「多要素認証とは?」
「多要素認証で用いる3つの情報と具体例がしりたい」
「多要素認証の重要性が増している背景は?」
インターネットの普及により、ECサイトの利用が増えてきています。
従来はID・パスワードによる本人確認が一般的でしたが、最近では、サイバー攻撃の巧妙化・高度化により、安全性が脅かされてきています。
そこで本記事では、サービスなどを安全に利用するため「多要素認証」について、具体例を紹介しつつ、導入のメリット・デメリットを解説していきます。
セキュリティ向上の施策に悩まれている方は、ぜひ最後までご覧ください。
多要素認証とは
本人確認するためには、
「知識情報」、「所持情報」、「生体情報」の3つの認証要素があります。
多要素認証(MFA:Multi-Factor Authentication)とは、インターネットを利用しSNS、ECサイト、メールサービスなどを利用するとき、3つの認証要素の中から2つ以上使用し、本人確認する方法です。
2要素認証とは
2要素認証とは、
3つの認証要素の中から2つの認証要素を使用し、本人確認する方法です。
2段階認証とは
2段階認証とは、2回本人確認する方法です。
本人確認回数が2回と回数をあらわします。
多要素認証で用いる3つの情報と具体例
ここからは、多要素認証で用いる3つの情報(認証要素)と具体例について紹介します。
- 知識情報
- 所持情報
- 生体情報
順番に解説していきます。
①知識情報
知識情報は、
本人だけしか知らない情報となります。
具体例としては、ID・パスワード、キャッシュカードの暗証番号、パターンロック(画面上の点を指でなぞる)、画像化された文字情報を入力させる方法などがあります。
②所持情報
所持情報は、
本人だけが持っている情報となります。
具体例としては、スマートフォンのSMSへ送られてくるワンタイムパスワード、ICチップ搭載カード、トークン(キーホルダー型トークン、カード型トークン)などがあります。
③生体情報
生体情報は、
本人自身の身体的特徴が情報となります。
具体例としては、指紋認証、虹彩認証、静脈認証、顔認証などがあります。
認証の組み合わせごとの特徴
認証の組み合わせには、4つの組み合わせがあり、特徴を持っています。
段階とは、認証の回数をあらわします。
要素とは、3つの認証要素のうち、いくつ要素を使用するかをあらわします。
各組み合わせについて紹介していきます。
- ・1段階認証+単要素認証
- ・2段階認証+単要素認証
- ・1段階認証+2要素認証
- ・2段階認証+2要素認証
それぞれ解説していきます。
1段階認証+単要素認証
1段階認証+単要素認証とは、
1つの要素を使用し、1回の本人確認を行うことです。
たとえばID・パスワード(知識情報)を使用し、1回の本人確認を行います。
ID・パスワードは、総当たり攻撃(暗号解読方法のひとつでPCなどを使用して可能な組み合わせを全て試すやり方)を受けて、パスワードを探し当てられてしまうリスクがあります。
1要素、1回の本人確認は、リスクが大きくなります。
2段階認証+単要素認証
2段階認証+単要素認証とは、
1つの要素を使用し、2回の本人確認を行うことです。
たとえば最初にID・パスワード(知識情報)を使用し本人確認を行います。正常に本人確認された場合、続けて「秘密の質問」(知識情報)を使用し本人確認を行う方法となります。合計2回の本人確認を行います。
1段階認証+単要素認証よりも安全です。
「秘密の質問」についても、例として「母の旧姓」、「好きなペット」、「出身地」など、みずからSNSに情報を書き込んでいる場合があります。SNSから探し当てられてしまうリスクがあります。
1要素、2回の本人確認は、リスクが大きくなります。
1段階認証+2要素認証
1段階認証+2要素認証とは、
2つの要素を使用し、1回の本人確認を行うことです。
たとえばID・パスワード(知識情報)、トークン(所持情報)の2要素を一度に入力し、1回の本人確認を行います。
仮にID・パスワードが第三者に渡っても、同時にトークンが盗まれていなければ本人確認できません。
2要素、1回の本人確認は、リスクが小さくなります。
2段階認証+2要素認証
2段階認証+2要素認証とは、
2つの要素を使用し、2回の本人確認を行うことです。
たとえば最初にID・パスワード(知識情報)を使用し本人確認を行います。正常に本人確認された場合、トークン(所持情報)を使用し再度本人確認を行います。
仮にIDとパスワードが第三者に渡っても、同時にトークンが盗まれていなければ本人確認できません。
2要素、2回の本人確認は、リスクが小さくなります。
多要素認証の重要性が増している背景
多要素認証の重要性が増している背景には、以下の2つの問題点があります。
- ・パスワード認証の限界
- ・サイバー攻撃の増加・巧妙化
それぞれ解説していきます。
パスワード認証の限界
アカウントをハッキングから守る手段としては、強固なパスワードで守る方法があります。
しかし容易に推測可能なパスワードを、設定しているユーザーも多いのが現実です。
例としては、パスワードが「123456」、「PassWord」などが多いです。
また、強固なパスワードを設定していたとしても、そのパスワードを複数のクラウドサービスで、使いまわしされている場合が多く、総当たり攻撃などで一度パスワードが破られると、複数のクラウドサービスの情報がハッキングされる可能性があります。
すべて利用しているクラウドサービスに、強固なパスワードを設定し運用する場合、人間の記憶に頼るのは限界があります。
サイバー攻撃の増加・巧妙化
サイバー攻撃の増加・巧妙化が進んでいます。
チェック・ポイント・リサーチから、2023年第1~第3四半期における、
サイバー脅威の全体像を示すデータが公開されました。
それによると、最も多く攻撃を受けているのは教育・研究分野で、1組織当たり 週平均2,160件の攻撃を受けています。2番目に攻撃を受けているのが、政府・軍関係で、1組織当たり週平均1,696件の攻撃でした。
総務省は、2021年における不正アクセス禁止法違反事件の認知・検挙状況等を公表しました。
不正アクセス行為の手口別検挙件数は、全検挙件数が409件中、識別符号窃用型が398件となり全体の90%以上を占めます。
識別符号窃用型の不正アクセス行為の手口別に内訳を見ると 、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が最も多く153件 、次いで「フィッシングサイトにより入手 」が70件、「識別符号を知り得る立場にあった元従業員や知人等による犯行」が15件と続きます。
サイバー攻撃も巧妙になり、パスワードを守ることが重要になっています。
多要素認証を適用すべきサービスの例
多要素認証を適用すべきサービスの例としては、以下があります。
デフォルトの設定では、多要素認証を使用する設定になっていない場合もあります。
多要素設定については、利用者側で確認を行ってください。
- ・ECサイト(オンラインショッピング)
- ・オンラインバンキング
- ・VPN
- ・クラウドサービス
それぞれ解説していきます。
ECサイト(オンラインショッピング)
AmazonやYahooなどのオンラインショッピングでは、ID・パスワードによる知識情報に加えて、SMS、認証アプリ(Amazon)、メール(Yahoo)からワンタイムパスワード(所持情報)を利用して多要素認証が利用できます。
利用アカウントから、仮に情報が流出し不正ログインされると、身に覚えのない商品の購入や犯罪に利用されるなどリスクがあります。
オンラインバンキング
ATMでは、キャッシュカード(所持情報)と暗証番号(知識情報)による、多要素認証が行われています。
オンラインバンキングは、多要素認証を利用し本人確認を行っています。
ID・パスワードによる知識情報を利用した本人確認に加えて、振込する場合など、ワンタイムパスワード(所持情報)を入力する方法が、一般的になっています。
VPN
VPN(Virtual Private Network:仮想専用通信網)サービスでも、多要素認証を活用する例が増えてきています。
企業の働き方改革により、在宅勤務が増えています。その結果、多くの企業が安全なVPNが必要になりました。
VPN接続ポイントから不正アクセスや情報漏洩を防止するため、ID・パスワードによる知識情報の本人確認に加えて、たとえばPC専用のUSBキー(所持情報)を利用する方法などがあります。
VPN接続する場合は、多要素認証の導入が必須となってきています。
クラウドサービス
業務にクラウドサービスを利用している企業が増えています。クラウドサービスの認証方法は、知識情報によるものが一般的です。最近は、クラウドサービス側も多要素認証を採用するようになってきました。
例えばWordやExcelなどを提供するMicorosoft 365や、サーバーやストレージを提供するAWS(Amazon Web Services)などでは、アカウント情報を守るため多要素認証を提供しています。
SNS
X(旧Twitter)やFacebookなど、ソーシャルメディアでは、ID・パスワードによる知識情報に加えて、SMS、認証アプリを利用した所持情報を組み合わせることにより、多要素認証を行っています。
例えば、「X」の多要素認証は、ログインする時にID・パスワードによる知識情報の本人確認に加えて、認証アプリから表示された6桁の数字コードを入力する方法です。
多要素認証の確認
企業は、さまざまなサービスを業務に利用しています。
利用中のサービスのセキュリティが、多要素認証になっているか確認してください。
情報セキュリティ事故が起きてしまうと、自社はもちろんですが、その影響の範囲は取引先、顧客、さらに二次被害にあう可能性のある第三者にまでおよびます。
多要素認証を導入し、情報セキュリティ対策を強化することがとても重要です。
構成/監修者
滝村 享嗣 氏
株式会社リンク
セキュリティプラットフォーム事業部 事業部長
群馬県高崎市出身。1999年、新卒で大手商社(情報通信系サービス)に入社。その後、ITベンチャーの営業責任者、ソフトウエアベンチャーの営業/マーケティング/財務責任者に従事。2011年にリンクに入社し、セキュリティプラットフォーム事業の事業責任者として、クレジットカード業界のセキュリティ基準であるPCI DSS準拠を促進するクラウドサービスなどを企画・事業化している。