多要素認証とは？サイバー攻撃による突破を防ぐセキュリティ向上施策

多要素認証とは

多要素認証（Multi-Factor Authentication・MFA）とは、認証に用いられるパスワードなどの「知識情報」、ICカードなどの「所持情報」、指紋などの「生体情報」の3要素のうち、いずれか2つ以上を組み合わせて認証を行うことです。システムなどを利用する際のアカウントを保護する目的で利用されます。

たとえば、ネットバンキングでパスワードを入力してログインした後、スマホアプリに送信されるワンタイムパスワードの入力が求められるのは、知識情報と所持情報を組み合わせた多要素認証の例です。また多要素認証はオンラインだけのものではなく、リアルの場面でも目にすることがあります。銀行のATMで現金を引き出す際に、キャッシュカードと暗証番号の入力が求められるのも同様に多要素認証です。

ITシステムやクラウドサービスを利用する際に、本人の真正性を確認するユーザー認証では、従来ID・パスワードによる認証が広く行われていました。しかし、認証がIDとパスワードのみ（1要素）の場合、なんらかの手段でIDとパスワードを手に入れれば本人以外でもログイン可能です。一方、多要素認証であれば、パスワードを入力しても追加で他の要素が求められるため、本人以外のログインを抑止できます。

多要素認証の仕組み

多要素認証では、特徴の異なる複数要素を採用することで各要素のデメリットを最小限にし、安全性を高められます。多要素認証で用いられる3つの要素にはそれぞれ特徴があり、どの要素を用いた認証を行うかによって導入するシステムや運用が変わります。

知識情報

知識情報とは、本人のみが知っている情報を指します。IDやパスワード、秘密の質問、パターンロック（画面上の点を指でなぞる）などが該当し、事前にそれら情報をシステムへ登録しておくことでログイン時に一致・不一致を確認します。画像化された文字情報を入力させる方法も知識情報です。実装は容易で導入コストも安価なため、広く利用されています。

所持情報

所持情報とは、本人が所持している情報を指します。スマホのアプリやSNS、トークンに数桁のパスコードが通知されるワンタイムパスワード、ICカード、認証局が発行したクライアント証明書も所持情報に含まれます。デメリットとして、盗難や紛失の際に本人でも認証されないリスクがあります。

生体情報

生体情報とは、本人の身体的特徴が持つ情報です。指紋、虹彩、静脈、顔認証などが該当します。他の2要素と比較すると導入コストは高額ですが、盗難リスクが低く、安全性が高くなります。

ただ最近では、SNSに投稿される高解像度の写真から指紋情報を抽出して指紋認証が突破されるリスクが指摘されています。システムによっては利便性との兼ね合いで精度を抑えていることがあるため、運用によっては必ずしも安全ではない点に注意が必要です。
また、仮に一度でも情報が盗まれてしまうと、パスワードと異なって変更できないため、その認証を使用できなくなるリスクもあります。

多要素認証が普及する背景

多要素認証が普及した背景として、オンラインで金銭に関わる情報や個人情報など、機密情報をやりとりする機会が増加していることが挙げられます。加えて、それらの情報を盗み取ろうとするサイバー攻撃が巧妙化していることも問題となっています。

以前から用いられてきたパスワード認証は、コンピューターを用い総当たりでパスワードを試すブルートフォースアタックや、一般的な単語やそこからの派生語を組み合わせてパスワードを推測する辞書攻撃などにより、認証を突破される危険があります。今まではパスワードの文字数を増やす、記号や文字種を組み合わせる、といった文字列を複雑にする対策がとられてきました。しかし、コンピューターの性能は飛躍的に進化しており、限界があります。

また、近年増加の一途をたどるフィッシングによる個人情報の詐取や、ランサムウェア・標的型攻撃による機密情報の漏洩など、あらゆる攻撃手法で情報が盗まれ不正アクセス被害が発生しています。警察庁によると2021年の不正アクセス認知件数は1516件で、パスワード入手の手口は「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」、「フィッシングサイトにより入手」が半数以上を占めています。

さらに、パスワード管理の煩雑さから同じパスワードを使いまわす人も多く、一カ所でパスワードが漏洩してしまうと複数のサービスで被害を受けるリスクがあります。

パスワード認証に限界が見えてきたなかで、重要な情報を守る手段としてより強固なユーザー認証が必要になったことが、多要素認証の普及を後押ししました。

もう1つの要因として挙げられるのが、テレワークの普及です。新型コロナウイルス感染症予防の観点から、在宅などオフィス外の場所で仕事をするテレワークが拡大しています。
従来の境界型セキュリティでは、ネットワーク外からのアクセスに十分に対応できません。外部から社内システムへのリモートアクセスやクラウドサービスの利用が増加する今の時代のビジネススタイルに、合致しなくなっています。
そのようななか、拡大するセキュリティ脅威に対抗する意味でも、ログインの安全性を高め不正アクセスを抑止できる多要素認証のニーズが高まっています。

多要素認証のメリット

ユーザー認証として多要素認証を採用するメリットには、「利便性の向上」「セキュリティの向上」が挙げられます。

利便性の向上

多要素認証を用いずにセキュリティを向上させるためには、パスワードや管理方法がより複雑になるなど、管理・運用の手間が増大します。多要素認証であれば、より高いセキュリティをより簡易な管理・運用方法で実現可能です。

セキュリティの向上

従来のID・パスワードのみの認証では、適切なパスワード設定や管理など、利用する本人のITリテラシーが安全性に大きく影響します。一方、多要素認証の場合は、異なる認証要素を組み合わせることで強固なセキュリティを実現するため、安全性が高まります。例えば、万が一パスワードが漏洩してしまった場合でも、指紋認証を組み合わせていれば不正ログインを抑止できます。

多要素認証のデメリット

多要素認証には、導入・運用コストが必要になることや、ログインの手間が増えるといったデメリットがあります。セキュリティ向上とコスト・手間のバランスを考えながら自社に合った方法を検討することが重要です。

運用・導入にコストがかかる

多要素認証を行うためのシステム導入費用が必要です。認証方法によって価格に差があり、システムやサービスの選定によってはコストを抑えて導入できる可能性もあります。

ログインの際に手間が増える

利用者の立場で見ると、IDとパスワードのみの認証と比較して、多要素認証はワンタイムパスワードを入力する、顔認証を行うなどの手間がかかります。一回の認証ではそれほど負担にならないように思えても、ログインするたびに手間が発生するため、積み重なると生産性低下につながる可能性があります。

二要素認証との違い

二要素認証とは、前述の3要素のうち2種類を組み合わせて認証を行うことです。多要素認証と二要素認証は包含関係にあり、二要素認証は多要素認証に含まれます。

厳密には異なる認証方法ですが、現在多要素認証はほとんど二要素認証であることから、実質的には同じと捉えて問題はないでしょう。

二段階認証との違い

混同しがちな概念として、二段階認証があります。ユーザー認証を複数段階に分けて行う認証方式が多段階認証で、そのうち二つの段階に分けて行うのが二段階認証です。パスワードでログインした後に秘密の質問を答えるのは知識情報を用いた二段階認証ですが、同一要素のため二要素認証ではありません。

セキュリティをより向上させる多要素認証の運用方法

多要素認証機能を導入するには、サービスを提供するAPIを自社のシステムに組み込む方法やクラウド型の専用ツールを利用する方法などがあります。複数のシステムやクラウドサービスへのログインを、1度の認証により実現するシングルサインオンに対応している製品も多く、利用者の負担を抑えながらセキュリティを向上できます。

ただ注意したいのは、多要素認証は100％安全ではないという点です。通信を行うシステムと利用者の間に割り込んで内容を盗聴する「中間者攻撃」により、二要素認証を突破した事例もすでに発生しています。そのため多要素認証を過信するのではなく、以下のような点に注意しながら正しく運用することが必要です。

パスワード管理のルールを定める

まず、認証の基本ともいえるパスワードの管理ルールを定めることです。確かに多要素認証はセキュリティを向上させますが、かといってパスワード管理をおろそかにしていいわけではありません。推測しやすい文字列は避ける、使いまわしをしない、利用する場所では保管しないなど、適切な運用ルールを定めるようにしましょう。

ソリトンシステムズが公開した「日本人のパスワードランキング2021」によると、2021年に日本で漏洩したパスワードのうち最も多かったのが「123456」、次いで「password」、「000000」でした。このような単純な文字列は極端な例だとしても、利用者は、パスワードがアカウントを保護する手段だという意識を持つことが必要です。

パスワードの推奨事項は時代と共に変化しています。以前は定期的にパスワードを変更することが推奨されていました。しかし、2017年に米国国立標準技術研究所（NIST）がガイドラインとして示したことによると、現在では定期的なパスワード変更は不要とされています。

加えて内閣府が公開しているガイドラインにおいても、事前に設定する秘密の質問にもまじめに答えないことが推奨されています。なぜなら、秘密の質問で尋ねられる出身校や最初に行った外国などの情報は、SNSを通して他者に知られることがあるからです。常識だと思っていた対策が不適切になっている場合があるので、今の時代に合ったルールを定めることが重要です。

パスワード管理のリスクを抑える方法として、パスワードの管理負担を減らす方法としてシングルサインオンを導入するのも1つの選択肢です。
パスワードのほかICカードなど別の要素に関しても、他人と共有しない、紛失防止策を講じる、などのルールを定めることをおすすめします。

ワンタイムパスワードを追加する

ワンタイムパスワードとは、一度だけ使える有効期限付きのパスワードを生成するしくみです。利用者は、専用トークンやスマホアプリ、メール・SMSなどで受け取ったワンタイムパスワードをシステムに入力して認証を行います。金融機関やオンラインゲーム、Webサービスなどで導入されています。

ワンタイムパスワードには、時刻情報をもとにパスワードを生成して認証するタイムスタンプ認証方式（時刻同期方式）と、サーバーが渡すチャレンジと呼ばれる文字列から求められた結果を用いて認証するチャレンジレスポンス認証方式があります。ワンタイムパスワードは有効期限が短いため、パスワードが漏洩してしまったとしても不正ログインに使われる可能性は低く安全性が高まります。

IDとパスワードのみの認証に比べて、多要素認証はセキュリティ面で優れていますが、万能ではありません。システムの導入とともに、パスワードの適切な管理などの対策も行ってはじめて、十分な効果を発揮できます。