多要素認証（MFA）とは？3つの要素と具体的な組み合わせ例をご紹介

多要素認証（MFA：Multi Factor Authentication）とは、本人を識別するために、2種類以上の認証要素を組み合わせる認証方法です。認証に用いられる3要素を以下に挙げます。

• 知識要素

本人しか知らない知識を指します。IDやパスワードは知識要素に分類され、その他に「秘密の質問」やPINコードなどもあります。

• 所有要素

ユーザーが所有するデバイスに属する要素です。各種ICカードやワンタイムパスワードなどが所有要素に含まれます。スマートフォン・携帯電話を用いたSMS認証なども所有要素の一種です。

• 生体要素

本人に固有の身体情報です。指紋認証や顔認証をはじめとし、声紋や虹彩、静脈パターンなども生体要素として用いられます。

近年、サイバー攻撃などを含むセキュリティ被害が相次いで起こっています。
セキュリティ対策としてゼロトラスト環境の構築などをよく耳にするかと思いますが、同時に様々な社内資産へアクセスするための入口である「認証」の強化が注目されています。

ネットワーク環境を整えたり、セキュリティソフトを導入していても、肝心な社内システムへの入口のログイン情報が漏れてしまった場合、不正アクセスや情報漏えいの被害リスクが高まります。

こうした背景をうけ、大切な情報資産へアクセスするためのログインを強固にする「多要素認証」の導入が進んでいます。

いくつかの業界や団体で公開されている以下のようなセキュリティに関してのガイドラインでも、多要素認証が推奨されています。

• 医療情報システムの安全管理に関するガイドライン 第 6.0 版：厚生労働省
• 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第 1.1 版：経済産業省
• 地方公共団体における情報セキュリティポリシーに関するガイドライン（令和5年３月版）：総務省
• 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン：デジタル庁

他にもさまざまなガイドラインがあるため、自社の業種に沿ったものなどを確認してみるのもよいかもしれません。

多要素認証にはさまざまな組み合わせがありますが、代表的な例は、IDパスワードと、追加要素としてワンタイムパスワード（OTP）を利用する例です。

OTPは、定期的にまたは認証をリクエストするたびに新たに生成され、SMSやメール、アプリケーションなどでユーザーに送られてくる4〜8桁のコードです。ワンタイムパスワードはユーザー本人のデバイスで受信するため、所有要素に分類されます。

OTPを利用した認証の流れは以下のようなものです。

1. ユーザーが本人確認のため、知識要素であるIDおよびパスワードを入力
2. 本人所有のデバイスに、所有要素であるOTPが送信され表示される
3. 受け取ったOTPを認証画面に入力する
4. OTPが正しく入力されるとログイン完了

OTPの他にも顔認証（生体情報）を利用したり、FIDOデバイスでの生体情報を利用したり、端末の情報を確認したりと様々な組み合わせがあります。

以下の動画では、複数の認証をどのように組み合わせるのか、実用されている多要素認証の例を動画でご紹介しています。また、ユーザーが認証をする際のイメージについてもご覧いただけます。

一つの要素による認証と比較すると、多要素認証はセキュリティ性が高いというメリットがあります。パスワードは流出や盗難のリスクがありますが、生体要素や所有要素など2つ以上の要素を組み合わせることで、安全性が飛躍的に向上します。

生体要素や所有要素は、知識要素であるパスワードと比べて盗み出すことが容易ではありません。2つ以上の要素を手に入れなければ認証を突破できないため、多要素認証はサイバー攻撃の対象にされにくいと言えるでしょう。

また、シングルサインオンと組み合わせることで、利便性を向上させられることもメリットです。面倒な入力の手間を極力少なくすることで、業務の効率アップにも直結するはずです。

多要素認証の高い安全性を十分に発揮するには、適切な運用を心がける必要があります。本項では、セキュリティ向上に求められる3つのポイントについて解説いたします。

• 適切なパスワードの運用

多要素認証の認証の1つ目として利用することが多いパスワードですが、認証を複数設定するからといって簡単なものにしてしまうのは推奨できません。かといって、難しく複雑なパスワードにすることにより増大するリスクもあります。

覚えるのが困難なほど長く複雑なパスワードにすると、パスワードをメモして誰かに見られる可能性が上がったり、複数システムで同じパスワードを使い回したりといった杜撰な管理に繋がることもあります。

パスワードは簡単すぎても難しすぎてもリスク増大を招きます。適切な設定で運用しなければなりません。

また、企業内でパスワードポリシーを設定していることも多いと思いますが、適切に運用できているかも併せて確認が必要です。

• 担当する業務や働き方にあった認証方法を選ぶ

オフィスでデスクに備え付けのパソコンで業務をする役割の社員に、クライアント証明書認証を用いてもあまり効果が得られません。
クライアント証明書認証は、外出先から業務をすることが多く、社外からのアクセスを会社で許可を得たパソコンからしか接続できないといった制限をする場合に利用されることが一般的です。

同様に、パートやアルバイトなど出入りが多く、毎日利用しないためパスワードを忘れることが多い業務の場合には顔認証が向いています。

このように、働き方や業務、役割によって適した認証方法を選ぶことで利用者にとっても優しい環境となり得ます。

• セキュリティ教育の徹底

いくら認証を強化しようとも、パスワードを付箋で貼ってしまったり、複数人の共有パソコンでログアウトをせずに他の人が使ったりといったことがまかり通ってしまっている場合には注意が必要です。

席を離れる場合には、必ずログアウトする。パスワードは使いまわさない。PCやタブレットなど、デバイスの紛失を防ぐために置き忘れや盗難に注意する　などといったセキュリティ教育を定期的に実施することが大切です。

まとめ

多要素認証は、本人認証に複数の要素を利用するため、単要素認証よりも高い安全性を実現します。シングルサインオンと併用すれば、安全性を保ちながら利便性の低下も回避できる有用なソリューションです。

しかし、多要素認証を導入することによって、すべての脅威を排除できるわけではありません。大切なデータを防衛するためには、多要素認証を実現しながらパスワードやデバイスの管理を徹底し、必要に応じて他のセキュリティツールと併用することをおすすめします。