多要素認証(MFA/Multi-Factor Authentication)とは?仕組みや認証方法について解説

2022/03/25

 

main.jpg

多要素認証とは、Webサービスなどにログインする際に、複数の異なる認証要件を要求することにより、セキュリティレベルを高めるシステムのことです。似たような言葉に“二要素認証”や“二段階認証”が存在しますが、これらとの違いは何でしょうか。

この記事では、多要素認証の概要から二要素/二段階認証との違い、多要素認証の種類と方法などについて解説します。

 

■多要素認証とは?なぜ必要?

まずは多要素認証の概要と、なぜ企業に多要素認証が必要とされているのかについて説明します。


◇多要素認証とは

多要素認証とは、クラウドサービスやSNSなどのWeb上のサービス、アプリなどにログインする際に、2つ以上の要素によって本人確認を行なう認証のことで、MFA(Multi-Factor Authentication)とも呼ばれます。

ログインIDやパスワードがログイン時の代表的な認証方法ですが、これら以外にも複数の要素を組み合わせることで、セキュリティをより高める効果が期待できます。

 

◇多要素認証の必要性

多要素認証が必要とされる理由は、不正ログインの防止です。Microsoftによると、多要素認証を導入することにより、不正ログインのリスクを最大99.9%低下させることができる、ということです。

一般的に、ID・パスワードで認証を行なうサービスの場合、パスワードの使いまわしや外部からのサイバー攻撃により、IDやパスワードが流出してしまうリスクがあります。

しかし、多要素認証を導入していれば、万が一IDとパスワードが流出してしまったとしても、生体認証やワンタイムパスワードをログインの際に要求するため、第三者による不正ログインを防止することが可能です。

 

■多要素認証は二要素認証や二段階認証とどう違うのか

多要素認証・二段階認証違い画像.png

多要素認証・二要素認証・二段階認証は、複数の認証段階を必要とする点では同じですが、似て非なる言葉であるため注意が必要です。

用語

意味

必要な認証要素数

認証強度

二段階認証

認証時に2段階(2ステップ)の認証が必要となる認証

制限なし(1要素でもOK)

AAL1

二要素認証

認証時に認証要素が2種類必要となる認証

2要素

AAL2、もしくはAAL3

多要素認証

認証時に認証要素が2種類以上必要となる認証

2要素、もしくは3要素

AAL2、もしくはAAL3

AAL(Authenticator Assurance Level)は、アメリカ国立標準技術研究所(NIST)が公表する認証に関するガイドライン“Electronic Authentication Guideline”(NIST SP800-63)で示される認証強度です。

また、認証要素には“知識要素”“所持要素”“生体要素”が存在しますが、詳しくは後ほど解説します。

 

◇二要素認証との違い

二要素認証とは、“認証要素を2つ含む認証”を示します(英語の頭文字をとって“2FA”と略されることもあります)。例えば、認証に“IDパスワード(知識要素)”と“ワンタイムパスワード(所持要素)”の2つを用いると、2要素が用いられた認証なので“二要素認証”となります。

なお、“二段階認証”とは異なり、認証のステップ数は問題ではありません。1ステップでの認証でも、2ステップでの認証でも、2つの認証要素さえ満たせば“二要素認証“です。

上記の認証強度の表にあるとおり、2つの要素を持つ場合、認証強度は“AAL2”または“AAL3”となります。

二要素認証は多要素認証の一種であり、その違いは認証要素数です。認証要素数が2種類なら二要素認証、2種類以上なら多要素認証です。

例えば、ID/パスワード(知識要素)・ワンタイムパスワード(所持要素)の2つを用いた場合は二要素認証であり、多要素認証でもあります。しかし、これに指紋(生体情報)が加わると認証要素は3要素となり、多要素認証だけに変わります。
 

◇二段階認証との違い

二段階認証は“認証が2段階(2ステップ)で行なわれる認証”を示す言葉で、“認証要素がいくつ含まれているか”を示す言葉ではありません。例えば、1段階目に“ID/パスワード”を入力したあと、そのID/パスワードが正しかった場合に、2段階目として“第2パスワード”を入力するようなものです。

この場合は、“ID・パスワード”“第2パスワード”ともに、認証要素の“知識要素”となりますので、“二段階認証”を満たしますが、認証要素は1つしか含まれていないため“二要素認証”“多要素認証”としての条件は満たしません。

認証強度は“AAL1”となり、二要素認証や多要素認証に比べると認証強度は劣ります。もちろん、“二段階認証でかつ、二要素認証”である場合もあります。しかし、認証の段階の多さと、認証の強度は関係がありません。このため、欧米圏では“二段階認証”という表現はほとんど用いられず、“二要素認証”“多要素認証”という語が用いられています。

二段階認証と二要素/多要素認証は用語として似ていますが、認証の段階と認証要素数が異なります。“二段階認証かつ二要素/多要素認証”という例も多く見られるため、混同されることが多い用語ですが、二段階認証だけでは認証強度が劣る点は覚えておきましょう。

 

しかし、二段階認証だけでも単一のID/パスワードによる認証と比べれば、パスワード認証の脆弱性をカバーでき、アカウントの乗っ取りや不正アクセス対策として有効です。

詳しくは“二段階認証とは?二要素認証との違いやメリット、セキュリティ強化のポイントを解説”にて解説しているため、こちらもご覧ください。

■多要素認証の種類と方法

sub1.jpg

多要素認証で使われる認証要素は、“知識”“所有”“生体”の3種類です。これらは“認証の3要素”と呼ばれており、それぞれの要素を組み合わせることで、多要素認証は強固なセキュリティを実現しています。

ここでは、それぞれの要素における代表的な認証方式について解説します。

 

◇ユーザーが知っていること(知識情報)

認証要素の1つ目である“知識”は、ユーザーが知っていること(情報)を認証の要素とするものです。最も代表的な情報はID/パスワードでしょう。その他にも、PIN番号や秘密の質問などが該当します。

認証方式

特徴

ID・パスワード

ユーザーに与えられたIDとユーザーが知っているパスワードを使った認証方式

PIN番号

4桁から6桁の数字。セキュリティレベルが非常に低い。スマートフォンのロック解除や認証デバイスを使用するためのロック解除、多要素認証前提の暗証番号などで使用

秘密の質問(シークレットクエスチョン)

事前に登録したユーザーが知っている質問と回答の組み合わせ。質問はシステム管理が指定するものとユーザー自身が指定することがある。複数の質問と回答の組み合わせを登録させ、そのなかのいくつかがランダムに質問される。パスワードを忘れたときの再設定時などに使用される

マトリクス認証

毎回異なる数字や文字がランダムに基盤目状に並ぶ表のなかから、事前にユーザーが指定したマスの位置に表示された値を送信し認証する

 

◇ユーザーが持っているもの(所有情報)

認証の要素の2つ目である“所有”は、ユーザーが持っているものを認証の要素とするものです。知識情報の認証方式は知っていれば誰でも突破できますが、所有情報と組み合わせることで特定のモノや情報が必要になるため、認証強度を高められます。

近年ではスマートフォンをはじめ、小型デバイスが普及していることからも、知識要素と組み合わせて利用されることが多いといえるでしょう。

認証方式

特徴

ICカード(スマートカード)

ICカードの情報により認証する。ICカードを読み取るリーダーが必要

ワンタイムパスワード

定期的に更新されるランダムな数字列を表示するデバイス。ここに表示される数字列は、ワンタイムパスワードと呼ばれる。ワンタイムパスワードは定期的に更新されるため、一度使った値を再利用することができない。

デバイスはメーカーごとにさまざまなものがある。キーホルダータイプやスマートフォンアプリで提供されるソフトウェアタイプもある

USBトークン

USBメモリのような形状で、内部に電子証明書の“鍵”を保存できる仕組みになっているUSBデバイス。認証時にUSBポートに差し込んで“鍵”を読み出して認証する

FIDO U2F

次世代認証方式として有望視されているFIDOアライアンスが、規格を標準化している認証方式。FIDO U2Fと呼ばれる規格がUSBタイプのデバイスで提供される。認証時にUSBポートに挿入し金属部分を指で触れる

SMS認証

SMS(ショートメッセージサービス)は、携帯電話の電話番号へ短文のメールを送信する仕組み。SMS認証は、認証時にサーバーからユーザーの携帯電話へSMSでワンタイムパスワードが送信され、その内容を入力して認証する

E-Mail認証

認証時に、サーバーからユーザーへメールでワンタイムパスワードが送信され、その内容を入力して認証する。メールアドレスにアクセスできる端末を持っていることで認証が可能となるが、メールは複数のデバイスからアクセス可能であるためセキュリティレベルとしては低い

ボイスコール

認証時にユーザーの携帯電話へ電話が着信し、ワンタイムパスワードが読み上げられる。ユーザーは読み上げられたパスワードを入力することで認証する

スマートフォンアプリ認証

スマートフォンに専用のアプリケーションをインストールし、認証する。ログイン時に、スマートフォンアプリからアクセスを承認するかどうかを確認され、“承認”をタップすることで認証される

Bluetooth Smart認証デバイス

Bluetooth接続型の認証デバイス。あらかじめログイン端末とペアリングしておき、認証時にBluetooth接続されていることで認証する

暗号表認証

ランダムな英数字が表となっている暗号表を、事前にユーザーに配布し、認証時に指定された行と列に該当する値を順次入力することで認証する


◇ユーザー自身の特徴(生体情報)

認証の要素の3つ目である“生体”は、ユーザー自身の特徴を認証の要素とするものです。知識・所有要素は、それぞれ情報の漏えいやデバイスの紛失などにより、認証が突破されてしまうリスクが存在します。その点、生体情報は紛失の心配がなく複製も難しいため、3つの要素のなかで最もセキュリティ強度を高められる要素といえるでしょう。

企業のデータセンターの出入りや、機密情報の持ち出しなど、特にセキュリティ要件が厳しい認証に用いられます。

認証方式

特徴

指紋認証

ユーザーの指紋情報により認証する。指紋を読み取る専用のデバイスが必要

顔認証

ユーザーの顔を認識し認証する。カメラ付きのデバイスが必要

虹彩認証、網膜認証

ユーザーの目の虹彩または網膜により認証する。虹彩または網膜を読み取る専用のデバイスが必要

静脈認証

ユーザーの手の静脈により認証する。静脈を読み取る専用のデバイスが必要

FIDO UAF

FIDOアライアンスが標準化している、次世代認証方式の生体認証規格。スマートフォン用の生体認証機能を標準化している

■多要素認証導入のメリット

sub2.jpg

多要素認証を導入することにより、企業はどのようなメリットを得られるのでしょうか。

 

◇セキュリティ性の向上・強化

多要素認証導入の最大のメリットは、セキュリティの向上です。IDやパスワードのみでの管理がセキュリティ面で脆弱である一方、多要素認証であれば二段階認証以上にセキュリティレベルを高められます。

特に、顔認証や指紋認証を要求する場合は、第三者による起動・ログインがほぼ不可能になります。

◇生体認証などによるユーザーの利便性が向上

クラウドサービスをはじめとしたWebサービスが多く利用されるようになり、企業やスタッフ個人で管理するIDやパスワードが増えました。その結果、パスワードの使いまわしが発生したり、パスワードを忘れた際に情報管理部門への問い合わせが頻発したりするなど、デメリットが目立つようにもなりました。

その点、顔認証や指紋認証などを要求する多要素認証であれば、パスワードを複雑化したり、定期的に更新したりする必要もなくなるため、ユーザーの利便性を高めることが可能です。

 

■多要素認証の導入を検討中の方におすすめの“トラスト・ログイン”

多要素認証の導入を検討中の方におすすめのサービスが“トラスト・ログイン”です。ここでは、“トラスト・ログイン”のおすすめポイントを4点紹介します。
 

◇セキュリティが万全で安心

“トラスト・ログイン”は万全のセキュリティを誇っています。

その裏付けとして、“トラスト・ログイン”を運営するGMOグローバルサインが、SSL認証局として20年以上の実績を誇っていることが挙げられます。SSL認証局とは、電子証明書の発行する機関のことで、認証局として認められるには厳しい審査を通過しなければなりません。

認証局の看板は、情報を守る確かな技術やノウハウがあり、スタッフも高い知識レベルとセキュリティ意識を持っている企業の証拠でもあるのです。

トラスト・ログインのセキュリティ~安心できる4つの理由~
 

◇導入が無料でお試しが可能

“トラスト・ログイン”は、初期費用がかからず基本的な機能が無料で利用できるため、試験的に導入しやすいサービスです。

使用していくうちに、基本機能以上に利便性やセキュリティ面を向上させたいと感じた場合は、月額100円からオプション機能を追加することができます。
 

→追加できるオプション例

・外部サービスとの連携(1サービスあたり月額100円~連携可能)
・ワンタイムパスワードやIPアドレス制限、クライアント認証など(1つあたり月額100円~)

※1IDあたり月額300円で、すべての有料オプションを利用できるPROプランに変更可能。
 

◇さまざまなシングルサインオンに対応

“トラスト・ログイン”では以下の3種類のシングルサインオンに対応しています(2022年2月現在)。

・フォームベース認証(ID・パスワードによる認証)
・SAML認証(ID・パスワードが不要)
・BASIC認証


ユーザーや情報管理システム部門の担当者さまは、管理しなければならないID・パスワード情報を劇的に減らすことができ、セキュリティレベルを高めると同時に利便性も向上させることが可能です。
 

◇アプリ数やアカウント数が無制限

“トラスト・ログイン”では、アカウントを無制限に登録することができます。

また、“トラスト・ログイン”は国内最多の6,000種類 のアプリ・Webサービスと連携しています。

多要素認証の導入を検討中の方におすすめの“トラスト・ログイン”はこちら

 

■まとめ

多要素認証は複数の異なる認証要件を要求することで、セキュリティレベルを高めるシステム・認証方式です。知識・所有・生体という認証の3要素を用いて、複数の要素を組み合わせることでセキュリティ強度を高めています。

二要素認証は多要素認証の一種であり、複数の認証要素を用いる点では同じです。また、二段階認証は認証の段階が2ステップ必要という意味であり、二要素/多要素認証とは異なる考え方であることを覚えておきましょう。

なお、二要素認証かつ二段階認証という認証方式も多く、二段階認証よりも二要素/多要素認証のほうがセキュリティ強度は高くなります。

多要素認証を導入することには多くのメリットが存在します。トラスト・ログインであれば、簡単に導入できるため、一度検討してみてはいかがでしょうか。

この記事を書きました

森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー