- AI / DX
多要素認証とは
現代社会において、個人情報の漏洩や不正アクセスなどにおける対策の重要性が高まっています。パスワードだけで認証するのは十分でなく、多要素認証が注目されています。多要素認証とは、複数の異なる認証方法を組み合わせることにより、セキュリティレベルを向上させることです。
多要素認証には、パスワードや秘密の質問のほかにワンタイムパスワードやSMS認証、生体認証などさまざまな種類があります。個人情報や企業のシステムを外部攻撃から守るためにも、多要素認証は今後需要が高まることが見込まれています。
多要素認証とは
多要素認証(MFA、Multi-Factor Authentication)とは、一般的なIDとパスワード以外に認証要素を追加することでセキュリティ効果を高める手法です。多要素認証には、パスワードや秘密の質問といった知識情報、スマートフォンやトークンといった所持情報、試問や声紋といった生体情報が含まれています。
多要素認証が必要な背景
対応が必要な背景としてインターネットバンキングを始めとして従来以上に高いセキュリティ性を求められるケースが増えています。2021年に観測したサイバー攻撃関連通信数は、2016年と比較して約3.7倍、2018年と比較して約2.4倍と大幅に増加している状況です。
画像出典:我が国におけるサイバーセキュリティの現状(総務省)
サイバー攻撃から企業や個人情報を守るためにより強固なセキュリティが必要となっています。しかし、従来活用されていたパスワードでのセキュリティ対策では、パスワード推測やログイン情報の不正取得などの方法によりアカウントを乗っ取られる件数が増えている状況です。このためパスワードでのセキュリティには限界が来ており、より強固なセキュリティシステムを構築するために多様性認証が活用されるケースが増えています。
多要素認証活用によるセキュリティ強固
普段の生活でも多要素認証はさまざまな場面において活用されています。例えば、銀行のATMからお金をおろす場合、キャッシュカードと暗証番号が必要です。キャッシュカードは所持情報となり暗証番号は知識情報となることから多要素認証の1つであるといえます。このように普段の生活には当たり前のように普及している多要素認証ですが、Web上においてはパスワードのみで管理していることが少なくありませんでした。
しかし、AWS(Amazon Web Services)やOffice365、Slackなどさまざまなツールにおいて多要素認証を設定できるようになり、Web上においても多要素認証が多く利用される傾向にあるのです。
二段階認証との違い
二段階認証と多要素認証の違いは、二段階認証は回数を増やすことに対して多様性認証は複数の要素を活用してセキュリティを高めていることです。多要素認証は複数の異なる要素を活用することによってセキュリティを強化することが目的です。対して二段階認証は認証の要素には関係なく、IDとパスワード、秘密の質問に答えるなど2回認証します。
二段階認証のデメリットとして、IDとパスワード、秘密の質問に対する答えなど設定している認証情報が流出してしまうと不正ログインをしやすくなる環境にあります。そのため二段階認証は決して強固なセキュリティであるとはいえません。
多要素認証のメリット
多要素認証には次のようなメリットが挙げられます。
- シンプルな認証方法
- 高いセキュリティ効果
- パスワードが不要
- コンプライアンスに対応
シンプルな認証方法
多要素認証は非常にシンプルな方法で、複数の認証方法を使うことによってセキュリティの強化が可能です。たとえば、顔認証やセキュリティキーなどの機能を含んでいるスマートフォンを使っている場合は、自動的に認証プロセスがおこなわれていることが一般的です。ユーザーにとって、毎回パスワードを入力する必要がなく、利便性が高くなり顧客満足度の向上につながる場合もあります。
高いセキュリティ効果
IDやパスワードだけでログインするよりも、多要素認証を加えることで情報漏洩や不正アクセスを防止できる確率が高まります。ユーザーの個人情報や機密情報を保護しやすくなるのです。
パスワードが不要
ユーザーにとって個人情報を守ることによって満足度が高まります。しかし、パスワードを使ってのセキュリティの場合はユーザーがパスワードを忘れてしまうとログインできなくなります。そのため、ユーザーにとってパスワードを使ってのセキュリティ対策は利便性が高いとはいえない可能性があるのです。
多要素認証は所持情報や生体情報などを活用するため、パスワードを記憶したり入力したりする手間を減らすことが可能です。例えば、顔認証や指紋認証などの生体情報を使う場合や、スマートフォンにワンタイムパスワードを送る場合などパスワードの入力は不要です。
複数のパスワードを管理する必要がないことから手間を減らすことで業務の効率化につながり、情報流出の可能性を減らせます。
コンプライアンスに対応
さまざまな分野において法律で多様性認証が義務付けられているケースが増えています。例えば総務省ではマイナンバーをはじめとした機密性の高い情報を扱う端末に対して多要素認証を導入することを義務付けています。さらに金融庁では銀行をはじめとした金融機関に対して本人確認をする場合に多要素認証を求めているのです。
このように多様性認証に対応することによってコンプライアンスの実現につながり、企業としての信頼性を高めることが可能です。
多要素認証の種類
多要素認証には次のような種類が挙げられます。
- ワンタイムパスワード認証
- SMS認証
- 生体認証
ワンタイムパスワード認証
前もってログインをする時に一度だけ利用できるパスワードを発行しておいて、一定期間内に入力して認証をおこなう手法です。メールやSMSなどで送信するため簡単に利用できることが一般的です。
ワンタイムパスワードでは、次の認証があります。
- タイムスタンプ認証
- カウンタ同期認証
- チャレンジレスポンス認証
- マトリクス認証
タイムスタンプ認証
タイプスタンプ認証は、トークンとよばれるその場限りのトークンを利用することが特徴です。6桁の数字が一定期間表示され、時間が過ぎると違う数字に変更されます。認証サーバは、トークンの数字以外にユーザーIDや時刻などを総合することで本人かどうかの確認をします。
カウンタ同期認証
カウンタ同期認証とは、ユーザーがトークンに表示されるボタンを押すことでパスワードを生成する手法です。認証をおこなうたびに違った数字が生成されるため認証ができます。タイムスタンプ認証と似ていますが、タイムスタンプ認証は時間で設定されているのに対して、カウンタ同期認証は発行回数を基準としています。
チャレンジレスポンス認証
チャレンジレスポンス認証とは、認証サーバから遅れた文字列に対して的確なレスポンスを返すことで認証する手法です。ユーザーが承認要求を送り、受け取った認証サーバーが返信します。ユーザーが返信したレスポンスと事前に作っておいたワンタイムパスワードを照らし合わせることによって認証が完了となります。
マトリクス認証
マトリクス認証とは、ランダムに書かれた数字を使って認証する方法です。ネットバンキングにおいて使われるケースが増えています。銀行が前もってマトリックス表をユーザーに送ります。書かれた数はユーザーによって異なるため、入力した数字で本人であると認証できる仕組みです。
SMS認証
ユーザーが登録した携帯番号に、認証コードを送ることで認証をおこなう手法です。SMSを受信するためには自身の携帯番号を使う必要があるため、第三者による不正アクセスのリスクを減らせます。携帯電話を使うことから、インストールが不要であり誰でも簡単にできることから顧客満足度の高い手法です。
大半の人がスマートフォンを持っていることから普及率が高く、通信キャリアが怪しい発信元をフィルタリングできることから不正防止をしやすい、開封率が高いなどさまざまなメリットがあります。
生体認証
顔認証や指紋認証など個人固有の生体認証を活用して認証する手法です。ワンタイムのパスワードやSMS認証と比べて、よりセキュリティを強化できます。認証に必要な機器を準備する必要があるため初期費用がかかる場合がありますが、高いセキュリティを提供する必要がある場合に利用されていることが一般的です。
生体認証は一人ひとりの身体的特徴を基準としているため、なりすましや不正が困難であるほか、ユーザーは何も必要がないためパスワードをはじめとして紛失するリスクがありません。
まとめ
MicrosoftはMicrosoft Ignite2018とよばれるイベントにおいて、パスワード不要でサインイン出来るアプリMicrosoft Authenticatorが、Azure Active Directoryのサポートを開始したと発表しました。つまり、パスワードでの管理の終わりを告げたことになるのです。パスワードの代わりに多要素認証が活用されるようになりました。
多要素認証とは、IDやパスワードでのログイン認証要素を加えることによりセキュリティ効果を高められます。認証要素には複数の種類があり、組み合わせることによってより情報漏洩や不正アクセスを防止することが可能です。セキュリティが年々重要になっている現在において、多要素認証は必要不可欠なセキュリティ要素となっています。