多要素認証（MFA）とは？二段階認証、二要素認証との違いをご紹介

多要素認証（MFA：Multi-Factor Authentication）とは、本人であることを確認する手段として、2つ以上の異なる要素を用いる認証方法です。

ユーザー名とパスワードという単純な組み合わせに依存しないため、不正アクセスや個人情報の漏洩などのセキュリティ対策に有効とされます。

保険会社や金融会社などの業界において、多要素認証が利用されることが多く見受けられるようになりました。

多要素認証の需要が高まる理由

様々なクラウドサービスの利用が身近になってきた昨今、同じパスワードの使いまわしや、簡単に見破られてしまうパスワードを設定した結果、不正アクセスや情報漏洩といったセキュリティ事故へつながることがでてきました。

そのような背景から、IDやパスワードなどの知識情報に加えてさらなる情報の照合を要求する、多要素認証への需要が高まってきています。

認証に必要な要素は仕組みの違いから大きく3つに分類されますが、それら3要素のうち2つ以上を組み合わせる認証方法を多要素認証と呼びます。

ここでは認証に必要とされる3つの要素について、解説します。

1. 生体情報

   生体情報とは、指紋や静脈・虹彩など、ユーザー本人が持つ生物学的に固有な要素です。顔の特徴や声紋なども生体情報に含まれます。

   文字や数字を入力する必要はないため手間がかからず、本人以外が認証される可能性は極めて低いと言えるでしょう。忘れたり失くしたりすることもありません。

2. 知識情報

   知識情報とは、パスワードや暗証番号・セキュリティ質問への回答など、ユーザー自身しか知り得ない情報を指します。個人の持つ知識を認証に用いるという簡便さから、導入が容易であるという点が知識認証の特徴です。

   導入が簡単である反面、暗号の推測や盗難・ツールによる認証突破を受けやすく、脆弱性がやや高いというデメリットもあります。

3. 所持情報

   所持情報とは、カードやスマートフォンをはじめとしたモバイルデバイス、ハードウェアトークンなど、本人が所有している物品に固有の情報です。所持情報を介した認証は所有物認証と呼ばれ、キャッシュカードやクレジットカードなどが代表的なものとなります。

   使用する際には情報入力の手間が少なく便利な反面、盗難や紛失のリスクもあるため、パスワードなどの知識認証と併用することが多いでしょう。

多要素認証とは別に個人を特定する手段として知られるものとして、二要素認証や二段階認証・FIDO2などがあります。

これらの認証方法をどのように区別すれば良いのでしょうか。多要素認証とその他の認証方法の違いを解説します。

二要素認証：多要素認証に分類される

二要素認証とは、その名の通り個人の特定に2種類の要素を用いる認証方法です。認証に必要な3要素のうちの2つを使用することからこの名が付けられています。

多要素認証は2つ以上の要素を用いた認証方法のことなので、二要素認証は多要素認証の範疇に含まれると考えて差し支えありません。

二段階認証：段階的に同じ要素で認証

二段階認証とは、同種の要素での認証を順次実行することにより本人確認をする認証方法のことです。二要素認証でも通常2つの認証情報を順次入力しますが、二段階認証における認証要素は2つとも同じ種類に分類される要素とされます。

例えば、第一段階の認証方法としてIDやユーザーネーム・パスワードを用いてログインし、第二段階としてセキュリティ質問への正しい回答を入力します。ここでは2つのステップともに知識情報という1種類の要素を用いるため、二段階認証ではありますが、多要素認証とは呼べません。

FIDO2：公開鍵暗号方式を採用

FIDO2（ファイドツー）とは、FIDO Allianceにより2018年に公開された新たな認証技術です。認証の際にパスワードの入力は必要ありません。

パスワード入力の代わりに、認証器と呼ばれるデバイスに生体情報（指紋や虹彩など）を読み取らせることで本人確認をします。サーバーからの本人検証依頼に対し秘密鍵で署名したのち返送し、サーバー側で公開鍵による検証が済むと認証完了です。

認証器には専用のリーダーを用いることもありますが、端末に認証器が組み込まれたPC・スマートフォン・タブレットの指紋認証や顔認証がそのまま利用できる場合もあります。

いくつかの要素を併用する多要素認証は面倒であるとの理由から、ユーザーネームとパスワードだけの認証方法を好む方も多いかも知れません。

しかし、近年における多要素認証の隆盛からも見て取れるように、やはりそのメリットは大きなものであると言えそうです。多要素認証のメリットとはどのようなものでしょうか。

1. セキュリティ精度の向上

   セキュリティ向上は、多要素認証を導入する最大のメリットと言っても過言ではないでしょう。単一要素を利用した認証方法に比べ、大きくセキュリティレベルが上がることは間違いありません。

   単一要素を利用する方法では、知識情報や所持情報の管理をユーザーに依存する割合が大き過ぎると言わざるを得ません。2つ以上の要素を組み合わせる多要素認証であれば、ユーザーの管理能力に左右される割合を極力減らすことが可能です。

2. クラウドサービスの安全性確保

   近年、クラウドを利用した業務効率化やサブスクリプションサービスが、企業だけでなく一般ユーザーにも浸透してきました。しかし、情報を自分の手元で管理するのではなく、クラウド上に保存するということに不安を覚える消費者も少なくありません。

   この不安を解消するために、大きく貢献するのが多要素認証です。多要素認証の高いセキュリティレベルは、クラウドサービスの安全性確保に最適であると言えます。

多要素認証はセキュリティ性の高い認証方法ですが、運用方法を最適化することにより、さらに安全性を高めることが可能です。

ここでは多要素認証によるセキュリティ向上について、3つのポイントを解説いたします。

1. ワンタイムパスワードの活用

   制限時間付きで1回のみ使用可能なパスワードがワンタイムパスワード（OTP）です。認証する際に毎回新たなパスワードが発行されます。

   ワンタイムパスワードは、IDやパスワードによるログインの後、電話やSMS・メール・アプリなどで届きます。本人認証をするたびに異なるパスワードが発行されるため、漏洩や盗難のリスクを最小限に抑えることができるでしょう。

2. パスワードに関する適切なルール設定

   「アルファベットと数字を使った◯◯文字のパスワード」というように、パスワードに関するルールを適切なレベルに設定することも、セキュリティレベル向上に繋がります。「1文字以上の大文字を含むこと」「一度使ったパスワードは使用できない」など、ルールの設定次第でさらに安全性を高めることもできるでしょう。

   独立行政法人情報処理推進機構（IPA）ではパスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすることを推奨しています。

3. 対象端末への対策

   いかに多要素認証のセキュリティ性が高いといっても、既に認証された対象端末を紛失してしまっては元も子もありません。認証後に人との貸し借りなどでも、流出の危険性は一気に高まります。

   多要素認証のセキュリティを向上させるためには、利用者に高いセキュリティ意識を醸成することはもちろん、認証情報を含んだ端末の紛失時の遠隔管理などリスクをヘッジする取組が重要です。

様々なWebサービスやクラウドサービスを利用する機会の多い現代で、情報セキュリティに対する意識は常に持っておかなければなりません。

サイバーアタックの脅威や情報漏洩の危険性から身を守るためには、複数の要素で認証を行うことが重要です。多要素認証について理解を深め、自分に合った最適なセキュリティを選択してください。