【セキュリティ用語入門】多要素認証(MFA)とは?概要やメリット・デメリットを解説!
このシリーズでは、セキュリティ分野で最近よく耳にする言葉や、企業の情報システム担当者であれば知っておきたい重要なキーワードについて、基礎からわかりやすく解説します。今回のテーマは「多要素認証(MFA)」です。「多要素認証」とは、複数の要素を組み合わせた認証方式のこと。では、その認証における「要素」とはどのようなものなのでしょうか。また、「二要素認証」や「二段階認証」とはどのように異なるのでしょうか。
多要素認証とは?
多要素認証(MFA:Multi-Factor Authentication)とは、パソコンなどの端末やサーバにアクセスしたり、Web サービスにログインしたりする際に、2 つ以上の要素によって認証することを言います。住宅でも、鍵は 1 つだけよりも複数かけておくほうが安全と考えられます。情報セキュリティにおいてもそれと同じように、複数の要素を「鍵」とすることで、仮に 1 つの鍵が開けられてしまっても他の鍵が外部からの侵入を防ぎ、セキュリティ強度を高めてくれるというわけです。
認証に用いる要素としては、一般的に知識情報、所持情報、生体情報の 3 つに分けられます。
認証の 3 大要素
| 要素 | 内容 | 例 |
| 知識情報 | 本人のみが知っている情報 | ID/パスワード、PIN 番号、秘密の質問など |
| 所持情報 | 本人のみが所持している物品 | IC カード、USB デバイス、スマートフォンなど |
| 生体情報 | 本人の身体的特徴 | 指紋、顔、虹彩、網膜、静脈など |
- 知識情報
本人のみが知っている情報によって認証します。代表的なのは ID とパスワードによる認証です。その他、スマホのロック解除などによく使われるPIN 番号や、事前に設定した質問とその答えで本人確認を行う、いわゆる「秘密の質問」なども知識情報にあたります。専用のデバイスなどを持ち運ぶ必要がないため手軽ですが、番号を忘れたり、メモなどを見られることで第三者に知られてしまったりするリスクがあります。
- 所持情報
IC カードや電子上の鍵を記録した USB デバイスなど、本人が持っている物品を認証に使用します。ワンタイムパスワードや SMS、アプリによる通知など、スマートフォンを利用した認証も所持情報です。知識情報のように番号やパスワードを管理する手間はかかりませんが、デバイス自体を紛失してしまうなどのリスクはあります。
- 生体情報
指紋、顔、虹彩、網膜、静脈などユーザの身体的特徴を専用デバイスやスマートフォンなどで読み取って認証します。知識情報や所持情報のように忘れたり、紛失したりすることはありません。ただ、たとえば指紋認証であればケガなどをした場合に認証しづらくなるなど、本人の状況の変化によって精度に影響が出てしまうことがあります。
二要素認証や二段階認証との違いは?
多要素認証とよく混同される言葉として、「二要素認証」や「二段階認証」があります。これらと多要素認証の違いについてもご説明します。
・二要素認証
まず、先ほど紹介した 3 つの要素のうち、複数の要素を組み合わせるのが多要素認証です。そのなかでも2つの要素を組み合わせた場合は「二要素認証」と呼びます。理論的には、要素が多いほどセキュリティは強化されます。しかしその分、認証のステップや手間が増え、ユーザーの利便性が損なわれる場合もあります。よって実際には、まずは ID/パスワードでの認証、それにもう 1 つの要素(所有情報か生体情報のいずれか)を組み合わせた、二要素認証を採用している企業が多いのが現状です。
たとえば、最初に ID/パスワードでログインすると、持っているスマートフォンに「ワンタイムパスワード」が表示される。そのパスワードを画面に入力することで、認証が完了する、といった流れです。
・二段階認証
一方「二段階認証」は、2 回のステップ(段階)を経て認証が完了する方式です。多要素認証や二要素認証の場合は、知識情報、所有情報、生体情報の3つの要素のうちの 2 つ以上を使うことが条件です。つまりポイントになるのは、要素の数です。対して、要素は1種類であっても認証ステップが2つあるものは「二段階認証」となります。たとえば「ID/パスワード」と「秘密の質問」の 2 ステップを経て認証する場合、両者はどちらも知識情報なので、要素としては 1 種類です。よって、このケースは二要素認証ではなく、二段階認証となります。二段階認証は、多要素認証と比べるとリスク強度は低くなります。
なぜ多要素認証が登場したのか?
それでは、そもそもなぜ多要素認証が必要となったのか。その背景について説明します。長年、認証方式としては ID とパスワードを使ったものが主流でした。ところが ID とパスワードは、忘れてしまったり、メモなどを置き忘れたり、ユーザの不注意などによって簡単に流失してしまう可能性があります。また、フィッシングメールや辞書攻撃などによって不正に取得されてしまうリスクも高いといえます。そのため、サービスごとに異なる複雑なパスワードを用意し、定期的に変更するといった対策が必要になります。
さらに、パスワードによる認証の問題は、管理が難しく手間がかかることです。誰もが日常的に多くの Web サービスを利用するようになった現代では、サービスごとに異なるパスワードを記憶したり、管理したりすることは難しいのが現実です。そのためパスワードを使いまわしている人も少なくありません。仮に使い分けていたとしても、久しぶりに使う Web サービスのパスワードがわからなくなることはよくあるでしょう。その度に問い合わせや再設定などが必要になり、ストレスを感じている情報システム担当者も少なくないのではないでしょうか。そこで、ID /パスワードだけの認証よりもセキュリティ強度が高い、多要素認証が注目されるようになったのです。
とはいえ、社会全体への普及はまだまだこれからです。フィッシング対策協議会が 2019 に行った「インターネットサービス事業者が採用している認証方式について」のアンケート調査によると、75% 以上の事業者が ID とパスワードのみの認証を行っていると回答。多要素認証(二要素認証を含む)を採用している企業は 20% 未満でした。ただ、昨今のリモートワークの普及やクラウドサービスの利用増加などを受けて、セキュリティ強化のために多要素認証を採用する企業・サービスは今後増えていくと予想されています。
多要素認証のメリットと注意点
最後に、多要素認証を導入することによるメリットと注意点についてまとめます。
・メリット
多要素認証の最大のメリットはもちろん、セキュリティ強度が高まることです。加えて、さまざまな認証方式の中から、コストや管理の手間、ユーザビリティなどを考慮して、最適な組み合わせを選択できることもポイントです。
さらに、最近ではさまざまな機能を持つ多要素認証ソリューションがあります。たとえば、シスコの Duo であれば、認証時に接続端末を可視化して、正当性(企業配布の端末かどうか等)や状態(OS バージョンやセキュリティソフトウェアのアップデート状況等)もチェックすることができます。
・注意点
注意すべき点としては、ユーザによっては何度も認証のステップを踏むことを面倒に感じる場合があることです。特に頻繁に利用する Web サービスにおいては、なるべく手間や面倒のない方法を採用する必要があります。シングルサインオン連携により1度の認証で多数のサービスを使えるようにするなど、ユーザビリティの配慮が必要です。また所持認証や生体認証のための専用デバイスを導入する場合は、それなりのコストがかかることもあります。
以上が、多要素認証の概要や基本的な特徴についての解説です。自社で多要素認証の導入を検討されている方、さまざまな認証方式について理解を深めたいという方の参考になれば幸いです。
関連記事
まずは多要素認証(MFA)から。リモートワークにおいて必要なセキュリティ対策とは?
自社にあった方法はどれ?多要素認証(MFA)ソリューション選びのポイント
現代のセキュリティ問題を解決する「SASE」。導入する前に知っておきたいこと
中小企業も知っておきたい、リモートワーク時代のセキュリティに必須の「ゼロトラスト」とは?
【セキュリティ用語入門】EDR とは?主要な機能、EPP や XDR との違いも解説
【セキュリティ用語入門】SASE(サッシー)とは?概念や構成する要素を解説
【セキュリティ用語入門】ゼロトラストとは?概要やメリットなどを解説!
Cisco Blog ゼロトラスト考察関連
[1] ゼロトラスト考察 – NIST SP 800-207 (Draft2)
[2] ゼロトラスト考察 – Forrester Zero Trust eXtended (ZTX)
[3] ゼロトラスト考察 – The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020
[4] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 1
[5] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 2
[6] ゼロトラスト考察 – SASE (Secure Access Service Edge) の読み解きとゼロトラストの関係性について – 3
