Written by 田村 彩乃
目 次
多要素認証とは、ユーザーの身元確認のため、「知識情報」「所持情報」「生体情報」の中から2つ以上の認証要素を組み合わせて認証を行うセキュリティ手法のことです。
例えば、Webサービスにログインするためにパスワード(知識情報)を入力後、スマートフォンの電話番号あてに送られてきたコード(所持情報)の入力を求められることがありますが、これが多要素認証です。
他にも、銀行のATMで通帳もしくはキャッシュカード(所持情報)を機械に読み込ませ、暗証番号(知識情報)を入力するのも多要素認証と言えます。
多要素認証の目的は第三者による不正アクセスのリスクの低減です。
多要素認証を導入していれば、攻撃者はパスワードだけでなく、別の認証要素もあわせて窃取しなければ、認証を突破することは難しくなります。
また、多要素認証と似ている認証方法に「2要素認証」と「2段階認証」があります。
それぞれの違いは以下の通りです。
| 2要素認証 | 知識情報、所持情報、生体情報の中から2種類を選んで認証を行う方法 |
|---|---|
| 2段階認証 | IDとパスワードによる認証の後、追加で認証を行う方法 「知識情報+知識情報」の形式でも可 |
| 多要素認証 | 知識情報、所持情報、生体情報の中から2種類以上を選んで認証を行う方法 3種類全てを用いるケースもある |
複数の認証要素を掛け合わせる多要素認証を導入することで、「セキュリティ強度を高められる」だけでなく、「パスワード管理の負担を軽減できる」というメリットがあります。
近年はサイバー攻撃が高度化し、長く複雑なパスワードの設定だけでは不正アクセスを防ぐことが困難となってきたことから、多要素認証の導入は必要不可欠といえるでしょう。
本記事では、多要素認証の概要や2段階認証との違い・認証の種類や活用が推奨されるサービスなどについて、それぞれ「例」を用いながら、わかりやすく解説いたします。
▼この記事を要約すると
- 多要素認証では、①知識情報(パスワードなど)、②所持情報(スマートフォンなど)、③生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法
- 「2要素認証」「2段階認証」と類似しているが、前者は3つの認証要素のうち異なる2種類で認証を行う方法、後者はID / パスワードの認証の後、追加でいずれか1つの認証を行う方法を指す
- 多要素認証が重要視される背景に、サイバー攻撃の巧妙化・高度化がある。2022年度には世界で前年比+38%、日本でも+29%のサイバー攻撃を観測。組織の情報漏洩対策として多要素認証導入の必要性が喚起されている。
- 多要素認証が推奨されるサービス例として、クラウドサービス、SNS、VPN、オンラインショッピング、オンラインバンキング等が挙げられる。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
多要素認証(MFA)とは?
多要素認証(Multi Factor Authentication/MFA)とは、システムやサービスのログイン時に、下記の3つの認証要素の中から2つ以上の認証要素を活用して、認証を行うセキュリティ方法を指します。
- 知識情報…パスワードやPIN、秘密の答えなど「本人が知っている情報」
- 所持情報…スマートフォンやセキュリティトークンなど、ユーザーだけが物理的に所持している物の情報。
- 生体情報…指紋認証や顔認証・音声認証など、ユーザーの身体的特徴に基づく情報。
簡易な認証形式では、「ID」「パスワード」の情報入力のみで完了する、「一要素認証」が使用されます。一方、多要素認証であれば2つ以上の認証要素を組み合わせるため、セキュリティ性能を高め、アカウントの乗っ取りや不正アクセスのリスクを最小限に抑えること可能となります。
▼多要素認証の例
- SMSによる認証:「パスワードログイン後」に、スマートフォンへ一時的なコードが送信され、その「コード入力」をすることで身元を確認する(知識情報 + 所持情報)。
- 指紋認証付きのノートPC:「パスワードログイン後」に「指紋認証」を行い、身元を確認する(知識情報 + 生体情報)。
従来はIDやパスワードを活用した「知識情報のみ」の認証が一般的でした。しかし、近年ではサイバー攻撃の発生件数・レベルともに上がっており、より高度なセキュリティを構築して、認証の安全性を高める必要性が生じています。企業や組織は積極的に多要素認証を導入し、安全性の高い認証方法を確立することが重要課題です。
3つの情報に関するより具体的な内容については、後ほど詳しく解説します。
多要素認証と「2要素認証」「2段階認証」の違い
多要素認証と似ている認証方法に「2要素認証」と「2段階認証」があります。
2要素認証は多要素認証の一部であり、前述の3つの認証要素の中から2種類を選んで認証を行う方法です。
多要素認証の場合は3種類全てを用いるケースもありますが、2要素認証の場合は、任意の2種類が選択されます。
一方の2段階認証とは、IDとパスワードを活用した知識情報による認証の後、追加で認証を行う方法です。
2要素認証は必ず2種類以上の要素で認証を行わなければなりませんが、2段階認証の場合、IDとパスワードで認証した後、秘密の質問で認証を行うなど「知識情報+知識情報」の形式でも構いません。
どれも従来の認証方法に比べセキュリティの強化を図れますが、基本的には複数の認証要素を掛け合わせた、多要素認証・二要素認証のほうが、よりセキュリティレベルを高める上で効果的と言えます。
多要素認証(MFA)で用いる3つの情報と具体例
ここからは、多要素認証で用いる「3種類の情報」を具体例とともに紹介します。
1.知識情報
知識情報とは、パスワードなどの「特定のユーザーのみが知っている情報」を使った認証要素です。 3つの中で特によく用いられる認証要素で、多くのシステムやサービスが知識情報による認証を採用しています。
知識情報を用いた認証の例として、パスワード以外に「秘密の質問」や「パターン認証」などがあります。
| 秘密の質問 | サービスの登録時などにユーザー本人が登録した、本人しか回答を知り得ない質問。「母親の旧姓は?」「初めて買ったCDは?」などの質問に対し、事前に回答を登録しておくことで、その回答が認証の鍵となる。 |
|---|---|
| パターン認証 | 主にAndroid製のスマートフォンなどで採用されている認証方法。利用者本人があらかじめ任意のロック解除パターンを登録しておき、ロックを解除する際は、そのパターン通りに画面を指でなぞる作業が必要となる。 |
基本的に、知識情報は「本人以外は知り得ない情報である」ということを前提として運用されます。実装も容易なので、多くのシステムやサービスで活用されています。
ただし、パスワードの構造が単純すぎる、あるいは誰かに搾取されやすい環境下で管理すると、簡単に認証が悪用される危険性があるため、運用には十分な注意が必要です。
2.所持情報
所持情報とは、「利用者本人が持っているモノ」を認証に利用する方法です。例としてはスマートフォンを用いた認証方法やセキュリティキー・ICカードなどが所持情報に分類されます。
例えば、スマートフォンを活用した認証方法では、Google AuthenticatorやMicrosoft Authenticator、SMSを利用した「ワンタイムパスワード」が挙げられます。画面に表示されているコードや送られてきたコードを入力することで認証する方法です。
また、金融機関でよく利用されている「ハードウェアトークン」と呼ばれるワンタイムパスワードの認証方法も、所持情報に該当します。ハードウェアトークンは、金融機関が提供するアプリ上でワンタイムパスワードを表示させ、そのパスワードを入力して認証する方法です。
注意点として、スマートフォンやカード本体が盗まれてしまうことで、認証を突破されるリスクがあります。管理体制を整えることはもちろん、リモートロック機能を付けるなど、万一の紛失時も悪用されないための対策が必要です。
3.生体情報
生体情報とは、人間の身体を使って認証する方法です。指紋や静脈、顔、虹彩など、人間が持つさまざまなパーツを利用した認証方法が登場しています。
中でも特によく用いられているのは、導入コストが比較的安価な「指紋認証」です。Windows HelloやiPhoneシリーズなどにも導入されています。
生体情報は、一人ひとりの固有の情報を読み取って認証を行うため、偽造しにくい点がメリットです。事前に登録されている本人の身体情報と一致しない限りは認証を突破できないため、他の2要素と比べ特に安全性が高いといえます。
ただし、中には「指紋採取」などの手で物理的に生体情報が盗まれるリスクもあるため、複数の要素を掛け合わせた認証方法(多要素認証)を意識することが大切です。
なぜ多要素認証(MFA)が必要とされているのか
なぜ、これほど「多要素認証」の導入が喚起されているのでしょうか。
その背景には
・パスワードのみの認証ではセキュリティの確保が困難
・クラウドサービスの普及
があります。
パスワードのみの認証ではセキュリティの確保が困難
認証を強化するためには、長く複雑なパスワードの設定が欠かせません。
しかし、一個人が管理しなければいけないパスワードの数は年々増えており、長く複雑なパスワードをすべてのアカウントごとに設定・記憶するのは現実的ではありません。
また、サイバー攻撃の中には、想定される全てのパスワードを総当たりで試行し、認証の突破を試みる「ブルートフォース攻撃」というものがあります。
長く複雑なパスワードを設定しておけば、解読に時間はかかるものの、認証を突破されてしまうリスクを0にすることは困難です。
このような背景からも、ワンタイムパスワードや生体認証などを組み合わせた「多要素認証」の導入が安全性を高めるために不可欠です。
クラウドサービスの普及
新型コロナウイルスの感染拡大や働き方改革などから、リモートワークを採用する企業が増え、クラウドが急激に普及しました。
IDCが2025年2月に公開した「国内パブリッククラウドサービス市場調予測」によれば2024年の国内パブリッククラウドサービス市場は、前年比26.1%増の4兆1,423億円となっています。
出典:IDC|国内パブリッククラウドサービス市場予測を発表(2025年2月20日)
また前年比成長率こそ下がっているものの、クラウド市場は今後も右肩上がりで拡大する見込みです。
クラウドサービスは業務の効率化を支援する一方、社外とネットワークを共有するため、外部から不正にアクセスされるリスクが高まるという懸念があります。
そこで、不正アクセスのリスクを低減するためにも、多要素認証の導入が求められているのです。
多要素認証を不正に突破しようする「多要素認証疲労攻撃」に要注意
多要素認証疲労攻撃とは、ユーザーに繰り返し認証要求を送りつけ、誤って認証を承認させる攻撃手法です。
例えばGoogleアカウントで2要素認証を有効にしている場合、パスワードによるログイン後、登録されているデバイスあてに「ログインしようとしていますか?」というプッシュ通知が送信されます。
多要素認証疲労攻撃ではこのプッシュ通知が悪用されます。
攻撃者は不正に入手したID・パスワードで何度もログインを行い、プッシュ通知を登録デバイスあてに乱発します。
これにより、正規ユーザーが誤操作によって承認するのを狙うのです。
多要素認証疲労攻撃は以下のような流れで行われます。
1.攻撃者はフィッシング詐欺などによってID・パスワードを不正に入手
2.不正に入手したID・パスワードで攻撃者がログイン
3.システム側が正規ユーザーによるログインであることを確認するため、登録されているデバイスに認証要求をプッシュ
4.正規ユーザーは自身によるログインではないため、一度は認証要求を拒否する
5.攻撃者は成功するまで何度もログイン試行を行い、認証要求を送り付ける
6.操作ミスなどにより正規ユーザーが承認要求を承認してしまう
また攻撃者は、ただ認証要求を送り付けるだけでなく、システム管理者を装って「認証のテストを行うので承認してほしい」などとメッセージを送ることもあります。
多要素認証疲労攻撃は上記のように、プッシュ通知による認証方法を悪用する攻撃手法なので、認証方法を別のものに切り替えることで、防ぐことができます。
多要素認証(MFA)の適用が推奨されるサービスの例
多要素認証の適用が推奨されるサービスの例としては、次のようなものが考えられます。
1.クラウドサービス
2.ソーシャルメディア(SNS)
3.VPN
4.オンラインショッピング
5.オンラインバンキング
ここでは、上記の5つのサービスに多要素認証が活用されている例を簡単にご紹介します。
クラウドサービス
近年では、多くの事業者が日々の業務にクラウドサービスを活用しています。これらのサービスの認証方法は、知識情報によるものが一般的ですが、中には多要素認証を採用しているものも増えてきています。
例えばWordやExcelなどを提供するMicorosoft 365や、サーバーやストレージを提供するAWSなどでは、多要素認証を設定してセキュリティを強化するための仕組みを提供しています。
ソーシャルメディア(SNS)
TwitterやFacebookなど、一部のソーシャルメディアにおいても、ID・パスワードによる知識情報と、SMSを活用した所持情報を組み合わせた多要素認証を採用しています。
例えば「Twitter」のログイン時にIDとパスワードを入力し、さらにスマートフォンのSMSで送られる6桁の数字コードを送信することで、認証が完了するという具合です。
SNSに多要素認証を活用することで、不正ログインによるアカウントの乗っ取りや悪意ある発信等を防ぎ、より安全に運用できます。
VPN
VPN(仮想専用通信網)サービスでも、多要素認証を活用する例が増えてきています。
リモートワークの普及によって、多くの企業がVPNを構築するようになった背景から、VPNを狙ったサイバー攻撃数が増加しています。企業はVPN経由の不正アクセスや情報漏洩を防止するため、従来のID/パスワードの入力に加え、他の認証要素を加えたVPNアクセスが必要です。
オンラインショッピング
AmazonやeBayなどのオンラインショッピングでも、ID・パスワードによる知識情報と、SMSを利用した所持情報による多要素認証を利用できます。
オンラインショッピングのアカウントでは、仮に情報が流出し不正ログインされると、身に覚えのない商品の購入やカード・個人情報の搾取等が行われるリスクがあります。
オンラインバンキング
ATMでは「キャッシュカード+暗証番号」による認証が行われますが、オンラインバンキングでも同様に、多要素認証が活用されています。
ID・パスワードによる知識情報の認証に加えて、支払い時等にワンタイムパスワードの入力が求められる、スマートフォンを用いた認証(所持情報)を活用するのが、近年の一般的な方法です。
多要素認証(MFA)を利用中のサービスに導入する方法とは?
多要素認証(MFA)を、現在利用中のサービスに導入する場合は、各サービスの公式サイトから「多要素認証の設定方法」を確認し、手順に沿って作業を行うのが確実です。
各サービスのサイトより「多要素認証」の設定方法を確認
Microsoft 365(office 365)やAWS、 Microsoft Azure、Salesforceなどの公式Webサイトでは、多要素認証に必要な設定方法が記載されています。以下にクラウドサービスにおける「代表的な製品と多要素認証の設定方法」を一覧にまとめましたので、ぜひご活用ください。
| サービス名 | 解説URL |
|---|---|
| Microsoft 365 | |
| Salesforce | |
| AWS | |
| Microsoft Azure | |
この他にも、多くのクラウドサービスやSNSの公式サイトでは、多要素認証の設定方法について掲載されています。ご利用中のサービスがあれば、ぜひ参考にしていただけると幸いです。
多要素認証の設定をプロに依頼するのもおすすめ
ご利用中のクラウドサービスやアプリケーションサービスの「多要素認証の設定」に関して
- 自分たちで設定を行う自信がない
- そもそも現状のセキュリティ設定に関して、把握したい
という方は、セキュリティ設定に知見をもつプロのセキュリティエンジニアへ依頼するのも1つの手段です。
専門家に診断を依頼することで、多要素認証をはじめ「サービスを安全に利用するため」の設定不備やミスを明らかにし、プロの意見を踏まえ対策が行えるためです。
多要素認証の最適化なら LANSCOPE プロフェッショナルサービスにおまかせ
「クラウドサービスの多要素認証」を最適化するなら、「LANSCOPE プロフェッショナルサービス」が提供する「クラウドセキュリティ診断」のご利用がおすすめです。
CISベンチマークやJPCERT・IPAなどの発信する情報を常に収集し、診断ルールへ反映するため、いつでも最新のセキュリティやルールに則った診断が受けられます。
また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消にお力添えすることが可能です。
▼対応可能なクラウドサービスの診断一覧
- Microsoft 365 セキュリティ診断
- Google Workspace セキュリティ診断
- Salesforce セキュリティ診断
- Amazon Web Services(AWS)セキュリティ診断
- Microsoft Azure セキュリティ診断
- Google Cloud Platfor (GCP)セキュリティ診断
- Zoom セキュリティ診断
- Box セキュリティ診断
- Slack セキュリティ診断
「多要素認証」を含む、クラウドサービスのセキュリティ対策に興味のある方は、以下のページもぜひご覧ください。毎月10社限定、無料で受けられる「クラウドサービス設定相談」も実施しています。
まとめ
2つ以上の認証要素を組み合わせて活用する「多要素認証」は、不正アクセスや情報漏洩などのリスクを軽減し、自社の大切な情報資産を守る上で欠かせないセキュリティ手段です。
この記事の要点は以下の通りです。
- 多要素認証とは、システムやサービスのログイン時に、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から2つ以上の要素を活用して認証を行うセキュリティ手法
- 「2要素認証」「2段階認証」と類似しているが、前者は3つの認証要素のうち異なる2種類で認証を行う方法、後者はID / パスワードの認証の後、追加でいずれか1つの認証を行う方法を指す
- 多要素認証が推奨されるサービス例として、クラウドサービス、SNS、VPN、オンラインショッピング、オンラインバンキング等が挙げられる
- 多要素認証設定は、各サービスの公式サイトから確認することができるが、設定漏れや不備の無い様、プロに確認を依頼することもおすすめ
ぜひ本記事も参考にしながら「自社のクラウドサービスやVPN、SNS等の認証設定はどうなっているか」の現状把握と、まだの方は多要素認証の導入を進めてはいかがでしょうか。
また「多要素認証(MFA)」の設定を含め、クラウドサービスの知っておきたい設定ポイントについてまとめた、以下の資料もご活用ください。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
おすすめ記事
