業界/資格

多要素認証（MFA）とは？仕組みやメリット、実例を紹介

2024年01月29日

IT 技術

はじめに

デジタルトランスフォーメーション（DX）推進の広がりとともに多様な働き方が可能になった昨今、ビジネスの現場ではクラウドサービスの利用が当たり前になってきました。クラウドサービスなどIT技術をビジネスに活用する際、重要になってくる問題のひとつがセキュリティ対策です。今回の記事で取り上げる多要素認証とは、セキュリティ対策を考える上で新しい常識とも言えるシステムです。多要素認証とは何なのか、わかりやすく解説します。

多要素認証（MFA）とは

多要素認証とは、Webやクラウドサービスなどにログインする際の、セキュリティを高めるためのシステムのひとつです。英語ではMulti-Factor Authenticationといい、MFAと略されます。従来のパスワード認証システムが限界を迎える中、新しい認証システムとして需要が高まっているのが多要素認証です。次にその仕組みを見てみましょう。

認証の3要素

認証には3種類の情報（要素）があり、そのうち2つ以上の要素を使って本人認証をおこなうシステムが多要素認証です。3つの要素とは知識情報、所持情報、生体情報のことを指します。ハッキング技術の高度化により、従来のID・パスワードといったひとつの要素だけの認証システムでは、セキュリティ対策として十分とは言えなくなりました。そこで複数の認証要素を組み合わせることによりセキュリティ強度を高める、より強固なシステムとして主流になりつつあるのが多要素認証なのです。

知識情報

知識情報とは、その人だけが知っている情報です。ID、パスワード、秘密の質問などがあります。特定の文字列を入力するだけなので広く使われています。一方で誕生日や名前などの推測されやすい情報をパスワードにする人も多いため、セキュリティ強度は低くなってしまいます。

所持情報

所持情報とは、その人だけが持っているものに付随した情報です。鍵、ICカード、スマートフォン、スマートフォンを使ったSMS認証やアプリ認証、ワンタイムパスワードを生成するトークンなどがあります。その所有物を紛失したり壊したりすると使えなくなるというデメリットがあります。

生体情報

生体情報とは、その人だけの身体的情報です。指紋、顔、声紋、虹彩（目）、手のひらの静脈などがあります。複製することが困難な情報なのでセキュリティ強度は非常に高いと言えます。認証もスムーズで利便性も高いです。また、紛失する心配がないのも安心できるポイントでしょう。

二段階認証・二要素認証との違い

同じ要素の認証を何段階おこなっても多要素認証にはなりません。たとえば、パスワードと秘密の質問を組み合わせた本人認証は、2種類の認証をおこなっているので一見多要素認証のように見えます。しかし、パスワードも秘密の質問も要素としては同じ知識情報なのでこれは二段階認証です。

秘密の質問の代わりに指紋認証をパスワードと組み合わせると、知識情報と生体情報の2つの要素を使うので、この場合は多要素認証に含まれる二要素認証になります。
同じ要素の情報は一緒に流出する可能性があるため、二段階認証よりも多要素認証のほうが安全性は高いと言えます。

多要素認証の必要性が高まる背景

パスワードを複雑なものにするだけではセキュリティ対策は十分とは言えないのでしょうか。今なぜ多要素認証の必要性が高まっているのか、その背景を解説します。

クラウドサービスの普及

近年、働き方の多様化や感染症予防対策としてリモートワークを取り入れる企業が増えました。リモートワークの環境を整えるために多くの企業で導入されているのがクラウドサービスです。どこからでも社内のネットワークにログインできるという便利さの一方で、不正アクセスが増え、機密情報の漏洩が心配されます。そこで、より高度なセキュリティ対策として採用されているのが多要素認証です。Salesforce、Office365（現在のMicrosoft365）、AWS、Azure ADといった大手のクラウドサービスではどのように多要素認証を取り入れているのか、次に見てみましょう。

クラウドサービスについてより詳しく知りたいという方はこちらの記事、クラウドとは？意味やクラウドサービスのメリットを初心者にもわかりやすく解説！をぜひ参考にしてみてください。

多要素認証を利用したクラウドサービスについての詳細や企業のセキュリティ対策に興味のある方はこちらの記事、多要素認証（MFA）とは？クラウドサービス別に徹底解説をぜひご覧ください。

Salesforceと多要素認証

Salesforceはクラウドサービスを利用して顧客管理や営業支援などをする、世界シェア1位のアプリケーションです。Salesforceでは2022年2月1日より多要素認証が必須となりました。Salesforceでは、IDとパスワードに加えモバイルデバイスを利用したアプリ認証やセキュリティキー、ワンタイムパスワード、Face IDなどを組み合わせた多要素認証が使われています。

Office365（現在のMicrosoft365）と多要素認証

ExcelやWord、TeamsといったMicrosoftのさまざまなアプリを利用できるクラウドサービスです。2020年4月22日をもってOffice365からMicrosoft365に名称が変わりました。Office365が買い切り方式だったのに対し、Microsoft365ではサブスクリプション方式になっています。Microsoft365における多要素認証では、IDとパスワードに加えSMS認証、音声通話、モバイルアプリ認証のいずれかが必要です。

AWSと多要素認証

AWS（Amazon Web Services）は、ネットショッピング事業大手のAmazonが提供するクラウドサービスです。Amazonがもつ、膨大な量の在庫や販売データを管理・分析する技術を一般公開したのがAWSのはじまりです。AWSでは通常のログイン認証後、スマートフォンなどのモバイルデバイスを利用したアプリ認証やセキュリティキー、ハードウェアMFAデバイスによるワンタイムパスワードなどの認証を必要とする多要素認証を採用しています。

Azure ADと多要素認証

Azure AD（Azure Active Directory）はMicrosoftが提供する、ユーザー管理をするためのクラウド認証サービスです。Microsoft365などのクラウドサービスをより安全に、そしてより便利に使うためのクラウドサービスといえます。Azure AD ではパスワード認証に加えて、音声通話、SMS認証、モバイルアプリによる通知、ハードウェアトークンが発行するコードなどを使った多要素認証をおこないます。

サイバー攻撃の増加

多要素認証の必要性が高まっている背景にはサイバー攻撃の増加があります。近年のサイバー攻撃は複雑化・巧妙化しており、あらゆる個人・企業が被害に遭う可能性があります。一度被害に遭うと、コンピュータウィルス感染、個人情報流失、システム機能停止、機密情報流失など損害は甚大です。あらゆるサイバー攻撃に備えるためにも、多要素認証によるセキュリティの強化が注目されています。

アカウント数の増加

最近ではWeb上のサービスやアプリが増えており、個人がもつアカウント数も激増しています。これにより従来のパスワード認証は今限界を迎えています。複雑なパスワードをすべてのアカウントごとに設定して運用するのは難しいからです。多数のアカウントを管理しきれず、同じパスワードを使い回す例も頻発してしまいます。パスワードのみに頼らない多要素認証はこの事態を解決する手段としても有効なのです。

多要素認証の身近な例

多要素認証はつい最近になって登場したものではなく、私たちの身近なところで以前から使われています。いくつかその例を挙げてみましょう。

銀行のATM

ATMを操作するときにはキャッシュカードを使い、暗証番号を入力します。キャッシュカードはその人だけが持つ所持情報で、暗証番号はその人だけが知っている知識情報なので、この認証方式は2つの認証要素を使った二要素認証であり多要素認証です。

ホテルのセキュリティボックス

ホテルで貴重品を保管するセキュリティボックスには、鍵と暗証番号を組み合わせて使うものがあります。鍵は宿泊者だけが持つ所持情報であり、暗証番号は宿泊者だけが知っている知識情報なので、これも多要素認証の一例です。ホテルの従業員が合鍵を持っていても、暗証番号は宿泊者しか知らないのでセキュリティボックスを開けることはできません。

スマートフォン

スマートフォンの最近の機種では、ロック画面を解除するとき指紋認証や顔認証を使います。これはスマートフォンという所持情報と生体情報の組み合わせですから、多要素認証になります。生体情報による認証をおこなうには事前に登録しておくことが必要です。スマートフォンのセキュリティを常に最新のものにするためにはOSのアップデートをしておくことも重要です。

多要素認証のメリット・デメリット

今や私たちの暮らしに欠かせないものとなっている多要素認証ですが、メリットやデメリットにはどのようなものがあるでしょうか。

多要素認証のメリット

多要素認証のメリットは何といってもセキュリティ効果の高さです。万が一第三者にパスワードを知られてしまっても、鍵やスマートフォン、指紋などと組み合わせなければロックを解除したりログインしたりすることはできません。また、生体認証はタッチするだけ、体の一部をかざすだけで本人認証が済むので、生体情報を組み合わせた多要素認証は利便性も高いと言えます。

多要素認証のデメリット

認証作業が2段階、3段階必要になると、その作業が面倒だと感じた利用者が離れてしまうリスクがあるでしょう。認証作業が簡単な生体認証を導入するには、センサー付き端末を取り入れるコストがかかります。また、せっかく取り入れた端末が故障してしまっては本人認証ができなくなるので、代替手段を用意しておく必要もあります。

デメリットを補うシングルサインオン（SSO）

シングルサインオンとは、一度認証すれば関連する複数のシステムやサービスにログインできる仕組みのことです。多要素認証のわずらわしさを補い、利便性を高めるシステムとして、多くのクラウドサービスで取り入れられています。シングルサインオンは通常1組のIDとパスワードだけで複数のシステムにログインすることが可能ですが、多要素認証と組み合わせることでより高い強度のセキュリティが維持できます。

多要素認証を取り入れる際の注意点

これまで見てきたように、多要素認証は高度なセキュリティ効果と利便性を兼ね備えた、優れたセキュリティシステムだと言えます。しかし残念ながら100％安全なセキュリティ対策というものはありません。多要素認証を導入しても、管理する人間のミスや気のゆるみが不正アクセスや情報漏洩を起こしてしまう危険性はあるでしょう。そのような事態を防ぐために、多要素認証を取り入れる際に注意したい点を見ていきます。

認証ツールの管理を徹底する

これは多要素認証に限らず、徹底しなくてはならない基本的なことですが、ID・パスワードの使い回しをしたり、セキュリティキーやカードを人に預けたりしてはいけません。多要素認証をおこなう上で複数回の認証というのはたしかに面倒な点ですが、その手間のおかげでセキュリティが確保されるのだということを忘れないようにしましょう。

他のセキュリティ対策も怠らない

たとえ生体認証を多要素認証に組み込んでいても、必ずしも安全とは言えません。ある実験ではピースサインをしている写真から指紋を読み取り、指紋認証を突破することに成功したそうです。個人ならSNS運用に慎重になる、覚えのないメールは開かない、企業ならあらゆるサイバー攻撃や内部不正に対策を講じるなどしましょう。

情報セキュリティについてより詳しく知りたいという方はこちらの記事、情報セキュリティーとは？個人・企業別の対策や資格の種類など網羅的に解説をぜひご覧ください。

セキュリティエンジニアの仕事に興味があるという方はこちらの記事、セキュリティエンジニアとは（仕事、研修、将来性、転職方法など紹介）をぜひ参考にしてみてください。

多要素認証疲労攻撃に注意しよう

多要素認証をターゲットにした、その名も多要素認証疲労攻撃という、不正アクセスを企むサイバー攻撃があります。利用者のID・パスワードを盗んだ上で、その次の段階のアプリやSMS認証コードなどのプッシュ通知を送ってきます。心当たりのない利用者が拒否しても何回も繰り返し送り付け、利用者がつい誤って承認してしまうことを狙ったものです。心当たりのない承認要求が来たら、まずはパスワードを変更しましょう。

まとめ

今や私たちの生活とITは切っても切り離せないものになりました。そのような中で不正アクセスやサイバー攻撃から個人や企業を守っているのが多要素認証です。スマートフォンのロック解除をするとき、リモートワークでパソコンを開くとき、多要素認証がセキュリティを担っています。ただし、どれだけ強固なセキュリティシステムにも100％はありません。企業はもちろんのこと、個人レベルでも日頃から高いセキュリティ意識をもってITを安全に、そして便利に使いこなしましょう。