多要素認証は、サイバー攻撃によるセキュリティー被害が増えている現代において、注目を集めている認証方法です。この記事では、多要素認証の定義や含まれる認証要素、メリットやデメリット、活用方法、実際に社会で取り入れられている例などを詳しく解説します。社内のセキュリティーを強化したい方や、多要素認証について詳しく知りたい方はぜひ最後までご覧ください。
多要素認証とは
多要素認証(MFA=Multi-Factor Authentication)とは、IDやパスワードなどが含まれる「知識情報」や「所持情報」「生体情報」といった認証の際に用いられる3つの要素の中から、2つ以上の異なる要素を組み合わせて認証する手段を指します。
近年では推測しやすい簡単なパスワードを設定するアカウントが多いことや、同じパスワードを複数のサービスで使い回すユーザーが多いことから、不正アクセスなどのサーバー攻撃による被害を防ぐために、多要素認証が注目を集めています。
SNSやインターネット上でのサービスの増加に比例して、1ユーザーあたりのアカウント所持数も増えることから、セキュリティーリスクに対応するためにIDやパスワード以外の要素で認証する仕組みを整えている企業も増えています。
また、多要素認証と似た認証方法に「二要素認証」があります。二要素認証とは、3つの認証要素の中から異なる2つの要素を用いて認証する方法です。多要素認証は2つ以上の認証要素を用いるため、3要素すべてを扱う場合もあるのに対し、二要素認証は2つの認証要素で認証を行います。二要素認証は、多要素認証の一つとも言えるでしょう。
多要素認証(二要素認証)と二段階認証の違い
二段階認証は、認証する際に2つのステップを踏む認証方法で、同じ認証方法を用いても構いません。例えば、IDやパスワード(知識情報)の後に生年月日(知識情報)の入力を求める認証方法は、二段階認証に当てはまります。多要素認証や二要素認証は異なる種類の要素を組み合わせる必要があるのに対し、二段階認証は認証に必要な要素の種類は問わない点に違いがあります。
同じ要素を組み合わせてもよい二段階認証は導入しやすいメリットもありますが、中でも知識情報のみの二段階認証は、サイバー攻撃などを受けた際に簡単に情報漏えいが起きてしまう恐れがあるため、異なる種類の要素を組み合わせる多要素認証や二要素認証を用いる方がセキュリティーの観点では有効です。
3つの認証要素
「知識情報」「所持情報」「生体情報」にはどのような情報が含まれるのかをご紹介します。
知識情報
知識情報は、特定のユーザーのみが知っている情報を指します。例えば、IDやパスワード、生年月日、キャッシュカードの暗証番号、PINコードなどが挙げられます。なお「母親の旧姓」や「通っていた小学校の名前」「初めて旅行に行った場所」などの秘密の質問も知識情報に含まれます。
知識情報での認証は、複雑なシステム構築などを必要としないため、多くのサービスで認証要素の1つとして取り入れられています。しかし、簡単なIDやパスワードを設定したり、複数サービスでIDやパスワードを使い回したりしている場合、第三者に漏えいし悪用されるリスクが高まるため、知識情報の取り扱いには注意が必要です。
所持情報
所持情報は、ユーザー本人が所有する端末を介して確認できる情報を指します。例えば、スマートフォンでのSMS認証やワンタイムパスワード、クレジットカードのセキュリティーコード、ICチップつきのカード、スマートフォンやタブレットを用いたアプリ認証が挙げられます。
スマートフォンやカードなど、媒体を持っていれば簡単に認証が可能な一方で、紛失や盗難によって情報が漏えいしてしまうリスクがあるため、管理体制の強化や紛失時のロック機能を付けるなどといった対策が必要です。
生体情報
生体情報は、顔や指紋など、ユーザー個人のみが持つ情報を指します。例えば、顔認証や指紋認証、虹彩認証、静脈認証などが挙げられます。なお、これらの生体情報を用いて認証を行う場合は、専用のシステムや機器を用意する必要があるため、他の要素に比べて導入時にコストがかかります。
生体情報による認証は紛失などのリスクがなく、3つの要素の中でも最も信頼性が高いとされていますが、本人が眠っているなど意識がない間に第三者によって認証されるケースもあります。
多要素認証が必要な理由
多要素認証はさまざまなサービスで導入される機会が増えていますが、なぜ必要とされているのでしょうか。ここでは、多要素認証が必要である理由をご紹介します。
サイバー攻撃による被害の増加
企業のネットワークへの不正アクセスによる情報漏えいなど、サイバー攻撃の被害が増加していることが原因の一つとして挙げられます。
総務省の「令和5年版 情報通信白書」で述べられている、NICTER(大規模サイバー攻撃観測網)が観測したサイバー攻撃関連の通信数は、2015年の約632億パケットに対し、2022年は約5,226億パケットと大幅に増加しています。
サイバー攻撃から企業の機密情報や個人情報を守るために、多要素認証が重要視されています。
サイバー攻撃のトレンドや対策については、下記の記事でも解説しています。
関連記事:高度化するサイバー攻撃。近年の手口やトレンド、対策をご紹介
ユーザーが所持するアカウントの増加
インターネットやSNS、アプリ上でのサービスが増えたことにより、1ユーザーが所持するアカウントの数も増加傾向にあります。そして、複数のサービスを利用する際に、同一のパスワードや特定しやすいパスワードを設定する人も少なくありません。
1種類のパスワードで複数のサービスのアカウントを利用していた場合、1つのアカウントでパスワード情報が漏えいすると、その他のアカウントにもログインできる状態になってしまい、不正アクセスやアカウントの乗っ取りなどの被害が増える恐れがあります。
このような背景からIDとパスワードのみでのセキュリティー維持は限界を迎えつつあり、多要素認証を導入する企業が増えています。
クラウドサービスを利用する企業の増加
近年ではテレワークなどの多様な働き方が取り入れられ、クラウドサービスを利用する企業も増えています。クラウドサービスは、インターネット上にさまざまなデータを保管できるため、オフィスに出社せずとも企業や業務に関するデータを閲覧できます。
総務省の「令和5年版 情報通信白書」によると、世界のパブリッククラウドサービス市場規模(売上高)は、2018年の約1,884億ドルから毎年増加しています。なお、2026年には9,152億ドルになると予測されています。
クラウドサービスのアカウント情報が漏えいしたり、不正アクセスされたりした場合、企業の機密情報や個人情報の漏えいにもつながり、重大な事件に発展する恐れがあります。クラウドサービスのセキュリティーを強化するために、多要素認証を用いるケースが増えています。
多要素認証を取り入れるメリット
多要素認証を用いることで、次のようなメリットがあります。
社内セキュリティーの強化
多要素認証を企業で取り入れることで、社内のセキュリティーを強化でき、企業で管理する機密情報の他にも、従業員や顧客などの個人情報を保護できます。万が一、情報漏えいなどのセキュリティーに関わる事件を起こした場合、企業の信頼にも影響します。金融庁による「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」では、1要素のみの認証を行っていた場合に比べ、多要素認証を行っていた口座の方が被害件数は少ないという結果が出ています。社内のセキュリティーを強化する点において、多要素認証は有効であると言えるでしょう。
企業のコンプライアンスにつながる
国から多要素認証の設定を呼びかけたり、義務付けたりしているケースも複数存在します。
例えば金融庁では「昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について」という通達で、金融機関等に対して多要素認証などによる本人認証を強化するように注意喚起しています。他にも、経済産業省では「クレジットカード番号等不正利用対策の強化」において、クレジットカードでのオンライン決済を扱うすべての事業者に対して、決済時にクレジットカード情報だけでなく生体認証やワンタイムパスワードを用いた認証方法を、2025年4月までに導入するよう義務付けています。
このように、多要素認証の導入によって、企業のコンプライアンスの実現にもつながります。
パスワードを入力する手間が省ける
ユーザーが、利用しているサービスごとに異なる特定しづらいパスワードを設定した場合、管理が困難になることも考えられます。そのような場合は、多要素認証で生体情報を用いた認証を行うことで、ユーザーはパスワードを入力する手間が省けるだけでなく、複雑なパスワードを覚える必要がなくなります。
多要素認証を取り入れるデメリット
多要素認証を用いる際に得られるメリットに対して、次のようなデメリットもあります。
認証に手間取る場合がある
多要素認証は複数の要素を組み合わせて認証を行う必要があるため、認証方法によっては完了までに時間がかかってしまい、業務効率に影響を及ぼす場合があります。このようなときには、一度の認証で複数のサービスにログインできるようになる「シングルサインオン(SSO)」を用いることで、利便性を維持できます。
導入や運用にコストがかかる場合がある
多要素認証を取り入れた際に、導入時や運用を続ける中で多くのコストがかかる場合があります。多要素認証では扱う要素によっては専用のシステムや機器が必要であり、顔や指紋、ICカードなど認証する対象や導入規模によっても費用に差が出ます。そのため、企業の規模や業務形態に合わせて予算に見合った認証方法を検討する必要があります。
多要素認証が取り入れられているサービスの例
多要素認証は、社内外を問わずさまざまなサービスで取り入れられています。ここでは、多要素認証が取り入れられているサービスの一例をご紹介します。
情報システム部門が利用するサービス
情報システム部門が管理するサービスで、多要素認証が用いられている例をご紹介します。
社内システム
テレワークや海外赴任による社内システムへのリモートアクセスや、Windowsへのサインイン時などに、IDとパスワードによる認証に加えて、所持情報の一つであるマトリクス認証を取り入れている企業もあります。
マトリクス認証は、マトリクス表(法則性のない文字列を表にしたもの)を用いて、ユーザーがあらかじめ設定した位置や順番に沿って表の文字列を選択する認証方法です。例えば、ユーザーがマトリクス認証で「一番左端の縦3マス」の位置でパスワードを設定していた場合、マトリクス表の「一番左端の縦3マス」に表示されている数字を選択することで、認証が成功します。このとき、選択する数字は認証するたびに変わる点がマトリクス認証の特徴です。
マトリクス認証はWebブラウザーを用いる手法で認証デバイスを利用しないため、コストを抑えて導入できる方法です。
クラウドサービス
クラウドサービスでは、IDとパスワードによる知識情報での認証が一般的です。しかし、業務上で用いる場合は慎重に情報を取り扱う必要があるため、多要素認証を導入しているサービスも多いです。例えば、Microsoft 365やAWS(Amazon Web Services)では多要素認証でセキュリティーを強化する仕組みを提供しています。
VPN
VPN(Virtual Private Network、仮想専用通信網)は、インターネット上に仮想の専用回線を設置し、特定のユーザーのみが使用できる専用のネットワークを指します。テレワークの普及により、多くの企業でVPNが構築されるようになりました。VPN経由でのサイバー攻撃による情報漏えいを防ぐために、多要素認証を用いる企業も増えています。
VPNについては下記の記事で詳しく解説しています。ぜひご参照ください。
関連記事:VPNとは?インターネット接続の安全性を高めるVPNについて解説
一般ユーザーが利用するサービス
日常生活でも触れる機会が多いサービスで、多要素認証が用いられている例をご紹介します。
ECサイト
ECサイトでは、ログイン時にIDやパスワードによる知識情報と、SMSによる所持情報を用いた多要素認証が取り入れられていることが多いです。万が一、ECサイトのアカウントに不正アクセスされた場合、個人情報やクレジットカードの情報搾取の他に、身に覚えのない商品を勝手に購入され、代金を請求されるなどの被害が考えられます。
オンラインバンキング
キャッシュカードの情報の読み取りと暗証番号で認証されるATMと同様に、オンラインバンキングでもキャッシュカードの情報に加えて生体情報による認証やワンタイムパスワードでの認証を求める多要素認証が取り入れられています。オンラインバンキングは振り込みが便利になる一方で不正アクセスによる出金を懸念する必要があり、多要素認証でセキュリティーを強化しています。
SNS
FacebookやX(旧Twitter)などのSNSでも、ログイン時に多要素認証が取り入れられています。例えばFacebookでは、メールアドレス(または電話番号)とパスワードを入力した後、SMSで送られる認証コードを入力することでログインできます。SMSで複数アカウントを所持するユーザーも増えたことから、不正アクセスやアカウントの乗っ取りを防ぐため、多要素認証が重要視されています。
大学の学内システム
大学の学生や職員向けの学内システムに学外からログインする場合、多要素認証を用いるケースもあります。例えば、学外から学内システムにログインする際、大学で用意したパスワードの他に、アプリ認証やSMSでのコード認証を組み合わせることでセキュリティーを強化している大学もあります。
セキュリティーロッカーや、ホテルなどの貴重品ボックス
商業施設や駅構内、オフィスなどに設置されているセキュリティーロッカーや、ホテルの客室などに設置されている貴重品ボックスでも多要素認証が取り入れられています。セキュリティーロッカーでは、ICカードやパスワードでの認証の他に、指紋認証や静脈認証を用いる場合があります。貴重品ボックスにおいても、パスワードの入力を経て鍵での施錠が行えるものがあります。
多要素認証を利用中のサービスに取り入れる方法
多要素認証を、現在社内で利用しているサービスに取り入れたい場合、次のような方法が挙げられます。
各種サービスのWebサイトから確認
Microsoft 365などのサービスに多要素認証を設定する方法は、各種サービスのWebサイトで手順が紹介されています。
| サービス名 | 手順の紹介ページ |
|---|---|
| Microsoft 365 | Microsoft 365の設定手順 |
| Microsoft Entra | Microsoft Entraの設定手順① Microsoft Entraの設定手順② |
| AWS | AWSの設定手順 |
| Salesforce | Salesforceの設定手順 |
| Facebookの設定手順 | |
| X(旧Twitter) | X(旧Twitter)の設定手順 |
専門家へ依頼する
多要素認証の設定を自力で行える自信がない場合や、現状のセキュリティー状態を第三者から確認してもらい、最適な認証方法を知りたい場合は、セキュリティーエンジニアなどの専門業者に依頼するのも一つの手です。多要素認証をはじめとしたセキュリティーに関する設定不備などを併せてチェックしてもらうことで、より強固な社内セキュリティーを実現できます。
多要素認証を取り扱う際の注意点
多要素認証を企業で取り扱う際の注意点をご紹介します。
認証情報を使い回さない
多要素認証に使用する認証情報は慎重に管理する必要があり、使い回してはいけません。例えば、所持情報が記載されているデバイスの紛失など、人為的なミスにより情報漏えいにつながる恐れもあります。また、IDやパスワードを社内の従業員同士で貸し借りすることは不正行為と見なされます。
サイバー攻撃によるリスクをなくせるわけではない
多要素認証はサイバー攻撃の対策には役立ちますが、リスクを完全になくせるわけではありません。例えば、マルウェアは受信したメールやWi-Fiなどから侵入できるため、多要素認証に関係なく攻撃できます。多要素認証では防げないサイバー攻撃に対する防止策もあらかじめ考えておくことが重要です。
こまめにログアウトする
多要素認証でログインする場合、認証に手間や時間がかかることからログイン状態を長時間維持してしまうケースが見受けられます。ログイン状態を保ったままデバイスを放置すると、目を離した間に第三者から中身を盗み見られたり、デバイスを勝手に利用されたりしてしまい、不正アクセスや情報漏えいにつながる恐れがあります。デバイスから離れる際はログアウトし、作業を再開するタイミングで多要素認証を再び行うことが大切です。また、一定時間操作がなかった場合に、自動でログアウトされるよう設定しておくこともおすすめです。
AALに基づく多要素認証の安全強度について
AAL(Authenticator Assurance Level、当人認証保証レベル)とは、NIST(米国立標準技術研究所)が定めた認証プロセスの強度を示したもので、3つのランクで分類されています。AALは1から3までランクがつけられており、AAL3が最も安全強度が高いとされています。
AALの各ランクと必要な条件は、次のとおりです。
| ランク | 必要条件 |
|---|---|
| AAL1 | 1要素または2要素による認証 |
| AAL2 | 2要素認証が必須。2要素目の認証手段はソフトウェアベースも可能 |
| AAL3 | 2要素認証が必須。2要素目の認証手段はハードウェアベースが必須 |
最も安全強度の高いAAL3に該当する認証方法は、ハードウェアトークンを用いたワンタイムパスワードや、専用の機器を用いた生体認証などが挙げられます。
まとめ
この記事では、多要素認証の定義や導入するメリット、デメリット、注意点などを詳しくご紹介しました。多要素認証は、企業のセキュリティーを強化するうえで有効な方法です。ただし、多要素認証を用いても完全にサイバー攻撃によるリスクを防げるわけではないため、マルウェア感染への防止策など、多要素認証以外のセキュリティー対策にも日常的に取り組むことが大切です。
