多要素認証とは?導入するメリットから認証の種類まで広く解説します

  • このエントリーをはてなブックマークに追加

本記事では不正ログイン、なりすましログインといった攻撃に対して有効に機能する多要素認証について解説致しました。企業の情報漏えい対策として注目を集める多要素認証の機能や特徴をまとめています。是非最後までご覧ください。

多要素認証とは?

「多要素認証」とは、インターネット上のメールサービスにSNS、金融機関などにログインする際、複数の要素によって本人確認をおこなう認証行為のことを指しています。

多くのネットサービスにおいてもっとも一般的なログイン方法は、ユーザーIDやメールアドレスと、それに紐づくパスワードを入力することですが、それだけだと自分にとって重要な個人情報やお金を保護し管理するにあたって、セキュリティの面において少し弱く、不安を覚えてしまう人も多いかと思います。

そこでより高いセキュリティを保つ方法として用いられるのが、この多要素認証です。ひとつひとつパスワードを覚えるのが面倒なので自分の誕生日を絡めたものや、「ABCDE…」のようなすぐにばれてしまうようなパスワードを使っているという人はまだまだ多いのが現状ですし、またパスワードを手帳やパソコンに書き留めている人は、手帳を落としたりパソコンがハッキング被害に遭ってしまえばそれによって高いリスクを伴うことになります。

それに仮に複雑な大文字小文字、数字を複雑に絡めたパスワードを用意しても、多数のサイトで同じパスワードを使いまわしていれば、ひとつのサイトで情報漏洩が起きてしまえば、そこから悪意のある第三者が他のサイトでも不正ログインをおこなってしまう危険性が高くなり、せっかくの複雑なパスワードが無意味となってしまいます。

以上を見れば分かるように、ひとつのパスワード設定だけではセキュリティ対策として万全ではありません。そのようにして、多要素認証によるセキュリティはなかば必然といえる形で世の中に出てくることになりました。

MFAとも言われる

多要素認証は、英語で「MFA(Multi-Factor Authentication)」とも呼ばれます。基本的に入力端末がパソコンだけだった一昔前とは別に、近年ではほとんどの人がスマートフォンを所持し使いこなしているので、パソコンに合わせてスマートフォンの電話番号に送るワンタイムパスワードに顔認証、指紋認証などなど、MFAは高いセキュリティを保ちつつもその敷居は年々手軽に成り下がってきているので、これから先多くのサービスでの導入が期待されます。

仕組みや認証の要素

それでは、パスワード以外にいったいどのような要素を組み合わせることによって、セキュリティ性の高い認証行為が可能となるのでしょうか。「認証行為」ということは、言ってみれば身分証明書のように「その人が本人なのかどうかを証明するもの」でなければいけませんが、インターネット上において何が本人だと証明できる材料となるのでしょうか。

インターネット上では、「知る要素」「持つ要素」「備える要素」「場所の要素」と四つの要素で認証行為は成立しており、また仕組みとして「2段階認証」などが用意されていて、精度の高い本人特定がおこなえるようになっています。それでは、それぞれについて詳しく見ていきましょう。

特徴 課題点
知る要素
  • ほとんどの認証行為で使われている
  • その知っているかどうかで認証作業が判断される
  • 複雑なパスワードにすると記憶するのが大変
  • 入力に手間がかかる
持つ要素
  • 現物の鍵のように、持っているかどうかで判断
  • 複製されてしまうと、本人認証の価値を持たなくなる
備える要素
  • 生まれつき持っているものが認証判断となる
  • 高いセキュリティ性を持ちながら、ほとんど手間がかからない
  • 誤認識が多い
場所の要素
  • 現在いる場所などによって本人認証をおこなう
  • データ改竄などによりハッキングが可能
2段階認証
  • 上記の要素を最低2つ、段階ごとに踏んでおこなう
  • 段階を踏む分、認証の手間がかかる

知る要素

パスワードやPIN(いわゆる暗証番号のこと)、そして秘密の質問など、特定の情報を知っていることで認証される要素です。個人を証明する上でもっとも基本的であり、ほとんどの認証作業において、必須レベルで知る要素が使われています。

パスワードや秘密の情報は他人にその情報を盗まれない限りログインすることは難しく、単純でありながら高い信頼性をもつ認証行為であるといえます。

持つ要素

スマートフォンやセキュリティトークン、ICカードやクレジットカードなど、ドアの鍵のように所有することで役割を果たす要素のことを言います。

セキュリティトークンという言葉は耳馴染みのない人もいるかもしれませんので軽く説明しますと、USBなどの物理デバイスにログインするためのデータを入れ、そのUSBを挿すことによってはじめてログインが成立するような形での認証です。

またワンタイムパスワードやSMS認証といったデジタル情報は、知ると持つ、両方の要素を兼ね添えたものだと言えます。通常のパスワードも記憶せずに、メモなどに書き留めて物として扱えば、持つ要素として定義づけすることができます。

知る要素はパスワードの複雑さによってセキュリティ効果が変化しますが、持つ要素は複製が難しいかどうかでセキュリティが変化します。

たとえばICカードは複製することが非常に困難ですが、ワンタイムパスワードは盗み見、盗み聞きで入手することが可能ですし、クレジットカードは使用した際にお店側がスキミング装置にて磁気情報を情報を盗むことができるため、複製は容易な方に入ってしまいます。

物理的な鍵と同様、複製されてしまえばセキュリティとしての価値は無くなってしまうのが持つ要素の問題点だと言えるでしょう。

備える要素

カメラなどによる顔認証、指紋認証、声紋などその人の生体によって本人であることを証明する要素です。

スマートフォンの普及とともに多くの人にとって身近な要素となり、またパスワードのように記憶する必要がなく、生まれつき身体に備わっているものなので、物として持つ必要がなくとも本人特定が可能な信頼性の高いセキュリティであり、それにもかかわらずほとんど入力の手間もかからないという、理想的な認証行為になり得る要素です。他にその人のタイピングの癖によって認証する、タイピング認証も広義では生体認証に含まれます。

「なり得る」と書いたのは、備える要素は認証の際誤認識されるケースが高く、認証機器の性能に依存する認証行為であるからです。

スマートフォンで指紋認証をおこなったことのある人にはすぐ分かることだと思いますが、指先が水で濡れていたり、乾燥していたり、怪我をしていたりと指先の方に異常があれば誤認識されログインできない可能性が高く、またホームボタンが壊れていたりスマートフォンそのものが壊れているなど、ハードウェア側に異常がある場合も認識されにくいという欠点を抱えています。

2020年現在現在ではコロナによる顔マスク装着の半義務化により、思わぬ形で顔による認証が難しくなっていたりと課題点は多いですが、今後機器の進化などによりますます備える要素による認証の需要は高まると考えられています。

場所の要素

IPアドレスなどによって現在地を特定したり、また特定の場所からでしかログインをおこなえないようにするなど、自分の居場所によって認証をおこなうことを場所の要素と言います。

しかし特定の場所からでないと認証されない、と言っても同じ国、同じ地域からログインすることはそう難しくありませんし、機器のハッキングによってGPS情報を改竄すればログインできてしまうなど、まだまだセキュリティの上で課題が多いのが現状だと言え、他の3要素に比べればそれほど重要ではなく、あくまで他の要素に付け加える形で実装されることが多いです。

2段階認証

一般的に言えば、ログインの際にほとんどのサービスで必須となる知る要素に加え、指紋認証などもうひとつの認証をおこなうことによってはじめてログインが成立する認証方式を、2段階認証と呼びます。ちなみに2つ以上の要素が必要とされる認証の場合は、「多段階認証」と呼ばれることが多いです。

ひとつの認証が承認された場合、はじめて第2段階の認証が認められるという「段階」を踏む行為に着目した認証のことを指していて、ワンタイムパスワードのようなただ2つの要素が必要とされるだけの認証は2要素認証と区別されることが多いです。

多要素認証の用途やメリット

セキュリティ強化

多要素認証の導入によって、セキュリティ性は向上して強化こそすれ、低下することはまずないと言って良いでしょう。上記で説明したように知る要素、持つ要素、備える要素+場所の要素の組み合わせによって、高い精度での本人認証が可能となっています。

例を出してみると、スマートフォンは端末そのものが持つ要素となっているほか、暗証番号による知る要素、顔認証や指紋認証などの備える要素も持っていて、第三者が起動するのはまず不可能だと言って良いセキュリティ性の高さを保っています。

これだけ高度なセキュリティにも関わらず、本人に要求される手間は暗証番号を覚えておくだけという、ほとんど手間を感じることなく多要素による認証が盛り込まれているのは驚くべきことだと言えるでしょう。

クラウドサービスの普及

ビジネスでの必要性が高まり、IT技術の進歩が重なったこともあり、近年クラウドサービスは急激な普及を遂げています。現在では企業の8割以上がMicrosoftの提供しているoffice365のサービスを利用しているほか、77パーセントがDropboxを使ってデータの保存、やりとりをおこなっていて、自前のサーバーで大量の処理をおこなうよりも遥かにメリットがあると言われています。

しかし、企業がオンプレミスで自社に保存している訳ではなく、広く世界に公開されているインターネット上でクラウドデータは保存されているため、ハッキングやウイルスに対するセキュリティ対策が十分におこなわれているのか、多くの企業が危惧しているのも事実です。

実際、重要な機密を持つ多くの大手企業が現実にハッキングの被害に遭ったことがあるという報告がされていますし、「自社にはそこまで重要な機密がないから狙われないだろう」と思っている中小企業も、大企業への足掛かりとして多くのハッカーたちに狙われているのが現状です。

ハッキングに対する最大の予防策は、やはりセキュリティ性を高めたパスワード設定をおこなうことですが、それだけでは百戦錬磨のハッカーたちによる乗っ取り行為を防ぐのは困難だと言わざるをえないでしょう。そこでクラウド時代のビジネスでは、よりセキュリティ性の高い多要素認証の実装が需要を増してきています。

実際先ほど挙げたoffice365やDropboxなどには自分で必要とする認証行為を選択して実装することができ、場合によってはパスワードなしの多要素認証でセキュリティ保護している企業もあります。

多要素認証を導入する

office365に設定

それぞれの要素ごとにメリット、デメリットがある認証行為ですが、複数の認証を組み合わせることでそれぞれの欠点を補うことができます。office365においては、IDとパスワードの他にワンタイムパスワード、電話、SMS、他のクライアントのパスワードなどを好きな形で設定することが可能であり、一度認証が成立したものはしばらくの間記憶させておくこともでき、認証の際の手間を省くこともできます。

多要素認証はoffice365に標準搭載されているので、利用するにあたってどのプランにおいても別料金を支払う必要がありません。しあkし「標準機能では満足できない。より高いセキュリティ対策をおこないたい」という場合は、Azure AD Premium Plan 1以上のライセンスを有料で追加する必要があります。

クラウドサービスにシングルサインオンで設定

シングルサインオン(SSO)とは、ひとつのユーザーIDとパスワードによって、複数のサービスへのログインを可能にするサイン方式のことを意味しています。

シングルサインオンに特化したサービスにログインすれば、あとは利用したいクラウドサービスやアプリケーションをクリックするだけでそのサービスにログインできるなど、複数のパスワードをひとまとめに管理することが可能となります。

現実に例えてみると、スマートフォンひとつで家、車、社内、金庫といったすべての鍵を開けることができるような便利さを持っているのがシングルサインオンであり、複雑なパスワードをひとつ記憶しておくだけで高いセキュリティを保つことができますが、一方そのひとつのパスワードが漏洩してしまうと非常に高いリスクを持つことになり、またセキュリティはサービス先の管理システムに依存しますし、連携の対応がされていないクラウドサービスもあるという問題点もあります。

 

 

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。