多要素認証（MFA）とは？MFAの必要性とメリット| Okta

多要素認証（MFA）とはMulti-Factor Authenticationの略です。ユーザーの身元証明に2つ以上の認証要素を提示することを求めるIT認証の手法です。サイバーセキュリティ対策に有効だと言われるMFAを、具体的な事例を交えて解説します。

MFAがなぜ必要なのか？

サイバー犯罪者は、150億を超える窃取された資格情報を利用していると言われています。資格情報を使用することで、犯罪者は銀行口座、医療記録、企業機密などを乗っ取ることもできる可能性があります。

→アカウント乗っ取りをどのように防止するか？

「多要素」の名前が示すとおり、MFAは少なくとも2つの個別の要素を組み合わせて使用します。

多要素認証の重要性と最適な選び方

ユーザーが知っていること（知識要素）：1つ目の要素は、一般的にはユーザー名とパスワードです。セキュリティの質問もこれに該当します。
ユーザーが持っているもの（所有要素）：モバイルアプリ、キーカード、USBトークンなどは、いずれもユーザーの身元を確認するものとなります。
ユーザーが有している特徴、ユーザー自身であるもの（生体要素）：指紋や虹彩などの生体データは、ユーザーが本人の主張どおりの人物であることを証明します。

なぜパスワードだけではダメなのか？パスワードの限界

誰もが、メールシステム、業務用データベース、銀行口座などへのアクセスにパスワードを使用しています。通常は、安全性を若干向上するために、パスワードを定期的に変更させられます。しかし、実際のところ、パスワードだけでは適切なレベルのセキュリティを提供できなくなっています。

たとえば、Googleの場合、1つのパスワードだけで以下にアクセスできます。

メール：送信したメッセージ、受信したメッセージ、会話した相手のアカウントは、すべてシステムに保存され、パスワードのみで保護されます。
カレンダー：誰と会ったか、どこにいたか、何をしたかといった情報は、すべてパスワードにリンクされています。
YouTube：パスワードを使用すると、視聴の履歴、アップロード、および視聴した動画に関する記録が保存されます。
その他のWebアプリ：HootsuiteやSalesforceなど、他のオンラインリソースに接続するためにGoogleアカウントを使用すると、パスワードから大量のデータが明らかになる可能性があります。

2017年、Googleは、毎週25万件近くのWebログイン情報がハッカーに窃取されていることを認めました。その数は、現在さらに大きなものとなっている可能性があります。そして、それぞれのインシデントは非常に危険です。

データ侵害に関しては、往々にして銀行口座や金銭的損害に目が向けられます。近年では、医療業界もハッカーにとって一般的なターゲットとなっています。不正アクセスにより、医療記録を改ざんして詐欺組織に請求し、利益を得ることができます。改ざんされた記録を変更することは非常に困難です。そして、その後の医療や信用に影響を与える可能性があります。

企業は、このようなリスクを認識して対処しています。55%以上の企業がMFAを使用してセキュリティを保護しており、その数は毎年増加しています。最新のOkta調査では、Okta管理者の約90%、Oktaの一般ユーザー約64%がMFAを使用してサインインしています。この手法をまだ検討していないのであれば、今すぐに着手する必要があります。

多要素認証（MFA）の仕組み

ほとんどのMFAシステムは、ユーザー名とパスワードを排除しません。代わりに、別の検証方法を追加し、適切なユーザーがアクセスでき、不正アクセスが阻止されるようにします。

一般的なMFAプロセスは、以下のとおりです。

登録：ユーザーが携帯電話やキーフォブなどのアイテムをシステムにリンクし、それを自分のものであると主張します。
ログイン：ユーザーがセキュアなシステムにユーザー名とパスワードを入力します。
検証：システムが登録済みアイテムに接続します。検証コードによる電話での確認やキーフォブの点灯などがあります。
反応：ユーザーが検証済みアイテムによりプロセスを完了します。一般的な次のステップとして、確認コードを入力したり、キーフォブのボタンを押したりします。

一部のシステムでは、この検証がログインごとに必要ですが、デバイスを記憶する認証システムもあります。その場合、常に同じ電話やコンピュータを使用してログインする限りは、アクセスのたびに検証する必要がありません。一方で、新しいコンピュータを使用する場合や、時間帯が普通ではない場合には、検証が必要になることがあります。

MFAの仕組み自体は単純なものに見えるかもしれませんが、非常に効果的です。たとえば、Microsoftは、数年前までMFAによってアカウントのハッキングの100%近くをブロックできると述べていました。この小さな多要素認証のステップを導入することで、セキュリティを大幅に強化できます。

よりセキュリティ強度の高いMFAを選択する必要性

脆弱なパスワードに対する攻撃が一般的になり、それを防ぐためのMFA利用が増える中で、多要素認証疲労攻撃（別名：MFAプロンプトスパム/MFA爆弾）攻撃や、中間者攻撃フィッシングと言われるような、MFAをも突破する攻撃が見られるようになりました。

特に中間者攻撃者は、はじめにフィッシングメールを送付し、セッション情報を盗む目的で構築されたサイトに誘導します。ユーザーがそれに気づかずに認証情報を入力し、SMSやモバイルアプリのプッシュ通知、OTP（ワンタイムパスワード）で2つ目の認証要素を許可すると、そのセッション情報が攻撃者に窃取され、標的としたユーザのアプリケーションへアクセスされてしまいます。認証済みのセッション情報を盗むという手法であるため、ユーザがMFAを利用していたとしてもMFAで保護されているリソースへアクセスできてしまいます。

ワンタイムパスワードの図

これを回避するには、フィッシング攻撃に強いMFAの仕組みの採用が重要です。

MFAのメリット

セキュリティと規制をめぐる今日の状況を反映して、非常に多くの組織がMFAを採用しています。

GDPRやNISTなどのコンプライアンス標準で高度なセキュリティポリシーが求められていることを受け、MFAの導入は今後もさらに拡大していくと見られます。使いやすさと保護のレベルを考えると、従業員にもITチームにもメリットしかありません。

MFAの普及を後押ししている要因は何でしょうか。今日の企業でMFAが広く導入されているメリットはいくつかあります。

MFAにより強力な認証を実現

組織にとってはリスク低減が重要課題であることから、MFAは飛躍的に増加しています。クレデンシャルハーベスティングが絶え間ない脅威となり、ハッキング関連の侵害の80%以上がパスワードの窃取や脆弱なパスワード使用によって引き起こされている現状では、この種の強力な認証ソリューションが不可欠です。

MFAは、重み付けされた複数の要素に基づいてアクセスを付与して、パスワードが侵害されるリスクを軽減します。これにより、痛手が大きく莫大なコストを発生させかねない、あらゆる種類の攻撃からの保護レイヤーが追加されます。

ユーザーのパスワードが脆弱であるために発生するセキュリティ侵害は、企業にも、企業を信頼する顧客にも、大きな影響を及ぼす可能性があります。

MFAは変化する職場環境にも柔軟に適応できる

職場が変化し、オフィスの外で働く従業員が増えるにつれて、企業はアクセス要求の複雑化に対処するため、より高度なMFAソリューションを必要としています。そこで効果的な解決策となるのが、アダプティブMFAの導入です。

多要素認証は複数の保護レイヤーを提供しますが、アダプティブ多要素認証は、ユーザーがツールや情報へのアクセスを要求するたびに、ユーザーのデバイスや場所などの詳細を調べてコンテキストを考慮し、ユーザーのアクセスに伴うリスクを評価します。

たとえば、ある従業員が社内からログインするときには、信頼できる場所にいることから、追加のセキュリティ要素の入力を求められない場合があります。しかし、コーヒーショップからログインする、私用の携帯電話を使用して業務メールを確認する、セキュリティで保護されていないWiFiネットワーク経由で接続するといった状況では、同じ従業員であっても信頼できない場所/デバイス/接続を使用しているため、追加の要素による検証を求められることがあります。

アダプティブMFAによって、動的なポリシー変更とステップアップ認証も可能になり、重要データの保護において強力な制御が可能になります。たとえば、Salesforceの顧客データなどの機密度が非常に高い情報にアクセスする前には、確認を強化するために第2要素を（場合によっては第3要素も）要求されることがあります。