サイバー攻撃や不正アクセスを防ぐための高いセキュリティシステムとして、多要素認証(MFA)は多くのサービスで利用されています。多要素認証でのセキュリティの向上は、不正ログイン対策としてIPA(独立行政法人情報処理推進機構)でも対策案として情報発信がされています。また、各業界向けのガイドラインでも多く推奨されています。
そこで今回は、多要素認証の仕組みや具体的なサービス例、メリット・デメリット、のほか注意点などを解説します。
多要素認証(MFA)とは?
多要素認証(Multi-Factor Authentication、MFA)とは、ウェブサイトやアプリケーションなどにログインする際に、下記の「知識要素」「所有要素」「生体要素」の3つの認証要素から2つ以上の認証要素を提示することを求める認証方法です。
<多要素認証で使用する認証要素>
- 知識要素:ユーザーが知っている情報(ID、パスワード、暗証番号、セキュリティの質問など)
- 所有要素:ユーザーが持っている情報(スマートフォン、モバイルアプリ、キーカード、USBトークンなど)
- 生体要素:ユーザー自身の身体的特徴に由来する情報(顔、虹彩、指紋、声紋、静脈パターンなど)
生体認証の詳細はこちらの記事をご確認ください。
多要素認証と二段階認証、二要素認証の違い
多要素認証と二段階認証には認証方法に違いがありますが、二要素認証は多要素認証の一部だといえます。
二段階認証とは、多要素認証とは異なり、認証要素については問わずに「回数」を増やすことでセキュリティの強度を高めていく方法です。
二要素認証とは、異なる2つの要素を組み合わせて行う認証方法のことで、多要素認証の一部です。多くの場合、二要素認証のことを多要素認証と呼んでいます。
パスワード認証だけでは十分でなくなった理由
従来のパスワード認証だけではなく、近年は多要素認証などのセキュリティが推奨されるようになりました。その理由は、増え続けるサイバー攻撃にあります。ここからは、パスワード認証だけではセキュリティが不十分な理由を解説します。
パスワードの限界
従来はパスワードの安全性を向上させるために、定期的なパスワードの変更を促してきました。しかし、実際はパスワードだけでは適切なレベルのセキュリティを提供できなくなっています。
理由の1つは、多くのユーザーが「同じパスワードを使い回す」「覚えやすいパスワードにする」などの設定をしているためです。このようなパスワードは、複数のサービスに同じIDやパスワードを組み合わせて連続的にログインしようとする「パスワードリスト攻撃」などによって、容易に突破されてしまう危険性があるのです。
1つのパスワードでいくつものサービスにアクセスが可能
パスワード認証だけでは十分でなくなった理由の1つに、1つのパスワードだけで多くのサービスに簡単にアクセスできるようになったことがあります。例えば、Googleの場合、1つのパスワードだけで下記のサービスへアクセスが可能です。
<1つのパスワードだけで入れるGoogleのサービス例>
- メール:送信したメッセージ、受信したメッセージ、会話した相手のアカウントは、すべてシステムに保存され、パスワードのみで保護される
- カレンダー:誰と会ったか、どこにいたか、何をしたかといった情報は、すべてアカウントにリンクされている
- YouTube:パスワードを使用すると、視聴の履歴、アップロード、および視聴した動画に関する記録が保存される
- そのほかのウェブアプリ:HootsuiteやSalesforceなど、ほかのオンラインリソースに接続するためにGoogleアカウントを使用すると、一つのアカウントに各リソースのデータが紐づくため、データ量は膨大になる。
このように1つのパスワードで膨大な個人情報が得られるため、より高いレベルのセキュリティが必要になったといえるでしょう。
サイバー攻撃の増加
パスワードでは十分でなくなった理由に、サイバー攻撃の増加があります。
2017年、Googleは、毎週25万件近くのウェブログイン情報がハッカーに窃取されていることを認めました。その数は、現在さらに大きなものとなっている可能性があります。実際Oktaが発行している「The State of Secure Identity Report 2023」では、2023年1月1日~6月30日までの調査期間でクレデンシャルスタッフィング攻撃(盗まれたアカウント情報を利用してほかのサービスに不正アクセスを行うこと)が最も多く発生した日には2,700万件以上の攻撃が検出されたとあり、実際に攻撃が多いことが報告されています。さらに、ログインを試みた全体の24.3%がクレデンシャルスタッフィング攻撃であり、このような攻撃は特に小売ECサイト、メディア、ソフトウェア/SaaS/テクノロジー、金融 関連のサービスにおいて多く見られました。
多要素認証の一例
ほとんどの多要素認証システムは、ユーザー名とパスワードを排除しない代わりに、別の認証方法を追加し、不正アクセスを阻止できるようになっています。一般的な多要素認証のプロセスは、以下のとおりです。
<多要素認証のプロセスの一例>
- 登録:ユーザーがスマートフォンなどの所有デバイスで専用アプリを用いて認証システムが生成したQRコードを読み取ることで、所有要素として登録する
- ログイン:ユーザーが多要素認証システムにユーザー名とパスワードを入力する
- 検証:多要素認証システムが検証コードの入力フィールドを表示し、スマートフォンへ 検証コードを送付 する
- 反応:ユーザーがスマートフォンで確認コードを入力 して完了
このように一般的なID/パスワードだけでの認証に比べて、認証のステップが増える傾向にあります。実際導入する際には、利