Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目 次
多要素認証(MFA)とは?
多要素認証で用いる3つの情報と具体例
なぜ多要素認証が重要とされる?昨今のセキュリティ事情
多要素認証の適用が推奨されるサービスの例
多要素認証(MFA)を利用中のサービスに導入する方法とは?
多要素認証の最適化なら LANSCOPE プロフェッショナルサービスにおまかせ
まとめ
多要素認証とは、ユーザーの身元確認のため2つ以上の認証要素を組み合わせて認証を行うセキュリティ手法のことです。多要素認証を導入することで、不正アクセスを防止し、組織のセキュリティ体制強化を図ることが可能です。
▼多要素認証のイメージ
▼この記事を要約すると…
- 多要素認証では、①知識情報(パスワードなど)、②所持情報(スマートフォンなど)、③生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法
- 「2要素認証」「2段階認証」と類似しているが、前者は3つの認証要素のうち異なる2種類で認証を行う方法、後者はID / パスワードの認証の後、追加でいずれか1つの認証を行う方法を指す
- 多要素認証が重要視される背景に、サイバー攻撃の巧妙化・高度化がある。2022年度には世界で前年比+38%、日本でも+29%のサイバー攻撃を観測。組織の情報漏洩対策として多要素認証導入の必要性が喚起されている。
- 多要素認証が推奨されるサービス例として、クラウドサービス、SNS、VPN、オンラインショッピング、オンラインバンキング等が挙げられる。
本記事では、多要素認証の概要や2段階認証との違い・認証の種類や活用が推奨されるサービスなどについて、それぞれ「例」を用いながら、わかりやすく解説いたします。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
多要素認証(MFA)とは?
多要素認証(Multi Factor Authentication/MFA)とは、システムやサービスのログイン時に、下記の3つの認証要素の中から2つ以上の認証要素を活用して、認証を行うセキュリティ方法を指します。
- 知識情報…パスワードやPIN、秘密の答えなど「本人が知っている情報」
- 所持情報…スマートフォンやセキュリティトークンなど、ユーザーだけが物理的に所持している物の情報。
- 生体情報…指紋認証や顔認証・音声認証など、ユーザーの身体的特徴に基づく情報。
簡易な認証形式では、「ID」「パスワード」の情報入力のみで完了する、「一要素認証」が使用されます。一方、多要素認証であれば2つ以上の認証要素を組み合わせるため、セキュリティ性能を高め、アカウントの乗っ取りや不正アクセスのリスクを最小限に抑えること可能となります。
▼多要素認証の例
- MSによる認証:「パスワードログイン後」に、スマートフォンへ一時的なコードが送信され、その「コード入力」をすることで身元を確認する(知識情報 + 所持情報)。
- 指紋認証付きのノートPC:「パスワードログイン後」に「指紋認証」を行い、身元を確認する(知識情報 + 生体情報)。
従来はIDやパスワードを活用した「知識情報のみ」の認証が一般的でした。しかし、近年ではサイバー攻撃の発生件数・レベルともに上がっており、より高度なセキュリティを構築して、認証の安全性を高める必要性が生じています。企業や組織は積極的に多要素認証を導入し、安全性の高い認証方法を確立することが重要課題です。
3つの情報に関するより具体的な内容については、後ほど詳しく解説します。
多要素認証と「2要素認証」「2段階認証」の違い
多要素認証と似ている認証方法に「2要素認証」と「2段階認証」があります。
2要素認証は多要素認証の一部であり、前述の3つの認証要素の中から2種類を選んで認証を行う方法です。多要素認証の場合は3種類全てを用いるケースもありますが、2要素認証の場合は、任意の2種類が選択されます。
一方の2段階認証とは、IDとパスワードを活用した知識情報による認証の後、追加で認証を行う方法です。2要素認証は必ず2種類以上の要素で認証を行わなければなりませんが、2段階認証の場合、IDとパスワードを2回連続させるなどの「知識情報+知識情報」の形式でも構いません。
▼2段階認証の例
「① 一般的なID・パスワードの認証」+「② ワンタイムパスワードの認証」を行う
※ワンタイムパスワードとは…アクセスのために発行される、その場限りで利用できる「時間限定」のパスワードのこと。
どれも従来の認証方法に比べセキュリティの強化を図れますが、基本的には複数の認証要素を掛け合わせた、多要素認証・二要素認証のほうが、よりセキュリティレベルを高める上で効果的と言えます。
多要素認証で用いる3つの情報と具体例
ここからは、多要素認証で用いる「3種類の情報」を具体例とともに紹介します。
1.知識情報
知識情報とは、パスワードなどの「特定のユーザーのみが知っている情報」を使った認証要素です。 3つの中で特によく用いられる認証要素で、多くのシステムやサービスが知識情報による認証を採用しています。
知識情報を用いた認証の例として、パスワード以外に「秘密の質問」や「パターン認証」などがあります。
秘密の質問 | サービスの登録時などにユーザー本人が登録した、本人しか回答を知り得ない質問。「母親の旧姓は?」「初めて買ったCDは?」などの質問に対し、事前に回答を登録しておくことで、その回答が認証の鍵となる。 |
---|---|
パターン認証 | 主にAndroid製のスマートフォンなどで採用されている認証方法。利用者本人があらかじめ任意のロック解除パターンを登録しておき、ロックを解除する際は、そのパターン通りに画面を指でなぞる作業が必要となる。 |
基本的に、知識情報は「本人以外は知り得ない情報である」ということを前提として運用されます。実装も容易なので、多くのシステムやサービスで活用されています。
ただし、パスワードの構造が単純すぎる、あるいは誰かに搾取されやすい環境下で管理すると、簡単に認証が悪用される危険性があるため、運用には十分な注意が必要です。
2.所持情報
所持情報とは、「利用者本人が持っているモノ」を認証に利用する方法です。例としてはスマートフォンを用いた認証方法やセキュリティキー・ICカードなどが所持情報に分類されます。
例えば、スマートフォンを活用した認証方法では、Google AuthenticatorやMicrosoft Authenticator、SMSを利用した「ワンタイムパスワード」が挙げられます。画面に表示されているコードや送られてきたコードを入力することで認証する方法です。
また、金融機関でよく利用されている「ハードウェアトークン」と呼ばれるワンタイムパスワードの認証方法も、所持情報に該当します。ハードウェアトークンは、金融機関が提供するアプリ上でワンタイムパスワードを表示させ、そのパスワードを入力して認証する方法です。
注意点として、スマートフォンやカード本体が盗まれてしまうことで、認証を突破されるリスクがあります。管理体制を整えることはもちろん、リモートロック機能を付けるなど、万一の紛失時も悪用されないための対策が必要です。
3.生体情報
生体情報とは、人間の身体を使って認証する方法です。指紋や静脈、顔、虹彩など、人間が持つさまざまなパーツを利用した認証方法が登場しています。
中でも特によく用いられているのは、導入コストが比較的安価な「指紋認証」です。Windows HelloやiPhoneシリーズなどにも導入されています。
生体情報は、一人ひとりの固有の情報を読み取って認証を行うため、偽造しにくい点がメリットです。事前に登録されている本人の身体情報と一致しない限りは認証を突破できないため、他の2要素と比べ特に安全性が高いといえます。
ただし、中には「指紋採取」などの手で物理的に生体情報が盗まれるリスクもあるため、複数の要素を掛け合わせた認証方法(多要素認証)を意識することが大切です。
なぜ多要素認証が重要とされる?昨今のセキュリティ事情
なぜ、これほど「多要素認証」の導入が喚起されているのでしょうか。その背景として、昨今の巧妙化・高度化するサイバー攻撃が挙げられるでしょう。大企業や中小企業を問わず、多くの組織・企業が、絶えずサイバー攻撃の被害に晒されています。
2023年「チェック・ポイント・リサーチ」が報告した調査結果によると、2022年度に観測されたサイバー攻撃の数は、世界で昨対比+ 38%、日本においても+ 29%の数値だったと報告されています。
▼世界で発生したサイバー攻撃件数の推移(2021-2022)
出典:Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks – Check Point Blog
2022年の第四半期には、1組織当たり週平均で受ける攻撃数が1,168件にのぼるなど、企業は常にサイバー攻撃の脅威にさらされているということが伺えます。
また、多要素認証と関わりの深い「不正アクセス」の発生状況も深刻化しています。総務省・警察庁が公表した、2022年の「不正アクセス行為の認知件数」は2,200件にのぼり、前年から+684件(約45.1%)増加しています。
不正アクセス行為の「手口別」に内訳を見ると、最も多いのが「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」(230件)、次いで「識別符号(=ID/パスワード等)を知り得る立場にあった、元従業員や知人等による犯行」(41件)が続いています。
▼令和4年における不正アクセス行為(識別符号窃用型)の手口別検挙件数
参考:総務省│不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
このような背景からも、企業は自社のアクセス権限やパスワード管理方法・認証方法などを改めて見直し、「多要素認証」のような安全性の高いセキュリティを確立する必要があるといえます。
多要素認証の適用が推奨されるサービスの例
多要素認証の適用が推奨されるサービスの例としては、次のようなものが考えられます。
1.クラウドサービス
2.ソーシャルメディア(SNS)
3.VPN
4.オンラインショッピング
5.オンラインバンキング
ここでは、上記の5つのサービスに多要素認証が活用されている例を簡単にご紹介します。
クラウドサービス
近年では、多くの事業者が日々の業務にクラウドサービスを活用しています。これらのサービスの認証方法は、知識情報によるものが一般的ですが、中には多要素認証を採用しているものも増えてきています。
例えばWordやExcelなどを提供するMicorosoft 365や、サーバーやストレージを提供するAWSなどでは、多要素認証を設定してセキュリティを強化するための仕組みを提供しています。
ソーシャルメディア(SNS)
TwitterやFacebookなど、一部のソーシャルメディアにおいても、ID・パスワードによる知識情報と、SMSを活用した所持情報を組み合わせた多要素認証を採用しています。
例えば「Twitter」のログイン時にIDとパスワードを入力し、さらにスマートフォンのSMSで送られる6桁の数字コードを送信することで、認証が完了するという具合です。
SNSに多要素認証を活用することで、不正ログインによるアカウントの乗っ取りや悪意ある発信等を防ぎ、より安全に運用できます。
VPN
VPN(仮想専用通信網)サービスでも、多要素認証を活用する例が増えてきています。
リモートワークの普及によって、多くの企業がVPNを構築するようになった背景から、VPNを狙ったサイバー攻撃数が増加しています。企業はVPN経由の不正アクセスや情報漏洩を防止するため、従来のID/パスワードの入力に加え、他の認証要素を加えたVPNアクセスが必要です。
オンラインショッピング
AmazonやeBayなどのオンラインショッピングでも、ID・パスワードによる知識情報と、SMSを利用した所持情報による多要素認証を利用できます。
オンラインショッピングのアカウントでは、仮に情報が流出し不正ログインされると、身に覚えのない商品の購入やカード・個人情報の搾取等が行われるリスクがあります。
オンラインバンキング
ATMでは「キャッシュカード+暗証番号」による認証が行われますが、オンラインバンキングでも同様に、多要素認証が活用されています。
ID・パスワードによる知識情報の認証に加えて、支払い時等にワンタイムパスワードの入力が求められる、スマートフォンを用いた認証(所持情報)を活用するのが、近年の一般的な方法です。
多要素認証(MFA)を利用中のサービスに導入する方法とは?
多要素認証(MFA)を、現在利用中のサービスに導入する場合は、各サービスの公式サイトから「多要素認証の設定方法」を確認し、手順に沿って作業を行うのが確実です。
各サービスのサイトより「多要素認証」の設定方法を確認
Microsoft 365(office 365)やAWS、 Microsoft Azure、Salesforceなどの公式Webサイトでは、多要素認証に必要な設定方法が記載されています。以下にクラウドサービスにおける「代表的な製品と多要素認証の設定方法」を一覧にまとめましたので、ぜひご活用ください。
サービス名 | 解説URL |
---|---|
Microsoft 365 | |
Salesforce | |
AWS | |
Microsoft Azure | |
この他にも、多くのクラウドサービスやSNSの公式サイトでは、多要素認証の設定方法について掲載されています。ご利用中のサービスがあれば、ぜひ参考にしていただけると幸いです。
多要素認証の設定をプロに依頼するのもおすすめ
ご利用中のクラウドサービスやアプリケーションサービスの「多要素認証の設定」に関して
- 自分たちで設定を行う自信がない
- そもそも現状のセキュリティ設定に関して、把握したい
という方は、セキュリティ設定に知見をもつプロのセキュリティエンジニアへ依頼するのも1つの手段です。
専門家に診断を依頼することで、多要素認証をはじめ「サービスを安全に利用するため」の設定不備やミスを明らかにし、プロの意見を踏まえ対策が行えるためです。
多要素認証の最適化なら LANSCOPE プロフェッショナルサービスにおまかせ
「クラウドサービスの多要素認証」を最適化するなら、「LANSCOPE プロフェッショナルサービス」が提供する「クラウドセキュリティ診断」のご利用がおすすめです。
CISベンチマークやJPCERT・IPAなどの発信する情報を常に収集し、診断ルールへ反映するため、いつでも最新のセキュリティやルールに則った診断が受けられます。
また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消にお力添えすることが可能です。
▼対応可能なクラウドサービスの診断一覧
- Microsoft 365 セキュリティ診断
- Google Workspace セキュリティ診断
- Salesforce セキュリティ診断
- Amazon Web Services(AWS)セキュリティ診断
- Microsoft Azure セキュリティ診断
- Google Cloud Platfor (GCP)セキュリティ診断
- Zoom セキュリティ診断
- Box セキュリティ診断
- Slack セキュリティ診断
「多要素認証」を含む、クラウドサービスのセキュリティ対策に興味のある方は、以下のページもぜひご覧ください。毎月10社限定、無料で受けられる「クラウドサービス設定相談」も実施しています。
まとめ
2つ以上の認証要素を組み合わせて活用する「多要素認証」は、不正アクセスや情報漏洩などのリスクを軽減し、自社の大切な情報資産を守る上で欠かせないセキュリティ手段です。
この記事の要点は以下の通りです。
- 多要素認証とは、システムやサービスのログイン時に、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から2つ以上の要素を活用して認証を行うセキュリティ手法
- 「2要素認証」「2段階認証」と類似しているが、前者は3つの認証要素のうち異なる2種類で認証を行う方法、後者はID / パスワードの認証の後、追加でいずれか1つの認証を行う方法を指す
- 多要素認証が推奨されるサービス例として、クラウドサービス、SNS、VPN、オンラインショッピング、オンラインバンキング等が挙げられる
- 多要素認証設定は、各サービスの公式サイトから確認することができるが、設定漏れや不備の無い様、プロに確認を依頼することもおすすめ
ぜひ本記事も参考にしながら「自社のクラウドサービスやVPN、SNS等の認証設定はどうなっているか」の現状把握と、まだの方は多要素認証の導入を進めてはいかがでしょうか。
また「多要素認証(MFA)」の設定を含め、クラウドサービスの知っておきたい設定ポイントについてまとめた、以下の資料もご活用ください。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。