
マルウェア対策など、多要素認証では防ぎきれないサイバー攻撃のセキュリティ対策と併せて活用することが望ましいです。
ユーザーの利便性を下げてしまう
多要素認証を導入することで、ユーザーの利便性が少なからず下がることになります。複数要素の認証を経るためには、認証を行う分だけ手間が発生するためです。
ユーザーの利便性を下げることは、同時に業務などの生産性を下げる状態にもつながります。「いつも端末を所持しているならワンタイムパスコード」「ICカードのほうが持ち運びしやすいならICカード」のように、業務内容や業態に合わせて、無理のない多要素認証の方法を取り入れていきましょう。
セキュリティ強度を高める多要素認証の活用方法
セキュリティ強度を高めるためには、一つひとつの認証について、より一層強固なセキュリティ対策をするのが効果的です。適切な方法で多要素認証を活用するためのポイントを紹介していきます。
パスワードルールを適切に設定する
パスワードルールを強固な内容で設定することは、セキュリティ対策として有効です。総務省の「国民のための情報セキュリティサイト」内、安全なパスワード管理についてのページでは、以下の点がパスワード設定にとって重要だと記載されています。
- 名前などの個人情報から推測できない
- 英単語などをそのまま使用していない
- アルファベットと数字が混在している
- 適切な長さの文字列である
- 複数が似た並び方のパスワード・安易な組み合わせでない
また、企業や組織におけるパスワードは、企業や組織内の重要な情報(情報資産)へのアクセスも可能になるため、パスワードの重要性を再認識すべきとも言及しています。
推測が簡単にされないパスワードを心がけると共に、パスワードが難しいからといって、他人の目に触れる場所にメモなどに残さず保管することが大切です。
ワンタイムパスワードを設ける
ワンタイムパスコードは、ログインなどを試みた本人が所持している端末に“第二のパスワード”が届く認証方法です。
電話番号を用いたワンタイムパスコードでは、決まった端末でしかコードの確認ができません。また、ワンタイムパスコードは利用できる時間が数分~数十分、長くて数日に設定されている場合が多く、利用期限が過ぎれば同じワンタイムパスコードは利用できなくなります。
このことから、他者がワンタイムパスコードの情報を手に入れられる可能性は限りなく低いと考えられます。さらにログインのたび認証が必要になるため、強固なセキュリティ対策として有効です。
ツールを上手く活用する
多要素認証では知識・所持・生体認証を用いるため、認証ツールにもさまざまな種類のものがあります。専用ツールを導入することにより、生体認証である指紋や顔認証の併用などが可能です。常にスマートフォンなどのデバイスを所持している場合には、個人の電話番号を用いてワンタイムパスコードを導入する方法も有効でしょう。
企業で多要素認証を運用する場合、以下のようなツールの組み合わせが考えられます。
- 従業員IDの入力(知識情報)+ICカードのタッチ(所持情報)
- 社内サイトIDの入力(知識情報)+顔認証(生体情報)
- 指紋認証(生体情報)+ワンタイムパスコードの入力(所持情報)
業態や業種によって、従業員が持ち運びやすいものは異なります。業務中邪魔にならず持ち運べるもの、また導入にかけられるコストなどと照らし合わせて、2つの認証方法を組み合わせるようにしてください。
まとめ
多要素認証は「知識情報」「所持情報」「生体情報」の3つの認証要素のうち、2つ以上の要素を取り入れて構成された認証方法です。デバイスやツールなどのログインや企業の勤怠管理などでも利用でき、セキュリティ効果の高い認証方法だと言えます。
多要素認証の導入やランニングコストがかかる可能性があること、サイバー攻撃から完全に情報を守れるわけではないというデメリットになりうる部分もあります。しかしながら、急速に発展するデジタル社会の中で情報を守るため、多要素認証で強固なセキュリティを確立させることは重要です。企業にあった多要素認証の方法を取り入れ、情報という企業の大切な資産を守りましょう。
文責:GMOインターネットグループ株式会社
