クラウドサービスの流行にともなって、多要素認証(二要素認証)によるセキュリティの向上が重要視されるようになってきました。
MFAとも表記される多要素認証ですが、銀行のATMでも使用されている本人確認の方法でもあり、身近な存在として浸透しています。
本記事では、いまさら聞けない多要素認証の基礎基本や仕組みについて、認証方式の特徴から二段階認証との違いまで徹底解説していきます。
また、SaaSの導入における多要素認証の必要性についても解説しているため、これから導入する方などはぜひ参考として役立ててください。
“世界一わかりやすい情報セキュリティ”連載記事はコチラから!
▶ 第1回:【SaaS利用者必見】話題の”セキュリティ評価”の重要性と対策方法を紹介!
多要素認証とは?
多要素認証(MFA:Multi-Factor Authentication)とは、セキュリティにおける本人確認方法の一つです。
本人だけが保有する要素(知識情報・所持情報・生体情報)のうち、2つ以上の情報を組み合わせて認証する認証方式のことを指します。
- 知識情報:本人だけが知っている情報
- 所持情報:本人だけが持っているモノ
- 生体情報:本人だけの身体的な特徴
従来までの本人確認の方法としては、主にユーザーIDやパスワードなどの知識情報を使用した認証が一般的な方法とされてきました。
しかし、パスワードの流出や紛失といった管理の難しさから、それら以外を使った多要素認証(二要素認証)の重要性が高まっています。
知識情報(本人だけが知っている情報)
知識情報とは、本人だけが知っている情報を利用して本人確認を行うための要素を指します。パスワードやPINコードなどが知識情報に該当します。
複雑な設定や物理的な専用端末が不要であり、多くのシーンで取り入れやすい方式であるため、クラウドサービスではスタンダードな認証情報となっています。
多くのユーザーにとって扱いやすい認証要素である反面、そのぶん流出や悪用などのリスクも高く、パスワードの管理には注意しておく必要があります。
所持情報(本人だけが持っているモノ)
所持情報とは、本人だけが持っているモノを利用して本人確認を行うための要素を指します。スマートフォンやICカードなどが所持情報に該当します。
仮想MFAデバイスなどから本人確認を行う方式であり、モノを持ってさえいれば本人確認ができるため、こちらもスタンダードな認証情報となっています。
こちらも便利な反面、モノを紛失してしまうと、たとえ本人であっても認証が困難になってしまうため、盗難や紛失のリスクには気をつける必要があります。
生体情報(本人だけの身体的な特徴)
生体情報とは、本人だけの身体的な特徴を利用して本人確認を行うための要素を指します。顔認識や指紋、声紋や虹彩などが生体情報に該当します。
スマートフォンのロック解除やオフィスエントランスなどにおいて、顔認証や指紋認証が利用されているケースも多いため、身近に感じる人も多いでしょう。
生体情報は複製が難しく、知識情報のように忘れることもなければ、所持情報のように紛失のリスクもないため、昨今需要が高まっている認証要素の一つです。
二要素認証と二段階認証の違い
| 二要素認証 | 二段階認証 |
|---|---|
| 本人確認に使う要素のうち 2つ以上の要素で認証する |
本人確認に使う要素のうち 1つの要素で2回認証する |
| パスワード認証(知識情報) × 指紋認証(生体情報) |
パスワード認証(知識情報) × 暗証番号認証(知識情報) |
| 安全性が高い 認証の”種類”を増やすことでセキュリティを強くする |
安全性が低い 認証の”回数”を増やすことでセキュリティを強くする |
二段階認証とは、認証の回数を増やすことでセキュリティを強くする対策方法です。
二段階認証は、いったん知識情報が流出してしまった場合、認証の回数を増やしたところで簡単に不正アクセスが可能になってしまうため、安全性が低い認証方式であるといえます。
一方の二要素認証とは、認証の種類を増やすことでセキュリティを強くする対策方法です。
二要素認証は、たとえ片方の認証情報が流出してしまったとしても、もう片方の認証情報が揃わなければアクセスすることはできないため、二段階認証よりも安全性が高い認証方式であるといえます。
多要素認証が重要視される背景
パスワードの限界
多要素認証が重要視される理由の1つ目としては「パスワードの限界」というものが挙げられます。
例えば、皆さんも一度は自分の名前や生年月日などを組み合わせてパスワードを設定した経験があるかもしれませんが、そのような方法で設定している利用者も多く、とくにSNSなどから個人の情報を収集しやすくなった現代においては、セキュリティリスクの高い手法であるといえます。
また、ウイルスバスターなどのセキュリティソフトを提供しているトレンドマイクロ社の実施した調査報告によると、およそ8割以上の利用者が複数のサービス間で同じパスワードを使いまわしているということで、パスワードの設定によるセキュリティ強度の担保には大きな課題があるといえます。
▶ 出典:『パスワードの利用実態調査 2023』
https://www.trendmicro.com/ja_jp/about/press-release/2023/pr-20230831-01.html
サイバー攻撃の増加
多要素認証が重要視される理由の2つ目としては「サイバー攻撃の増加」というものが挙げられます。
日本におけるサイバー攻撃の件数は、年々増加している傾向にあり、日本国家より正式に許可を得て統計をとっているNICT(情報通信研究機構)の調査報告によると、日本におけるサイバー攻撃の件数は10年間で約50倍にも増加しているということで、セキュリティ対策の重要性が高まっています。
このように、日々増加しているサイバー攻撃に対処していくためにも、多要素認証の導入はもちろんのこと、ソフトウェアやOSの定期的な更新を実施したり、USBメモリの利用や持ち出しに制限を設けたりなど、企業や会社全体としても継続的なセキュリティ対策を講じていく必要があるでしょう。
| 年 | パケット 数 |
IPアドレス 数 |
IPあたりの パケット数 |
|---|---|---|---|
| 2013 | 約128.8億 | 209,174 | 63,682 |
| 2014 | 約241.0億 | 212,878 | 115,335 |
| 2015 | 約631.6億 | 270,973 | 245,540 |
| 2016 | 約1,440億 | 274,872 | 527,888 |
| 2017 | 約1,559億 | 253,086 | 578,750 |
| 2018 | 約2,169億 | 273,292 | 806,877 |
| 2019 | 約3,756億 | 309,769 | 1,231,331 |
| 2020 | 約5,705億 | 307,985 | 1,849,817 |
| 2021 | 約5,180億 | 289,946 | 1,747,685 |
| 2022 | 約5,226億 | 288,042 | 1,833,012 |
▶ 出典:『NICTER観測レポート 2022』
https://www.nict.go.jp/press/2023/02/14-1.html
多要素認証をクラウドサービスで使うべき理由
企業では顧客の個人情報を扱っている
多要素認証(二要素認証)を使うべき理由の1つ目は「企業では顧客の個人情報を扱っている」というものが挙げられます。
SaaSが普及していくなか、zoomやslackといったコミュニケーションツールの内容が漏れてしまうと、大切な顧客情報や従業員の個人情報などが外部に流出してしまいます。
また、Google WorkspaceやMicrosoft 365、githubのようなソースコードを管理するツールなどの情報が外部に流出してしまうと、企業や事業そのものに甚大な影響を及ぼしてしまいます。
ログインに必要な情報は予測しやすい
多要素認証(二要素認証)を使うべき理由の2つ目は「ログインに必要な情報は予測しやすい」というものが挙げられます。
通常のパスワード認証では、ユーザーIDとパスワードを一致させることで本人確認を実施するものであり、そのユーザーIDの多くは社用のメールアドレスが使用されています。
しかし、社用のメールアドレスは名刺やSNSに記載されていることも多く、わからない場合でも「名前+ドメイン」といった規則性があるため、簡単に入手することができてしまいます。
多要素認証が利用できるSaaSを導入しよう!
本記事では、いまさら聞けない多要素認証の基礎基本や仕組みについて、認証方式の特徴から二段階認証との違いまで徹底解説していきました。
従来までのパスワードによる本人確認方法は、解読のしやすさや漏えいのしやすさといった観点から、大きな脆弱性を抱えていることがわかりました。
そのため、SaaSやクラウドサービスを導入する場合には、多要素認証が実装されたサービスを導入することで、大切なデータを保護することが重要です。
“世界一わかりやすい情報セキュリティ”連載記事はコチラから!
▶ 第1回:【SaaS利用者必見】話題の”セキュリティ評価”の重要性と対策方法を紹介!
