今更聞けない「多要素認証」とは？セキュリティレベルを高める手段や企業の導入事例を紹介

近年、不正アクセスや情報漏えいなどのセキュリティリスクが高まるなか、対応策として「多要素認証（MFA）」が注目を集めています。多様化するサイバー攻撃を防ぎパーソナルデータや機密情報を守るためには、多要素認証が効果的です。 

現在では、FIDO2やパスキー（Passkey）といったパスワードレス認証方式も注目されており、ユーザーの利便性とセキュリティの両立が求められています。また、AIを悪用した高度なフィッシング攻撃が増える中、フィッシング耐性を備えた認証技術の導入が急務とされています。 

本記事では、多要素認証の概要や二要素／二段階認証との違い、導入時のメリットや注意点などを解説します。セキュリティインシデントを予防するためにも、多要素認証についての理解を深めておきましょう。 

 

■多要素認証（MFA）は、なぜ必要？

多要素認証とは、システムやWebサイト、アプリなどにログインする際に、2種類以上の要素を使って本人確認を行なう認証形式のことです。英語ではMulti Factor Authenticationで、略して「MFA」とも呼ばれています。 

従来は、ID・パスワードの入力による認証が一般的でした。多要素認証では、ID・パスワードを含めて、複数の認証要素を組み合わせるため、奪取や漏洩の危険瀬リスクの高いID・パスワードだけの認証よりも、セキュリティ効果が期待できます。 
 

 

多要素認証に用いられる要素には、以下の3種類があります。

• ●知識情報
• ●所持情報
• ●生体情報
  

上記の中から2つ以上の要素を組み合わせることで、セキュリティを強化します。

まずは、これら3つの要素について見ていきましょう。

 

◇知識情報

知的情報とは、ユーザー本人だけが知っている情報を指します。例えば、パスワードやPINコードなど、ユーザー自身が設定する情報です。専用端末を使わず気軽に本人確認できるため、多くのサービスで導入されています。
ここで重要なのは、「本人だけが知りうる」という点です。例えば、ATMで出金や送金を行なう際に入力する暗証番号も知識情報の一種ですが、これを誕生日などに設定する行為は、意図しない場所から個人情報などが流出した場合、簡単にセキュリティを突破されるリスクも高まります。 

【知的情報の具体例】 

• ●IDとパスワード 
• ●キャッシュカードの暗証番号 
• ●PINコード 
• ●秘密の質問 
• ●スマートフォンのパターン認証など 
•  

◇所持情報

所有情報とは、本人だけが持っている物理的な「もの」に含む情報を指します。キャッシュカードやICカード、身分証、スマートフォンなどに含むアプリケーションによるワンタイムパスワードなど、これらを持つことで本人確認が可能になります。しかし、端末の破損や盗難、紛失のリスクも考えられるため、慎重に取り扱わなければなりません。

※ワンタイムパスワードは、個人が所持するスマートフォンに発行されるため、所持情報に分類されます。 

【所持情報の具体例】 

• ●スマートフォンのSMS認証 
• ●スマートフォンのアプリ認証 
• ●ICチップ搭載カード 
• ●USBトークン 
• ●ワンタイムパスワード 
• ●ボイスコール　など 
   

◇生体情報

生体情報とは、指紋や顔など本人の体そのもののに含む情報のことです。生体情報は、ほかの認証情報に比べて紛失や流出、複製のリスクが極めて低いため、セキュリティが高い情報とされています。
生体情報を読み取るには専用の端末やシステムが必要になりますが、近年では大手のベンダーにおいて99.8％を超える認証精度へと改善が進んでおり、生体情報を用いる手段の信頼性は高いと言えるでしょう。

参考情報：NIST

【生体情報の具体例】 

• ●指紋認証 
• ●顔認証 
• ●静脈認証 
• ●網膜認証 
• ●虹彩認証 
• ●DNA認証など 

 

■多要素認証の「二要素認証」や「二段階認証」と異なる点

多要素認証・二要素認証・二段階認証は、複数の認証段階を必要とする点では同じですが、似て非なる言葉であるため注意が必要です。

用語	意味	必要な認証要素数	認証強度
二段階認証	認証時に2段階（2ステップ）の認証が必要となる認証	制限なし（1要素でもOK）	AAL1
二要素認証	認証時に認証要素が2種類必要となる認証	2要素	AAL2、もしくはAAL3
多要素認証	認証時に認証要素が2種類以上必要となる認証	2要素、もしくは3要素	AAL2、もしくはAAL3

 

◇「二要素認証」との違いは認証する「数」の多さ

二要素認証との違いは、承認する数の多さです。二要素認証とは、3種類の認証要素のうち、2種類の要素を組み合わせる認証方法です。
一方、多要素認証は、2種類の要素だけとは限りません。3種類以上の要素を組み合わせて認証するケースもあるため、二要素認証と区別されています。​​​​​​

 

◇「二段階認証」との違いは認証する「段階」の多さ

二段階認証は“認証が2段階（2ステップ）で行なわれる認証”を示す言葉で、“認証要素がいくつ含まれているか”を示す言葉ではありません。多要素認証が認証の「要素の数」を増やすものであるのに対し、二段階認証は認証の「回数」によってセキュリティを高めます。 

例えば、パスワードによる1回目の認証のあとに、「秘密の質問」の答えで2回目の認証を行なうケースについて考えてみましょう。この場合は認証の回数が2回であるため二段階認証ですが、用いる要素はどちらも知識情報のため多要素認証ではありません。 

二段階認証と二要素／多要素認証は用語として似ていますが、認証の段階と認証要素数が異なります。“二段階認証かつ二要素／多要素認証”という例も多く見られるため、混同されることが多い用語ですが、二段階認証だけでは認証強度が劣る点は覚えておきましょう。 

 

■多要素認証が必要とされている背景

従来のセキュリティに不足を感じ、「多要素認証でセキュリティをより強固にしたい」と考える企業が増えています。その背景としては、以下の点が挙げられるでしょう。 

• ●サイバー攻撃の増加 
• ●パスワード認証の限界 
• ●テレワークの導入などによるビジネス環境の変化 
• ●各種ガイドラインへの対応の必要性

それぞれ詳しく説明します。 

 

◇サイバー攻撃の増加

サイバー攻撃の脅威は、日増しに大きくなっています。被害を防ぐために多くの企業が対策を続けてはいるものの、次々に新たな攻撃手法が生み出される様子は、まさに「いたちごっこ」とも呼べます。 
 
サイバー攻撃を受けると、個人のパスワード流出をきっかけに、組織全体へと被害が広がってしまうケースも少なくありません。そのため、複数の要素で個人を認証する多要素認証を導入し、仮にパスワードが流出しても被害の拡大を防げるような対策が求められています。 
  

◇パスワード認証の限界 

パスワードは、従来から広く用いられている認証の手段です。生年月日のような推測されやすいもの、ゾロ目など単純なものを避けて設定することが基本ではあります。しかし、誰にも見破られないようにパスワードを複雑にしすぎると、自分でも覚えにくくなってしまいます。かといって、流出のリスクを考えるとパスワードをメモしておくのも不安でしょう。 
 
こうしたジレンマを避けながら認証を強固にするには、パスワードだけに頼らない多要素認証が有効な手段だといえます。 

  

◇テレワークの導入などによるビジネス環境の変化 

新型コロナウイルス感染症の拡大を契機に、テレワークを採用する企業が増えました。テレワークでは、自宅やカフェなどオフィス以外の場所から、社内の情報にアクセスする必要があります。 
 
従来、企業のセキュリティは「境界型」が一般的でした。ネットワークの出入り口に境界を設定し、アクセス制限によりオフィスの内側を守るという考え方です。しかし、テレワークを導入したことで、従業員はオフィス外から社内にアクセスするようになり、従来の方法では業務を円滑に進めながら情報を守ることが難しくなったのです。 
 
さらに、クラウドサービスの活用が進めば、オフィスの境界そのものも曖昧になっていくでしょう。こうした環境の変化に追従するには、個々のユーザーをより確実に認証できる多要素認証が有効です。 

  

◇各種ガイドラインへの対応の必要性 

日本では内閣や各省庁、業界団体などがセキュリティガイドラインを発行し、さまざまな場面において多要素認証を推奨・要求しています。テレワークのセキュリティを確保したい企業のほか、クラウドサービスの利用者や提供者を対象とするガイドラインも存在します。 
 
今後はどの企業も多要素認証を適切に活用し、これらのガイドラインに対応していく必要があるでしょう。 

 

■多要素認証導入のメリット

ここまで多要素認証について説明してきましたが、「二段階認証」や「二要素認証」とどのように異なるのかが気になっている方もいるかもしれません。そこで、これら2つの認証方式と多要素認証の違いについて説明します。

 

◇二段階認証

二段階認証とは、ログインなどの際に2回の認証を行なうことです。多要素認証が認証の「要素の数」を増やすものであるのに対し、二段階認証は認証の「回数」によってセキュリティを高めます。

例えば、パスワードによる1回目の認証のあとに、「秘密の質問」の答えで2回目の認証を行なうケースについて考えてみましょう。この場合は認証の回数が2回であるため二段階認証ですが、用いる要素はどちらも知識情報のため多要素認証ではありません。

関連記事：
二段階認証とは？二要素認証との違いやメリット、セキュリティ強化のポイントを解説

 

◇二要素認証

二要素認証は多要素認証の一種であり、2種類の要素を用いた認証のことです。「要素が2つに限られる多要素認証のこと」を、二要素認証と呼ぶのだと考えればわかりやすいでしょう。

また、二要素認証は「二段階認証のセキュリティを強化したもの」だと考えることもできます。1回目と2回目の認証に異なる種類の要素を用いた二段階認証が、二要素認証であるためです。パスワードと指紋など2種類の要素を組み合わせるため、より強固な認証方法だといえます。

 

■企業が多要素認証を導入するメリット

企業や組織において、業務環境に多要素認証を導入は、日々の直接的な業務レベルから長期的かつ間接的なメリットがあります。

◇セキュリティの向上・強化

総務省のデータによると、近年、サイバー攻撃は年々増加しており、企業にはセキュリティ対策の強化が求められています。実際に、大手企業がサイバー攻撃の被害に遭ったことで、企業活動が一時的に麻痺し、経済的な損失・社会的な信頼損失につながった例もあります。このような被害を回避し、サイバー攻撃からパーソナルデータや機密情報を、ひいては企業全体を守るためにも、多要素認証の導入は喫緊の課題といえるでしょう。 

出典：総務省「第2部　情報通信分野の現状と課題」 

 

さらに、多要素認証を導入すれば、コンプライアンスの面でもメリットを期待できるでしょう。セキュリティのために多要素認証の導入を求めている各種ガイドラインに対応することで、企業としての信頼が高まる可能性があります。

 

◇ユーザーの利便性向上・業務の効率化

クラウドサービスを始めとしたWebサービスが多く利用されるようになり、企業やスタッフ個人で管理するIDやパスワードが増えました。その結果、パスワードの使いまわしが発生したり、パスワードを忘れた際に情報管理部門への問い合わせが頻発したりするなどのデメリットが目立つようにもなりました。 

その点、顔認証や指紋認証などを要求する多要素認証であれば、パスワードを複雑化したり、定期的に更新したりする必要もなくなるため、ユーザーの利便性を高めることが可能です。

◇経営リスクの制御

取引先情報や顧客情報など、企業が保持する情報資産は厳重に管理する必要があります。これらが組織内から流出・漏洩した場合の企業ダメージは、イメージ低下だけではとどまりません。

• ●調査・復旧対応の人件費や外注費
• ●業務停止による機会損失
• ●顧客への謝罪や補償費用
• ●ブランド毀損・株価下落・信頼失墜

これらの経営リスクを認識することで、セキュリティ強化として多要素認証を導入する重要性を組織的に理解できるでしょう。

 

■多要素認証を導入する際のデメリットや注意点

続いて、多要素認証を導入する際の注意点を紹介します。 
 

◇導入・運用コスト 

多要素認証の導入には、導入コストやランニングコストがかかります。企業の規模や業態に合わせてどのようなシステムが必要かを検討したうえで、コストがどれほど必要なのかを確認しましょう。 
  

【多要素認証の導入にかかるコスト】 

• ●認証機器の導入コスト（ICカードやカードリーダーなど） 
• ●システムの運用コスト

近年では、業務用のスマートフォンが個人に支給されることも一般的なことから、スマートフォンの所持情報を多要素認証に用いることができ、認証機器の新規導入コストなく、低コストで始められる場合もあります。ぜひ、既存の業務環境を見直してみましょう。
 

◇ユーザーへの説明・理解が必要 

多要素認証は、セキュリティ向上に貢献する一方で、物理的なICカードやトークンを利用する場合は、利便性が低くなりがちです。ユーザーが認証システム自体にストレスを感じると、システムが適切に利用されない可能性もあります。
そのため、多要素認証の導入時はユーザーへの丁寧な説明が必要不可欠です。ユーザーがどのような状況で多要素認証を活用するべきなのかなどを説明し、セキュリティリスクを抑えるために重要であることを認識してもらえるよう社内教育が必要です。 

無料で使える「トラスト・ログイン（旧 SKUID）」の資料請求はこちら

 

■多要素認証を導入するなら「GMOトラスト・ログイン」がおすすめ

「GMOトラスト・ログイン」は、SSL認証局として20年以上の実績を持つ「GMOグローバルサイン」が提供する、IDaaSです。社内システムだけでなく、「Google Workspace（G Suite）」や「Microsoft 365（Office 365）」、「Cybozu」などにも一度のログインで簡単にログインできるシングルサインオン機能を持ち、様々な多要素認証機能との組み合わせが可能です。トラスト・ログインと各システムのログインを連携することで、システムそれぞれに多要素認証設定を施す必要がなく、導入時の作業も削減できます。 
 
「ワンタイムパスワード」や「クライアント認証」などの所持情報や、「FIDOパスワードレス認証」時のデバイスの生体情報を活用することができ、従業員の業務にあった多要素認証の手段を選択可能です。

 
なお、トラスト・ログインのサービス提供において、情報セキュリティ管理の規範となる「ISO/IEC 27001」や「ISO/IEC 27017」を取得しており、セキュリティも万全なサービスとして安心してご利用いただけます。 

 

◇多要素認証の導入事例 

組織で多要素認証を実現するため「GMOトラスト・ログイン」を導入した実際の事例を簡単に3社ご紹介します。 
 

＜株式会社ソラシドエア様＞ 
 クラウド移行・ツール導入に伴うセキュリティ対策として「クライアント認証」を採用、
 私物端末からのアクセスによる情報漏洩リスクを低減し、安全に運用できる仕組みを構築

＜株式会社中電工様＞ 
作業者が日々変わる屋外の現場で利用する「共有パソコン」でもセキュアかつスムーズに運用できた多要素認証方法とは 

＜株式会社プレステージ・インターナショナル様＞ 
急務で取引業界から求められるセキュリティ要件を満たすべく、多要素認証の導入へ。
従業員の職種によって「ワンタイムパスワード」と「クライアント認証」を使い分け。 

 

 

■まとめ

多要素認証（MFA）とは、知識情報・所持情報・生体情報の3要素から複数の情報を組み合わせて認証する方法です。多要素認証を導入することで、ID・パスワードのみの認証方法よりも、強固なセキュリティ体制を構築できます。 

近年はパーソナルデータの活用が促進されている影響もあり、多要素認証を導入する重要性がますます注目されています。ユーザーのパーソナルデータや企業の機密情報を守るためにも、多要素認証の導入をぜひ検討してはいかがでしょうか。 

お問合せはこちら。