多要素認証(MFA)とは?知っておくべき5つのポイント
ここ1, 2年ほどで、急速に存在感を増してきた「多要素認証(MFA)」。実際、「多要素認証(MFA)」という語で検索される回数は、2年前と比べて2倍になっており、徐々に注目度が高まっている語であることが分かります。
しかし、残念ながら「多要素認証(MFA)」という言葉は、まだまだ正しい理解のもとに使われているとは言い難く、また別な語と混同して利用している方が多くいるのが実情です。以下では、多要素認証(MFA)について知っておくべき5つのポイントを、できるだけ分かりやすく紹介します。
1.認証の3要素とは何か
まず。「多要素『認証』」の認証という語について理解します。認証とは、システムやサービスが「この人はシステムを利用する権限がある」と判別することです。最も多い認証方法は「IDとパスワードを入力する認証」となります。
さて、この認証には3つの要素があります。
- Something they know (知識要素)
知識要素とは、「ある人が知っている、記憶している情報が認証要素」となるものです。最も有名なものとしてはパスワードです。 - Something they have (所有要素)
所有要素は、「ある人が持っているものにある情報が認証要素」となるものです。文字列が表示されるワンタイムパスワードトークン (OTPトークン) や、SMSなどが有名です。 - Something they are (生体要素)
生体要素は、「ある人がそのままの状態で『ある』、つまりある人の人体が認証要素」となるものです。指紋、静脈、虹彩などが有名です。
認証とは、これらの認証要素を、1つ、2つ、または3つ用いて行われます。例えば、「IDとパスワード」であれば、「知識認証が1つ」といった具合です。
2.Authenticatorとは何か
「パスワード」「トークン」「指紋」というような、具体的に認証を行う方法をカテゴリ分けしたものを、Authenticator (オーセンティケータ、認証子) と呼びます。
このAuthenticatorは、9つのタイプに分かれています。具体的には以下の通りです。
(上記表は、トラスト・ログインブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)
各タイプの右側には、具体的な認証方法、そして認証要素が記されています。例えば、「パスワードと乱数表で認証を行った場合、知識情報と所有情報の組み合わせで、2要素認証」といった具合です。
当社のクラウド型シングルサインオン製品「トラスト・ログイン」は、ワンタイムパスワード (OTP) 対応。
多要素認証(MFA)を手軽に導入できます。
3.認証の強度とは何か
認証には「セキュリティ的に弱い認証」と「セキュリティ的に強固な認証」があり、何が弱くて、何が強いかについて明確に定義づけられています。この強度は、Authenticator Assurance Level (通称AAL)と呼ばれ、AAL1, AAL2, AAL3と3段階あります。数字が大きい方がセキュリティが高いことを意味します。
(上記表は、トラスト・ログインブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)
例えば、「パスワードのみ」の認証の場合、認証要素が「知識要素のみ=1要素」となるため、強度はAAL1となります。
「パスワード」と「ワンタイムパスワード」の場合は、認証要素が「知識要素と所持要素=2要素」で、所持情報はソフトウェアベースとなるため、強度はAAL2となる、といった具合です。
認証要素が2つ、もしくはそれ以上で、ハードウェアデバイスを利用した認証が含まれると「AAL3」となり、認証強度が最も高くなります。
4.「二段階認証」「二要素認証」「多要素認証(MFA)」は何が違うか
次に、まぎらわしい3つの語についてご説明します。「二段階認証」「二要素認証」「多要素認証(MFA)」という言葉は、似て非なる言葉ですので注意が必要です。
二段階認証 (Two Step Authentication) とは
二段階認証は、「認証が2段階(2ステップ)で行われる認証」を示す語で、「認証要素がいくつ含まれているか」を示す語ではありません。例えば、1段階目に「ID・パスワード」を入力した後、そのID・パスワードが正しかった場合に、2段階目として「第2パスワード」を入力するようなものです。
この場合は、「ID・パスワード」「第2パスワード」ともに、認証要素の「知識要素」となりますので、「2段階認証」を満たしますが、認証要素は1つしか含まれていないため、認証強度としては「AAL1」となり、相対的に弱いのです。
もちろん、「二段階認証でかつ、二要素認証」である場合もあります。しかし、認証の段階の多さと、認証の強度は関係がありません。このため、欧米圏では「二段階認証」という表現はほとんど用いられず、「二要素認証」「多要素認証(MFA)」という語が用いられています。
二要素認証 (Two Factor Authentication) とは
二要素認証とは、「認証要素を2つ含む認証」を示します(英語の頭文字をとって「2FA」と略されることもあります)。例えば、認証に「IDパスワード(知識要素)」と「ワンタイムパスワード(所持要素)」の2つを用いると、2要素が用いられた認証なので「二要素認証」となります。なお、「二段階認証」とは異なり、認証のステップ数は問題ではありません。1ステップでの認証でも、2ステップでの認証でも、2つの認証要素さえ満たせば「二要素認証」となります。
上記の認証強度の表にある通り、2つの要素を持つ場合、認証強度は「AAL2」または「AAL3」となります。
多要素認証 (Multi Factor Authentication) とは
多要素認証(MFA)は、「認証要素が2つ以上(複数)含む認証」であることを示す語です(Multi-Factor Authenticationの頭文字をとって、MFAと略されることもあります)。認証要素は「知識要素」「所持要素」「生体要素」の3つがありますが、このうちの2つ、または3つを含んでいれば「多要素認証(MFA)」となります。
「多要素認証(MFA)」と「二要素認証」との違いは、二要素認証が「認証要素が2つ」であることに対し、多要素認証(MFA)は「認証要素が2つ以上 (3つでもOK)」であることを示していることのみです。
このため、多要素認証(MFA)という語は、「二要素認証」とほとんど同じ意味の語として用いられます。認証の強度を示す「AAL」においても、最も強度の高い「AAL3」であっても3要素の認証は求められていません。つまり、最高レベルの認証強度を満たす場合であっても、認証要素は2つで十分であることから、認証要素が3つ使われることが少ないためです。
5.なぜ「秘密の質問」の利用は認証強度を高めないか
一昔前は、「認証強度を高めるために秘密の質問を使うべき」という流れがありました。パスワード認証に加えて、「母親の旧姓」「初めて購入した車のブランド」「好きな果物」といった、一般的には本人しか知りえない質問に回答することで、認証の強化を行うという考えです。
しかし、秘密の質問は多要素認証(MFA)ではなく、複数の知識要素を用いた単要素認証です。つまり、「ID・パスワード」と同じ認証要素(知識要素)である「秘密の質問」を用いたところで、認証強度を高めるとは見なされなくなりました。よって、現在では秘密の質問の利用は推奨されていません。
・参考記事
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
現在でも多くのホームページにおいて、秘密の質問が利用されています。しかし、各サイトのシステム更新タイミングで、秘密の質問は次第に利用されなくなっていくものと考えられます。
多要素認証(MFA)について正しく理解したうえで導入・活用する
多要素認証(MFA)という言葉自体、まだまだ新しい言葉です。また、世界の電子認証に関する基準は、アメリカ国立標準技術研究所(NIST)が作成するガイドラインを用いられることが多いですが、このガイドラインも数年に一度変更となります。過去の情報が正しいと思い込むのではなく、都度、最新の情報に当たり、その時々で適切な認証を導入ください。
なお、クラウド型シングルサインオン製品である当社の「トラスト・ログイン」では、多数のサービスのIDパスワードをまとめて管理することができるだけでなく、パスワード認証とワンタイムパスワード(OTP)やクライアント証明書を併用して「多要素認証(MFA)」として利用できます。
例えば、「トラスト・ログインのID・パスワード(知識要素)」と「ワンタイムパスワード(所持要素)」を併用すると、「AAL2」を満たす「多要素認証(MFA)」となり、認証強度が高まります。クラウドサービスを利用している企業で、シングルサインオンならび多要素認証(MFA)の導入を検討している企業は、ぜひトラスト・ログインの資料をご確認ください。
当社のクラウド型シングルサインオン製品「トラスト・ログイン」は、ワンタイムパスワード (OTP) 対応。
多要素認証(MFA)を手軽に導入できます。
