多要素認証（MFA）とは？3つの要素と具体的な組み合わせ例をご紹介

本人を識別するために、2種類以上の認証要素を組み合わせる仕組みのものが、多要素認証（MFA）と定義されます。認証に用いられる3要素を以下に挙げます。

知識要素

本人しか知らない知識を指します。IDやパスワードは知識要素に分類され、その他に「秘密の質問」やPINコードなどもあります。

所有要素

ユーザーが所有するデバイスに属する要素です。各種ICカードやワンタイムパスワードなどが所有要素に含まれます。スマートフォン・携帯電話を用いたSMS認証なども所有要素の一種です。

生体要素

本人に固有の身体情報です。指紋認証や顔認証をはじめとし、声紋や虹彩、静脈パターンなども生体要素として用いられます。

近年、不正アクセスやサイバー攻撃の手口が多様化・巧妙化するのに伴って、本人認証に長らく利用されてきたパスワードで認証を行う方法に限界が指摘され始めました。

企業や個人が利用するサービスやアプリケーションの種類も増加し、管理すべきパスワードの数が増えすぎるという問題も生じています。

パスワード認証による安全性を高める工夫も実施されていますが、やはりそれだけでは不正ログインなどのを含むさまざまな不安が残るというのが現状です。

本項では、多要素認証が普及する背景について、3つの点を具体的に解説します。

クラウドサービスの普及

働き方改革や新型コロナウイルスの影響により、リモートワークが各所で盛んに利用されるようになりました。それに伴いクラウドサービスの活用が急増しています。

クラウドサービスはリモートワークと相性が良く非常に有用である反面、遠隔で機密性の高い情報にアクセスするため、セキュリティ向上が必須課題です。

社外に漏洩してはならない情報が保存されたクラウドストレージは、サイバー攻撃などによる深刻な被害から強固に守られなければなりません。

クラウド上の情報を外部からの脅威から防衛するために、多要素認証によるセキュリティ対策が注目を集めています。

パスワード認証の脆弱性

危険なアクセスから情報を堅守するために、パスワードを用いたアクセス管理が一般的でした。しかし、パスワード認証には運用面で大きな脆弱性があります。

簡単に推測できないような複雑なパスワードを設定し、定期的に設定変更をすることで、パスワード認証は非常に高い安全性を維持することが可能です。ただし、それはパスワード管理を徹底した場合に限られます。

実際には、操作面での煩雑さを避けるために複数のシステムで同一パスワードを使い回していたり定期変更を怠ったりと、人為的な要因で管理が甘くなる傾向があります。

また、強力なパスワードは確かに安全性を高めてくれますが、パスワードさえ知っていれば誰でも認証を通過できてしまうという脆さもあるのです。

管理アカウントの増加

パスワードの使い回しや簡略化・変更頻度低下の原因となるのが、管理すべきアカウント数の増加です。利用するアカウント・サービスが増えたことにより、パスワード管理の煩雑さがユーザーに大きな負担を与えています。

管理する必要のあるアカウントが少なければ、複雑なパスワード設定や定期的なパスワード変更にも対応可能でしょう。しかし、多数のアカウントを管理する場合、安全性と利便性のトレードオフが避けられません。

安全性を損なわずに利便性を確保したい場合には、多要素認証とシングルサインオンを組み合わせる方法がおすすめです。シングルサインオンを活用すれば、関連する複数のサービス・アプリケーションに一度の認証でログインできます。

多要素認証にはさまざまな組み合わせがありますが、代表的な例は、IDパスワードと、追加要素としてワンタイムパスワード（OTP）を利用する例です。

OTPは、定期的にまたは認証をリクエストするたびに新たに生成され、SMSやメールなどでユーザーに送られてくる4〜8桁のコードです。ワンタイムパスワードはユーザー本人のデバイスで受信するため、所有要素に分類されます。

OTPを利用した認証の流れは以下のようなものです。

1. ユーザーが本人確認のため、知識要素であるIDおよびパスワードを入力
2. 本人所有のデバイスに、所有要素であるOTPが送信され表示される
3. 受け取ったOTPを認証画面に入力する
4. OTPが正しく入力されるとログイン完了

一つの要素による認証と比較すると、多要素認証はセキュリティ性が高いというメリットがあります。パスワードは流出や盗難のリスクがありますが、生体要素や所有要素など2つ以上の要素を組み合わせることで、安全性が飛躍的に向上します。

生体要素や所有要素は、知識要素であるパスワードと比べて盗み出すことが容易ではありません。2つ以上の要素を手に入れなければ認証を突破できないため、多要素認証はサイバー攻撃の対象にされにくいと言えるでしょう。

また、シングルサインオンと組み合わせることで、利便性を向上させられることもメリットです。面倒な入力の手間を極力少なくすることで、業務の効率アップにも直結するはずです。

多要素認証の高い安全性を十分に発揮するには、適切な運用を心がける必要があります。本項では、セキュリティ向上に求められる3つのポイントについて解説いたします。

適切なパスワードの運用

パスワードが簡単に推測できる短いものである場合にセキュリティリスクが増大することは当然ですが、難しく複雑なパスワードにすることにより増大するリスクもあります。

覚えるのが困難なほど長く複雑なパスワードにすると、パスワードをメモして誰かに見られる可能性が上がったり、複数システムで同じパスワードを使い回したりといった杜撰な管理に繋がることもあります。

パスワードは簡単すぎても難しすぎてもリスク増大を招きます。適切な設定で運用しなければなりません。

ワンタイムパスワードを利用する

先述のように、OTPの利用は、多要素認証の利便性を向上させるために非常に効果的です。さらに利便性のみならず高い安全性も確保できるため、多要素認証を運用する際はぜひ利用することをおすすめします。

OTPは認証を試みるたびに新しくパスワードが生成される仕組みのため、もしもパスワードが流出した場合でもリスクを抑えられます。文字通りOTPは一度きりしか使用できないため、不正なアクセスを効果的に防ぐことが可能です。

デバイスの管理の徹底

認証に使用するデバイスの管理を徹底させることは、多要素認証の安全性を維持するために必須と言えます。デバイスの紛失・盗難を防ぐための教育を定期的に実施するなどして、管理徹底の意識を常に高めておきましょう。

生体情報や所有要素を併用する多要素認証といえど、デバイス管理が甘ければその安全性は十分に発揮されません。

デバイスの紛失・盗難に対して不安がある場合は、リモートでデバイスにロックを掛けたり情報を消去したりするサービスの利用なども有効です。

まとめ

多要素認証は、本人認証に複数の要素を利用するため、単要素認証よりも高い安全性を実現します。シングルサインオンと併用すれば、安全性を保ちながら利便性の低下も回避できる有用なソリューションです。

しかし、多要素認証を導入することによって、すべての脅威を排除できるわけではありません。大切な情報を防衛するためには、多要素認証を実現しながらパスワードやデバイスの管理を徹底し、必要に応じて他のセキュリティツールと併用することをおすすめします。