不正アクセスの増加やテレワークの普及で情報セキュリティの重要性が再認識され、多要素認証というワードを耳にする機会が増えました。しかし、その内容を理解している方は多くないようです。実際、フィッシング対策協議会が行ったアンケートによると、3割程度の人が多要素認証という言葉を聞いたことはあるが、内容は知らないと答えています(※)。本記事では、多要素認証が注目を浴びている背景や、多要素認証とはどんな認証方式かについて、ご説明します。
※参照:『インターネットサービス利用者に対する 「認証方法」に関するアンケート調査結果報告書を公開 (2020/09/09)』
※本記事は2021年11月8日に投稿した記事を再編集しています。
目次
多要素認証が注目を浴びている背景とは?
現在、多要素認証は非常に注目を浴びています。直近では、Salesforceがログイン時の多要素認証(MFA)を必須としました。その理由は、不正アクセスやなりすましを防ぐ手段として、従来のパスワード認証よりも優れていると考えられているためです。多要素認証について深く解説する前に、まずは従来のパスワード認証の問題点についてご説明します。
パスワード認証の限界
従来の単純なパスワード認証の問題点として、簡単に推測可能なパスワードを設定しているユーザーやアカウントが多い点が挙げられます。複雑なパスワードを記憶するのが難しく、簡単なパスワードを設定してしまいがちです。また、強固なパスワードを設定していたとしても、複数のサービスで同じパスワードを使い回している方もいます。
どちらの場合も、パスワードリスト攻撃という手法により、複数のアカウントをまとめてハッキングされるリスクがあります。
基本的には強固なパスワードを設定し、それぞれのシステムで使い回さないことがベストですが、人間の記憶や簡単な管理ツールなどに頼るパスワード認証では、運用上の便宜性からも限界があります。
※パスワードリスト攻撃とは、悪意を持った第三者が、何らかの手段でリスト化されたID・パスワードを入手します。それを利用することによりWebサイトにアクセスし、不正ログインを試みる攻撃です。
そもそも認証とはどのようなもの?
以上の理由で、多要素認証への注目が集まっています。多要素認証を理解する前に、まずは「認証」について正しく理解しておきましょう。認証には3つの要素があります。
1. 知識情報:「対象が知っていること」
パスワードやPINコード、秘密の質問などが例として挙げられます。
よく耳にするPINコード(Personal Identification Number)は、個人を識別するための番号です。主として携帯電話やスマートフォンで、端末の盗難・紛失に際し、第三者による無断使用を防ぐために使われてきました。また、SIMカードを端末に挿入する時や、電源をオンにした際に入力を要求することで、端末の不正利用を防止しています。
2. 生体情報:「対象の特徴」
指紋認証や声紋、顔認証などの生体認証が挙げられます。
生体認証については、こちらの記事で詳しく解説しております。
FIDOとは?従来の認証手法との違いを解説
「生体認証の種類はいくつ?それぞれのメリットと問題点を解説」
3. 所持情報:「対象がもっているもの」
身分証明書や携帯電話などが該当します。所持しているもので認証を行います。例えば、オフィスに入る際、社員証や登録したICカードをかざす場合、この要素を利用しています。
多要素認証(MFA)とは
多要素認証(MFA)とは、上記3要素のうち、2つ以上を組み合わせて認証する方式です。(MFA:Multi-Factor Authentication)
個人情報の漏洩や、ハッキングによるシステムからのパスワード流出があった場合を考えましょう。
例えば、知識情報に属する「パスワード」と「PINコード」の2つが同時に漏れてしまったとします。この場合、認証の1要素だけで認証しているため、ハッカーの被害を受ける可能性が非常に高くなります。実際、パスワードを盗まれることで発生しているハッキングは、全体の80%に達しており、危険性が高いです。
しかし、多要素認証を導入すると、異なる2つ以上の要素を利用して、認証することになります。その結果、上記のリスクを大きく低減することができます。
認証については、こちらの記事で詳しく解説しています。
「認証と認可の違いとは|セキュリティの強化について説明」
多要素認証の活用状況
現在、インターネットサービス事業者の20%ほどが「多要素認証」や「リスクベース認証」などを用いた複合的な認証を実施していると回答しています。今後、多要素認証はさらに活用される状況が続くと考えられます。実際、SalesforceやAzure ADなどでは利用できるようになっています。特にスマートフォンの普及により、SMS認証や顔認証、指紋認証を利用しやすくなったことで、多要素認証が広まる契機になっていると言えるでしょう。
リスクベース認証の詳細は、こちらの記事をご参照ください。
「リスクベース認証とは?|概要やメリットについて解説」
参照:『インターネットサービス提供事業者に対する 「認証方法」 に関するアンケート調査結果報告書』
多要素認証を可能にするデバイス
前述の通り、スマートフォンは多要素認証を可能にする、最も手軽なデバイスですが、他にも多くの種類があります。例えば、ICカードリーダーが挙げられます。さらに、物理デバイスのタイプとして、キーホルダー型のワンタイムパスワード表示器、ICカード、Bluetoothなどがあります。
多要素認証のデメリットとは
多要素認証のデメリットとして、導入・運用コストと、ユーザーの利便性の2つが挙げられます。ただし、多要素認証は不正アクセスや情報漏洩のリスクを抑えるために導入するものであるため、コストを必要経費として受け入れる必要があります。自社の情報資産のリスクを分析し、導入の可否を検討しましょう。
導入・運用コスト
多要素認証の導入に伴い、ICカードとカードリーダーを用意するというコストがかかります。従業員が多ければ多いほど、大きな負担になります。しかし、比較的少ないコストで実現できる可能性もあります。ICカード型の社員証を既に導入されている企業であれば、カードリーダーのコストだけで賄えるため、コストが安く抑えられます。
ユーザーの利便性
認証の際、必ず多要素認証を実施する形式にすることで、ユーザーの利便性を悪くしてしまいます。認証に時間がかかるため、業務の生産性を落とす一因になります。そのため、どのような多要素認証を実装するか、十分考える必要があります。
多要素認証と多段階認証は全く異なるもの
「多要素認証」と似た用語で「多段階認証(2段階認証)」という認証方式がありますが、全く異なる方法です。
「多要素認証」はこれまでに見てきたように、複数の要素を組み合わせることで、1つが不正に利用されたとしても、他の要素が突破されなければアカウントをハッキングされない認証方式です。こうした仕組みにより、認証の精度と安全性を高め、情報への不正アクセスや悪質ななりすましを防止します。
これに対して「多段階認証」は認証を複数の段階に分けて認証する方式です。例えば、「PINコード+秘密の質問」や「顔認証+静脈認証」などです。どちらも同じ認証要素を用いており、2回(多段階)に分けて認証することで安全性を高めています。もちろん「多要素認証」と「多段階認証」の複合形もあります。
二段階認証と二要素認証の違いについては、こちらの記事をご覧ください。
「二段階認証・二要素認証とは?その違いを徹底解説!」
まとめ
多要素認証は「知識情報」「所有情報」「生体情報」の3つのうち、異なる要素を組み合わせて認証する方式です。スマートフォンの普及を背景に、優れた安全性と相まって、多要素認証はますます認証方式のスタンダードになると予測されます。 多要素認証の導入を検討する際は、セキュリティ強化だけでなく、ユーザーの利便性、コストなども考慮し、自社に合ったサービスを選ぶとよいでしょう。
かもめエンジニアリングでは、FIDO2やリスクベース認証に対応しているSSOソリューション「KAMOME SSO」を提供しております。ご興味がある方やご相談のある方は、ぜひ下記のお問い合わせフォームよりご連絡ください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。