多要素認証(MFA)とは？(「二要素認証」と「二段階認証」の違い)

今回はすいすいが担当になりますので、早速書いていきますね！

さて、Webサービスの利便性が向上する一方で、外部からの不正アクセスや情報漏えいなどのリスクも高まっている昨今、注目されているのが多要素認証（MFA：Multi-Factor Authentication）です。 そこで、セキュリティ対策としての多要素認証の概要や、二要素認証・二段階認証との違い、求められる背景やメリットを改めておさらいしていきたいと思います。

◆はじめに

過去にキャッシュレス決済サービスの不正利用が起こった際、「二段階認証」がトレンドワードとなったことがありました。 多要素認証と二要素認証、二段階認証は名称こそ似ていますが、意味は異なります。 では、今必要だとされている「多要素認証」とはどのようなものなのかということをご紹介していきます。

◆多要素認証とは

アクセス権限を得るのに必要な本人確認のための複数の種類の要素（証拠）をユーザーに要求する認証方式である。 必要な要素が二つの場合は、二要素認証（にようそにんしょう、英語: Two-Factor Authentication、英: 2FA）、二段階認証（にだんかいにんしょう）とも呼ばれる。
引用：Wikipedia(多要素認証)

ID・パスワードなどの 「知識要素」及び「所有要素」「生体要素」という認証の3要素 の中から、2つ以上の異なる認証要素を用いて認証する方法になります。

容易に推測可能なパスワードを設定しているアカウントは未だに多く、加えて、そのパスワードを複数のサービスで使いまわしている場合は、攻撃者によってハッキングされる可能性が高まります。

管理するアカウントの数が増え続ける最近では、高まるセキュリティリスクに対応するために、ID・パスワードが漏えいしても、他の要素が揃っていない限り、ログインすることができない仕組みとして、多要素認証は急速に導入が広がっています。例えば、ID・パスワードで認証した後に、ユーザが持っている機器にショートメッセージを送りパスコードを入力させたり、指紋などを用いた生体認証と組み合わせたりすることで、セキュリティレベルを高めます。

◆認証の3要素

上でも記載しましたが、二段階認証や二要素認証を正しく理解するために、認証の要素について確認しておく必要があります。 そこで、認証の三要素について解説していきたいと思います。

1.知識要素

ユーザーの頭の中にしかない情報をシステム利用時に入力させることで認証を行う仕組みです。

例：ID、パスワード、PINコード、秘密の質問、電話番号、誕生日など

知識要素の認証は、ユーザーの頭の中にある情報が他人に知られることはないという前提の上に成り立っていて、システム構築も比較的容易なため、昔からよく利用してされてきた認証方法だと思います。

ですが、パスワードなど認証に使う情報があまりにも単純な組み合わせであったり、本来記憶にとどめるべきパスワード情報がメモなどに残され、誰でも閲覧できる状況にあったりすると、認証強度は著しく低下しますし、システム運営側による、ずさんな管理が原因で個人情報とともにパスワードを漏えいさせる事件も起こっていたりするため、パスワードなどを使用した知識要素だけの認証では、安全とは言い切れない状況となっています。

2.所有要素

認証されるユーザーのみが所有している「モノ」を用いて認証する仕組みです。

例：ICチップ搭載カード、USBセキュリティキー、SMS、ワンタイムパスワード、トークンなど

これはユーザーのみが所有し、他者に共有しないという前提の上で成り立つ認証要素で、例えば、ICカードを使った認証では、カード内に格納されている情報を用いて認証を行います。金融機関などで普及しているハードウェアトークンを使ったワンタイムパスワードも所有要素に該当します。 最近では、所有要素として注目されているのがスマホで、ユーザーが肌身離さず持ち歩くスマホにSMSなどでパスコードを送信する方法は、所有要素を使った認証手段として今後も普及する可能性が高いです。

所有要素は、物品が盗難された場合には不正利用も容易にされてしまうため、他の要素と組み合わせて使われることが多いです。

3.生体要素

ユーザー固有の身体的な特徴を用いて認証を行う方法です。

例：指紋、静脈、顔、声紋、虹彩など

生体認証は「本人が備えている個別の性質」を利用して認証を行います。代表的な例が指紋や声による認証です。顔認証も例えばiPhoneのFaceIDのようにロック解除に使われるなど実用化が進んでいて、生体認証はなりすましが難しくて、物理的なカードや鍵のように紛失や盗難の心配がないという特徴があります。 

デメリットとしては、顔認証ではマスクをつけた場合には認識が難しくなることがある、また、指紋認証では怪我などの影響で認識が難しくなるなど、本人の状況の変化により認証の精度が変わってしまう点に注意が必要です。

◆二段階認証とは

二段階認証は、認証の段階を2回経て認証しますが、要素の数は問われません。

例えば、ID・パスワードという 知識要素 による認証の後に、「秘密の質問への回答」という同じ知識要素による認証 を行うものがあるすると、これは認証自体は2回行っているんですが、要素としては知識要素のみの1要素になるため、”二段階認証”となります。

◆二要素認証とは

一方で、二要素認証とは(これは多要素認証の一部となりますが)、 「認証の三要素の中から、異なる二つの要素を組み合わせて行う認証」のことを言います。

例えば、ID・パスワードという知識要素による認証 の後に スマホに送信されるパスコードという所有要素での認証 が求められるようになっている場合、これは 知識要素と所有要素の2つの要素を使う認証 ということで”二要素認証”となります。

◆認証強度を高めるために

・推測されにくいパスワードの設定

パスワードの安全性を担保するには、他人が容易に推測できないものという前提が求められます。 誕生日などの個人情報から推測可能だったり、単純な文字列の組み合わせなど判別しやすいものでは高い強度を確保できません。

利用する文字の種類と桁数をそれぞれ増やすことによって、組み合わせのパターンが増加していくため、15桁以上とすることが推奨されていますが、このような複雑なパスワードをサービス毎に覚えておくのはとても難しいですよね。そのため、パスワード管理アプリなどの導入を検討しても良いのではないかと思います。

・ワンタイムパスワードの利用

GoogleなどのWebサービスやSNSなどは、手持ちのスマホを登録しておくことで、ワンタイムパスワードを用いた認証強度を高めるためのサービスを利用できるものが増えてきていて、認証時の負担は多少増えてしまいますが、安全性を確保するためにも利用者側としてもサービス提供者側としても利用するようにすると良いんじゃないでしょうか。

・機器に搭載された新しいテクノロジーの利用

スマホやパソコンでは生体認証を用いることが標準的になりつつあります。 認証で利用する生体情報はスマホやパソコンのデバイス側に保存されるため、紛失・盗難というリスクはありますが、これらを回避できれば情報流出のリスクは低いですし、また、指や顔をかざすだけ、というシンプルな作業で認証できるため、ユーザー側の作業負担も少なくなります。

もちろん、前提としてユーザーが正しくその認証の方法を理解しておく必要があるとは思いますし、正しい知識を前提に、こうした新しいテクノロジーを積極的に利用することも安全性を高めることにつながるのではないかと思います。

・パスキーの利用

パスキー（英語: Passkeys）は、FIDO Allianceが策定したパスワードレス認証技術。パスワードに代えて生体情報を用いる。
引用：Wikipedia(パスキー)

オンラインサービスやアプリ側に登録される"公開鍵"と、スマートフォンやコンピューターなどのデバイス側に保存される"秘密鍵"で認証（指紋認証や顔認証といった生体認証を利用する）を行う仕組みで、認証に用いられていた要素の1つであるパス"ワード"を、公開鍵暗号を利用したパス"キー"に置き換えることで、パスワードとSMSを利用した認証よりも強力なセキュリティを実現しています。 また、パスワードレス認証なので、パスワードリスト型攻撃の被害を受けることもありません。

◆まとめ

セキュリティ対策については日進月歩でこれを行っておけば十分といったことはないので、常日頃から様々なところにアンテナを張って、サービスを提供する側としてもそうですし、利用する側の立場としても色々なことに気をつけながら情報収集してアップデートしていきましょう。