サイバー攻撃

多要素認証(MFA)とは?実例や2段階認証との違いも解説

Written by 田村 彩乃

ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。

多要素認証(MFA)とは?実例や2段階認証との違いも解説

失敗しないための脆弱性診断実施のコツ

セキュアな開発・サービス提供に必須!はじめての脆弱性診断 正し進め方ガイド

資料をダウンロードする

多要素認証とは、知識情報、所持情報、生体情報の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。
知識情報・所持情報・生体情報の説明図
また、多要素認証と似ている認証方法に「2要素認証」と「2段階認証」があります。

それぞれの違いは以下の通りです。

2要素認証 知識情報、所持情報、生体情報の中から2種類を選んで認証を行う方法
2段階認証 IDとパスワードによる認証の後、追加で認証を行う方法
「知識情報+知識情報」の形式でも可
多要素認証 知識情報、所持情報、生体情報の中から2種類以上を選んで認証を行う方法
3種類全てを用いるケースもある

複数の認証要素を掛け合わせる多要素認証を導入することで、「セキュリティ強度を高められる」だけでなく、「パスワード管理の負担を軽減できる」というメリットがあります。

近年はサイバー攻撃が高度化し、長く複雑なパスワードの設定だけでは不正アクセスを防ぐことが困難となってきたことから、多要素認証の導入は必要不可欠といえるでしょう。

本記事では、多要素認証の概要や2段階認証との違い・認証の種類や活用が推奨されるサービスなどについて、それぞれ「例」を用いながら、わかりやすく解説いたします。

▼この記事を要約すると…

  • 多要素認証では、①知識情報(パスワードなど)、②所持情報(スマートフォンなど)、③生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法
  • 「2要素認証」「2段階認証」と類似しているが、前者は3つの認証要素のうち異なる2種類で認証を行う方法、後者はID / パスワードの認証の後、追加でいずれか1つの認証を行う方法を指す
  • 多要素認証が重要視される背景に、サイバー攻撃の巧妙化・高度化がある。2022年度には世界で前年比+38%、日本でも+29%のサイバー攻撃を観測。組織の情報漏洩対策として多要素認証導入の必要性が喚起されている。
  • 多要素認証が推奨されるサービス例として、クラウドサービス、SNS、VPN、オンラインショッピング、オンラインバンキング等が挙げられる。

【多要素認証編】ここだけは押さえて!
クラウドサービスの3つの設定ポイント

多要素認証を含む「クラウド設定の要点」を解説!

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

多要素認証(MFA)とは?

多要素認証(Multi Factor Authentication/MFA)とは、システムやサービスのログイン時に、下記の3つの認証要素の中から2つ以上の認証要素を活用して、認証を行うセキュリティ方法を指します。

  • 知識情報…パスワードやPIN、秘密の答えなど「本人が知っている情報」
  • 所持情報…スマートフォンやセキュリティトークンなど、ユーザーだけが物理的に所持している物の情報。
  • 生体情報…指紋認証や顔認証・音声認証など、ユーザーの身体的特徴に基づく情報。

簡易な認証形式では、「ID」「パスワード」の情報入力のみで完了する、「一要素認証」が使用されます。一方、多要素認証であれば2つ以上の認証要素を組み合わせるため、セキュリティ性能を高め、アカウントの乗っ取りや不正アクセスのリスクを最小限に抑えること可能となります。

▼多要素認証の例

  • MSによる認証:「パスワードログイン後」に、スマートフォンへ一時的なコードが送信され、その「コード入力」をすることで身元を確認する(知識情報 + 所持情報)。
  • 指紋認証付きのノートPC:「パスワードログイン後」に「指紋認証」を行い、身元を確認する(知識情報 + 生体情報)。

従来はIDやパスワードを活用した「知識情報のみ」の認証が一般的でした。しかし、近年ではサイバー攻撃の発生件数・レベルともに上がっており、より高度なセキュリティを構築して、認証の安全性を高める必要性が生じています。企業や組織は積極的に多要素認証を導入し、安全性の高い認証方法を確立することが重要課題です。

3つの情報に関するより具体的な内容については、後ほど詳しく解説します。

多要素認証と「2要素認証」「2段階認証」の違い

多要素認証と似ている認証方法に「2要素認証」と「2段階認証」があります。

2要素認証は多要素認証の一部であり、前述の3つの認証要素の中から2種類を選んで認証を行う方法です。
2要素認証の説明図
多要素認証の場合は3種類全てを用いるケースもありますが、2要素認証の場合は、任意の2種類が選択されます。

一方の2段階認証とは、IDとパスワードを活用した知識情報による認証の後、追加で認証を行う方法です。
2段階認証の説明図
2要素認証は必ず2種類以上の要素で認証を行わなければなりませんが、2段階認証の場合、IDとパスワードで認証した後、秘密の質問で認証を行うなど「知識情報+知識情報」の形式でも構いません。

どれも従来の認証方法に比べセキュリティの強化を図れますが、基本的には複数の認証要素を掛け合わせた、多要素認証・二要素認証のほうが、よりセキュリティレベルを高める上で効果的と言えます。

関連ページ

2段階認証とは?簡単にやり方・重要性・種類などを解説

多要素認証(MFA)で用いる3つの情報と具体例

ここからは、多要素認証で用いる「3種類の情報」を具体例とともに紹介します。
知識情報・所持情報・生体情報の説明図

1.知識情報

知識情報とは、パスワードなどの「特定のユーザーのみが知っている情報」を使った認証要素です。 3つの中で特によく用いられる認証要素で、多くのシステムやサービスが知識情報による認証を採用しています。

知識情報を用いた認証の例として、パスワード以外に「秘密の質問」や「パターン認証」などがあります。

秘密の質問 サービスの登録時などにユーザー本人が登録した、本人しか回答を知り得ない質問。「母親の旧姓は?」「初めて買ったCDは?」などの質問に対し、事前に回答を登録しておくことで、その回答が認証の鍵となる。
パターン認証 主にAndroid製のスマートフォンなどで採用されている認証方法。利用者本人があらかじめ任意のロック解除パターンを登録しておき、ロックを解除する際は、そのパターン通りに画面を指でなぞる作業が必要となる。

基本的に、知識情報は「本人以外は知り得ない情報である」ということを前提として運用されます。実装も容易なので、多くのシステムやサービスで活用されています。

ただし、パスワードの構造が単純すぎる、あるいは誰かに搾取されやすい環境下で管理すると、簡単に認証が悪用される危険性があるため、運用には十分な注意が必要です。

2.所持情報

所持情報とは、「利用者本人が持っているモノ」を認証に利用する方法です。例としてはスマートフォンを用いた認証方法やセキュリティキー・ICカードなどが所持情報に分類されます。

例えば、スマートフォンを活用した認証方法では、Google AuthenticatorやMicrosoft Authenticator、SMSを利用した「ワンタイムパスワード」が挙げられます。画面に表示されているコードや送られてきたコードを入力することで認証する方法です。

また、金融機関でよく利用されている「ハードウェアトークン」と呼ばれるワンタイムパスワードの認証方法も、所持情報に該当します。ハードウェアトークンは、金融機関が提供するアプリ上でワンタイムパスワードを表示させ、そのパスワードを入力して認証する方法です。

注意点として、スマートフォンやカード本体が盗まれてしまうことで、認証を突破されるリスクがあります。管理体制を整えることはもちろん、リモートロック機能を付けるなど、万一の紛失時も悪用されないための対策が必要です。

3.生体情報

生体情報とは、人間の身体を使って認証する方法です。指紋や静脈、顔、虹彩など、人間が持つさまざまなパーツを利用した認証方法が登場しています。

中でも特によく用いられているのは、導入コストが比較的安価な「指紋認証」です。Windows HelloやiPhoneシリーズなどにも導入されています。

生体情報は、一人ひとりの固有の情報を読み取って認証を行うため、偽造しにくい点がメリットです。事前に登録されている本人の身体情報と一致しない限りは認証を突破できないため、他の2要素と比べ特に安全性が高いといえます。

ただし、中には「指紋採取」などの手で物理的に生体情報が盗まれるリスクもあるため、複数の要素を掛け合わせた認証方法(多要素認証)を意識することが大切です。

【多要素認証編】ここだけは押さえて!
クラウドサービスの3つの設定ポイント

多要素認証を含む「クラウド設定の要点」を解説!

資料をダウンロードする《無料》

なぜ多要素認証(MFA)が必要とされているのか


なぜ、これほど「多要素認証」の導入が喚起されているのでしょうか。
その背景には

・サイバー攻撃の増加・高度化
・クラウドサービスの普及

があります。

サイバー攻撃の増加・高度化

2023年「チェック・ポイント・リサーチ」が報告した調査結果によると、2022年度に観測されたサイバー攻撃の数は、世界で昨対比+ 38%、日本においても+ 29%の数値だったと報告されています。

▼世界で発生したサイバー攻撃件数の推移(2021-2022)
世界で発生したサイバー攻撃件数の推移グラフ(2021-2022)

出典:Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks – Check Point Blog

2022年の第四半期には、1組織当たり週平均で受ける攻撃数が1,168件にのぼるなど、企業は常にサイバー攻撃の脅威にさらされているということが伺えます。

また、多要素認証と関わりの深い「不正アクセス」の発生状況も深刻化しています。総務省・警察庁が公表した、令和5年の「不正アクセス行為の認知件数」は6,312件にのぼり、前年から+4,112件(約186.9%)増加しています。

不正アクセス行為の「手口別」に内訳を見ると、最も多いのが「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」(203件)、次いで「識別符号(=ID/パスワード等)を知り得る立場にあった、元従業員や知人等による犯行」(68件)が続いています。

▼令和5年における不正アクセス行為(識別符号窃用型)の手口別検挙件数
令和5年における不正アクセス行為(識別符号窃用型)の手口別検挙件数

参考:総務省│不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(令和6年3月14日)

不正アクセスを防ぐには、長く複雑なパスワードの設定が欠かせません。

しかし、サイバー攻撃の中には、想定される全てのパスワードのパターンを総当たりで入力し、認証の突破を試みる「ブルートフォース攻撃」というものがあります。

長く複雑なパスワードを設定しておけば、解読に時間がかかるものの、いずれ認証を突破されてしまう危険性があります。

このような背景からも、企業は自社のアクセス権限やパスワード管理方法・認証方法などを改めて見直し、「多要素認証」のような安全性の高いセキュリティを確立する必要があるといえます。

クラウドサービスの普及

新型コロナウイルスの感染拡大や働き方改革などから、リモートワークを採用する企業が増え、クラウドが急激に普及しました。

クラウドサービスは、インターネットがさえあれば場所を問わず使用できるので、社外から社内システムやデータにアクセスすることができます。

しかし、クラウドサービスは社外とネットワークを共有する分、外部から不正にアクセスされるリスクが高まります。

そこで、不正アクセスのリスクを低減するためにも、多要素認証の導入が求められているのです。

多要素認証(MFA)の適用が推奨されるサービスの例

多要素認証の適用が推奨されるサービスの例としては、次のようなものが考えられます。

1.クラウドサービス
2.ソーシャルメディア(SNS)
3.VPN
4.オンラインショッピング
5.オンラインバンキング

ここでは、上記の5つのサービスに多要素認証が活用されている例を簡単にご紹介します。

クラウドサービス

近年では、多くの事業者が日々の業務にクラウドサービスを活用しています。これらのサービスの認証方法は、知識情報によるものが一般的ですが、中には多要素認証を採用しているものも増えてきています。

例えばWordやExcelなどを提供するMicorosoft 365や、サーバーやストレージを提供するAWSなどでは、多要素認証を設定してセキュリティを強化するための仕組みを提供しています。

ソーシャルメディア(SNS)

TwitterやFacebookなど、一部のソーシャルメディアにおいても、ID・パスワードによる知識情報と、SMSを活用した所持情報を組み合わせた多要素認証を採用しています。

例えば「Twitter」のログイン時にIDとパスワードを入力し、さらにスマートフォンのSMSで送られる6桁の数字コードを送信することで、認証が完了するという具合です。

SNSに多要素認証を活用することで、不正ログインによるアカウントの乗っ取りや悪意ある発信等を防ぎ、より安全に運用できます。

VPN

VPN(仮想専用通信網)サービスでも、多要素認証を活用する例が増えてきています。

リモートワークの普及によって、多くの企業がVPNを構築するようになった背景から、VPNを狙ったサイバー攻撃数が増加しています。企業はVPN経由の不正アクセスや情報漏洩を防止するため、従来のID/パスワードの入力に加え、他の認証要素を加えたVPNアクセスが必要です。

オンラインショッピング

AmazonやeBayなどのオンラインショッピングでも、ID・パスワードによる知識情報と、SMSを利用した所持情報による多要素認証を利用できます。

オンラインショッピングのアカウントでは、仮に情報が流出し不正ログインされると、身に覚えのない商品の購入やカード・個人情報の搾取等が行われるリスクがあります。

オンラインバンキング

ATMでは「キャッシュカード+暗証番号」による認証が行われますが、オンラインバンキングでも同様に、多要素認証が活用されています。

ID・パスワードによる知識情報の認証に加えて、支払い時等にワンタイムパスワードの入力が求められる、スマートフォンを用いた認証(所持情報)を活用するのが、近年の一般的な方法です。

【多要素認証編】ここだけは押さえて!
クラウドサービスの3つの設定ポイント

多要素認証を含む「クラウド設定の要点」を解説!

資料をダウンロードする《無料》

多要素認証(MFA)のメリット


多要素認証を導入するメリットとしては以下が挙げられます。

・セキュリティ強度を高められる
・パスワード管理の負担を軽減できる

セキュリティ強度を高められる

IDとパスワードによる認証だけだと、パスワードが漏洩した場合に容易にアクセスされてしまいます。

しかし、多要素認証を導入していれば、パスワードに加え、ほかの認証要素も手に入れない限り認証を突破されないので、不正アクセスをブロックできる可能性が高まります。

パスワード管理の負担を軽減できる

ID・パスワードによる認証だけの場合、長く複雑なパスワードの設定や定期的なパスワードの変更が求められます。

しかし、複雑なパスワードを何個も覚えるのは難しいことから、逆に使いまわしや脆弱なパスワードの設定を助長してしまう傾向にあります。

そこで、所持情報や生体情報を認証に用いることで、パスワード管理の負担を軽減することができるのです。

多要素認証(MFA)のデメリット


多要素認証には、以下のようなデメリットも存在します。

・導入にはコストがかかる
・ユーザーの利便性が低下する恐れがある

導入にはコストがかかる

例えば、3つの認証要素の中でも、偽造しにくく、安全性が高い「生体情報」を用いた多要素認証を導入したいとなった場合、新たな機器を購入したり、システムの構築が必要になったります。

セキュリティを強化することはもちろん重要ですが、かけられるコストとニーズのバランスうまく調整しつつ、導入を検討しましょう

ユーザーの利便性が低下する恐れがある

多要素認証の場合、パスワードを入力した後に、スマホに送られてくるコードも入力するなど、ID・パスワードによる認証だけのときと比べると、手間がかかってしまいます。

さらに、指紋認証がうまくいかずログインまでに時間がかかる、なども考えられます。

セキュリティ強度を上げることだけに焦点をあてると、ユーザーの利便性が低下してしまうので、リスクベース認証と組み合わせるなどして、利便性にも配慮しましょう。

※リスクベース認証…システムやサービスへのログイン時に、ユーザーの行動を分析し、リスクがあると判断された場合に追加の認証を行うセキュリティ手法

多要素認証を不正に突破しようする「多要素認証疲労攻撃」に要注意

多要素認証疲労攻撃とは、ユーザーに繰り返し認証要求を送りつけ、誤って認証を承認させる攻撃手法です。

具体的には以下のよう流れで攻撃が行われます。

1.攻撃者はフィッシング詐欺などによってID・パスワードを不正に入手
2.不正に入手したID・パスワードで攻撃者がログイン
3.システム側が正規ユーザーによるログインであることを確認するため、登録されているデバイスに認証要求をプッシュ
4.正規ユーザーは自身によるログインではないため、一度は認証要求を拒否する
5.攻撃者は成功するまで何度もログイン試行を行い、認証要求を送り付ける
6.操作ミスなどにより正規ユーザーが承認要求を承認してしまう

攻撃者は、ただ認証要求を送り付けるだけでなく、システム管理者を装って「認証のテストを行うので承認してほしい」などとメッセージを送ることもあります。

多要素認証疲労攻撃は上記のように、プッシュ通知による認証方法を悪用する攻撃手法なので、認証方法を別のものに切り替えることで、防ぐことができます。

多要素認証(MFA)を利用中のサービスに導入する方法とは?

多要素認証(MFA)を、現在利用中のサービスに導入する場合は、各サービスの公式サイトから「多要素認証の設定方法」を確認し、手順に沿って作業を行うのが確実です。

各サービスのサイトより「多要素認証」の設定方法を確認

Microsoft 365(office 365)やAWS、 Microsoft Azure、Salesforceなどの公式Webサイトでは、多要素認証に必要な設定方法が記載されています。以下にクラウドサービスにおける「代表的な製品と多要素認証の設定方法」を一覧にまとめましたので、ぜひご活用ください。

サービス名 解説URL
Microsoft 365

Microsoft 365 Business Premium の多要素認証を設定する

Salesforce

Salesforce│多要素認証

AWS

AWS での多要素認証 (MFA) の使用

Microsoft Azure

Azure AD Multi-Factor Authentication の設定を構成する

Twitter

Twitter│2要素認証を使う方法

Facebook

Facebookで二段階認証に認証アプリを使用する

この他にも、多くのクラウドサービスやSNSの公式サイトでは、多要素認証の設定方法について掲載されています。ご利用中のサービスがあれば、ぜひ参考にしていただけると幸いです。

多要素認証の設定をプロに依頼するのもおすすめ

ご利用中のクラウドサービスやアプリケーションサービスの「多要素認証の設定」に関して

  • 自分たちで設定を行う自信がない
  • そもそも現状のセキュリティ設定に関して、把握したい

という方は、セキュリティ設定に知見をもつプロのセキュリティエンジニアへ依頼するのも1つの手段です。

専門家に診断を依頼することで、多要素認証をはじめ「サービスを安全に利用するため」の設定不備やミスを明らかにし、プロの意見を踏まえ対策が行えるためです。

多要素認証の最適化なら LANSCOPE プロフェッショナルサービスにおまかせ

「クラウドサービスの多要素認証」を最適化するなら、「LANSCOPE プロフェッショナルサービス」が提供する「クラウドセキュリティ診断」のご利用がおすすめです。

CISベンチマークやJPCERT・IPAなどの発信する情報を常に収集し、診断ルールへ反映するため、いつでも最新のセキュリティやルールに則った診断が受けられます。
最新のクラウド診断提供の解説図

また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消にお力添えすることが可能です。

▼対応可能なクラウドサービスの診断一覧

  • Microsoft 365 セキュリティ診断
  • Google Workspace セキュリティ診断
  • Salesforce セキュリティ診断
  • Amazon Web Services(AWS)セキュリティ診断
  • Microsoft Azure セキュリティ診断
  • Google Cloud Platfor (GCP)セキュリティ診断
  • Zoom セキュリティ診断
  • Box セキュリティ診断
  • Slack セキュリティ診断

「多要素認証」を含む、クラウドサービスのセキュリティ対策に興味のある方は、以下のページもぜひご覧ください。毎月10社限定、無料で受けられる「クラウドサービス設定相談」も実施しています。

関連ページ

LANSCOPE プロフェッショナルサービス│クラウドセキュリティ診断

まとめ

2つ以上の認証要素を組み合わせて活用する「多要素認証」は、不正アクセスや情報漏洩などのリスクを軽減し、自社の大切な情報資産を守る上で欠かせないセキュリティ手段です。

この記事の要点は以下の通りです。

  • 多要素認証とは、システムやサービスのログイン時に、知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から2つ以上の要素を活用して認証を行うセキュリティ手法
  • 「2要素認証」「2段階認証」と類似しているが、前者は3つの認証要素のうち異なる2種類で認証を行う方法、後者はID / パスワードの認証の後、追加でいずれか1つの認証を行う方法を指す
  • 多要素認証が推奨されるサービス例として、クラウドサービス、SNS、VPN、オンラインショッピング、オンラインバンキング等が挙げられる
  • 多要素認証設定は、各サービスの公式サイトから確認することができるが、設定漏れや不備の無い様、プロに確認を依頼することもおすすめ

ぜひ本記事も参考にしながら「自社のクラウドサービスやVPN、SNS等の認証設定はどうなっているか」の現状把握と、まだの方は多要素認証の導入を進めてはいかがでしょうか。

また「多要素認証(MFA)」の設定を含め、クラウドサービスの知っておきたい設定ポイントについてまとめた、以下の資料もご活用ください。

【多要素認証編】ここだけは押さえて!
クラウドサービスの3つの設定ポイント

多要素認証を含む「クラウド設定の要点」を解説!

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

失敗しないための脆弱性診断実施のコツ

セキュアな開発・サービス提供に必須!はじめての脆弱性診断 正し進め方ガイド

資料をダウンロードする