多要素認証とは

多要素認証（MFA：Multi-Factor Authentication）とは、2つ以上の要素の認証を組み合わせてセキュリティを強固にする認証方式です。

ここでは、以下のことを説明します。

• 3つの認証要素
• 二段階認証・二要素認証との違い

それぞれ、詳しく見てみましょう。

（１）3つの認証要素

多要素認証で組み合わせる認証要素には、3種類あります。

これらの認証要素を組み合わせることで、パスワードのみの認証よりセキュリティを向上させることができます。

（２）二段階認証・二要素認証との違い

多要素認証と同じように認証を組み合わせてセキュリティを強化する方法として、二段階認証と二要素認証があります。

①二段階認証：同じ要素を2つ組み合わせて認証します。

例）パスワードを入力した後に事前に設定しておいた秘密の質問に答える（2つの知識要素を利用した認証）

②二要素認証：違う要素の認証を2つ組み合わせて認証します。

例）パスワードを入力したあとにスマートフォンにSMSコードが送信され、送信されたコードを入力して認証する（知識要素と所持要素の2つの要素を利用した認証）

二段階認証・二要素認証は、多要素認証と同じように違う認証方法を組み合わせることで認証強度をあげますが、要素情報の組み合わせと認証数が違います。

多要素認証は、違う要素の認証を2つ以上組み合わせて認証する方式です。

多要素認証が必要とされる背景

多要素認証は、総務省から発行された「テレワークセキュリティガイドライン」でも推奨されており、現在注目されている認証方式です。

その背景には、以下のようなものがあります。

• パスワードのみでの認証のセキュリティリスク
• クラウドサービスの利用増加
• リモートワークでのセキュリティの課題
• 多要素認証でのセキュリティ強化の重要性

それぞれ、詳しく説明します。

（１）パスワードのみでの認証のセキュリティリスク

現在、サービスへの認証方式にはIDとパスワードが用いられることが主流です。

しかし、パスワードのみでの認証にはパスワードが漏洩することによる不正ログインや情報漏洩のリスクが伴います。

パスワードが他者の手に渡ってしまう原因には以下のようなサイバー攻撃があります。

①ブルートフォース攻撃

「総当たり攻撃」で、考えられる全てのパスワードパターンを試す攻撃手法です。

②盗聴

ネットワークでやりとりされるデータを不正に取得します。

③パスワードリスト攻撃

不正にログイン情報のリストを入手し、その情報によりさまざまなWebサービスへのログインを試みます。「使い回し」による被害が多い攻撃手法です。

パスワードのみの認証による情報漏洩は後を絶ちません。

大手のアパレルメーカーでも、2019年にパスワードリスト攻撃による不正アクセス事件が発生しました。

約46万件のアカウントの、クレジットカード情報の一部を含む個人情報が流出しています。

このように、パスワードのみの認証ではサイバー攻撃に対応できなくなっていることが現状です。

（２）クラウドサービスの利用増加

クラウドサービスの利用が増加し、パスワードの管理ができていない現状もあります。

トレンドマイクロ株式会社が2020年にWebサービスの利用者を対象に行ったアンケートでは、85.7％のWebサービスの利用者が複数のWebサービスでパスワードを使い回しているという結果もあります。

引用：－パスワードの利用実態調査 2020－新型コロナウイルス拡大前後で約2割がネット上で機微情報の取り扱いが増加

クラウドサービスの利用数が増えるごとに、1つ1つのパスワードを管理しなければいけないため、パスワードの「使い回し」が増えるのです。

パスワードの使い回しが増えると、1つのサービスで流出したパスワード情報を元に他のサービスへログインを試みる不正ログインの対象になります。

最悪の場合は、アカウントをハッキングされ重要な個人情報を抜き取られる恐れもあります。

（３）リモートワークでのセキュリティの課題

近年増加しているリモートワークでのセキュリティ面での課題もあります。

新型コロナウイルスの影響で働き方が変化したことで、さまざまな場所から社内システム・クラウドサービスへアクセスするようになりました。

ここで課題となるのが、ネットワークのセキュリティ問題です。

場所を選ばず業務できることから、自宅のネットワークの利用やカフェや大型施設での公衆無線wifiの利用が増えるでしょう。

公衆無線wifiは通信が暗号化されていないことから、ネットワークが盗聴されてパスワードが漏洩するリスクがあります。

特に、VPNのパスワードが漏洩すると会社のネットワークに進入されて顧客情報や個人情報の漏洩になりかねません。

（４）多要素認証でのセキュリティ強化の重要性

多要素認証は、このようにサイバー攻撃のリスクや、クラウドサービスの利用、リモートワークの増加という背景の中、セキュリティ強化の方法として注目されるようになりました。

多要素認証を導入することで、パスワード認証のみのセキュリティの弱さを克服することができます。

万が一、パスワードが漏洩しても、所持品や生体情報など本人が所持しているもので認証するためサイバー攻撃による情報漏洩のリスクを軽減できるでしょう。

多要素認証のメリット

多要素認証は以下のようなメリットがあります。

• セキュリティの向上
• ユーザーの利便性の向上

それぞれ詳しく説明します。

（１）セキュリティの向上

多要素認証は、上記で説明したようにセキュリティが向上することが一番のメリットです。

多要素認証が有効なのは、知識要素であるパスワード以外にも、所持要素や生体要素を用いて認証するため、盗む、コピーするといったことが難しいからです。

特に、所持要素であるスマートフォンはSMS認証やワンタイムパスワードなどで頻繁に利用されます。

スマートフォンはICカードやハードウェアトークンのように認証のために持ち歩く必要がないため、手間なくセキュリティを強化できます。

（２）ユーザーの利便性の向上

多要素認証は、ユーザーのパスワード管理の手間を減らして利便性を向上させます。

安全なパスワードを設定するには、使い回しを避け、同じ文字の繰り返しを避けたり、一定以上の長さの推測されにくいパスワードにする必要があります。

サービスが多くなるにつれて、パスワードの管理も大変になるでしょう。

多要素認証を導入すると、覚えにくい長文のパスワードを管理する煩雑さを防げるのです。

また、スマートフォンと生体情報を使うなど、パスワードを必要としない認証もできるため、利便性が向上に期待できます。

多要素認証のデメリット

メリットとは反対に、多要素認証には、認証に手間がかかるというデメリットもあります。

これまで1つだった認証が2つ以上に増え、面倒と感じるユーザーもいることでしょう。

また、認証方法によってはICカードなど認証に必要なものを持ち歩く必要があり、利便性を低下させる可能性もあります。

なるべく利用者の負担を増やさないようにすることが重要です。

多要素認証の認証方式

ここでは、多要素認証の代表的な認証方式について紹介します。

• 知識要素
• 所持要素
• 生体要素

それぞれ、詳しく説明します。

（１）知識要素

知識要素は、本人が持っている情報で認証するため導入コストが安価なことが特徴です。

①パスワード

現在主流となっているものがパスワード認証です。

セキュリティを高めるためには、個人名や誕生日などの個人情報は避ける、ランダムな文字列にするなどの工夫が必要です。

②PINコード

本人が設定するPINコードも知識要素です。

スマートフォンで、盗難や紛失の際のロック解除のための認証方法としてよく利用されます。

③秘密の質問

秘密の質問は、事前に設定した質問の回答を入力することです。

多くが、何個か質問と質問に対する答えを登録しておき、ランダムで質問が表示される方式です。

（２）所持要素

所持要素は、認証に使うものを所持する必要があるため所有物の管理が必要になります。

①ワンタイムパスワード

ワンタイムパスワードとは、認証時に1度しか使用できないパスワードを発行してそれを入力することで認証することです。

専用の機器で発行する「ハードウェアトークン」や、スマートフォンアプリで発行する「ソフトウェアトークン」、スマートフォンのSMSにワンタイムパスワードを送信する「SMS認証」などがあります。

Webサービスでは、「Authy」「Google Authenticator」などのパスワード発行アプリがよく使用されます。

②ICカード認証

セキュリティカードや社員証など、ICカードで認証する方法です。

カードリーダーが必要な場合もあり、所持品の管理が大変になる可能性があります。

（３）生体要素

生体要素は、指紋や静脈、虹彩や声紋があります。

パスワードを記憶しておく必要もなく、認証のために何かを所持する必要もないため利便性に優れます。

一方、誤認される、認証データが盗まれるといった可能性もゼロではありません。

また、導入するには生体情報を認識する端末を揃える必要がありコストがかかることもデメリットでしょう。

多要素認証を導入するポイント3つ

多要素認証を導入するときは、メリットデメリットのバランスに気をつける必要があります。

導入するためのポイントは3つあります。

• 自社に最適な認証方式を選択する
• シングルサインオンでクラウドサービス利用時の利便性が向上
• 所有するものが必要な場合は管理に注意する

それぞれ、詳しく説明します。

（１）自社に最適な認証方式を選択する

多要素認証を導入する時には、自社の社員や利用者に最適な認証方式を選択しましょう。

上で説明したように、所持要素の場合は利用者がカードや機器を持ち歩いたり管理したりする必要があるため手間がかかります。また、カードリーダーを揃えるコストもかかります。

生体要素の場合は専用システムの導入コストもかかるでしょう。利用者の利便性やコストを考え、適切な認証方式を選びましょう。

（２）シングルサインオン（SSO）でクラウドサービス利用時の利便性が向上

多要素認証を導入する時は、シングルサインオンができるソリューションを選ぶことでクラウドサービス利用時の利便性が向上します。

シングルサインオン（SSO）とは、1つのアカウント情報で複数のシステムやサービスにログインできる仕組みです。

シングルサインオンの認証時に多要素認証を利用すれば、安心して複数のクラウドサービスを利用できます。

（３）所有するものが必要な場合は管理に注意する

所持要素を利用した認証形式の場合は、認証に必要になるパソコンやカード・機器の管理に注意する必要があります。

紛失や盗難にあった場合、再発行や再設定が必要になるからです。

特にパソコンやスマートフォンなど、生体要素の認証情報が登録された機器を紛失した場合は注意が必要です。

端末自体のロックを強固にしておくなど、紛失や盗難の時の対策をしておく必要があるでしょう。

まとめ

多要素認証について、必要とされる背景・メリットとデメリット・認証方式・導入する時のポイントを説明しました。

多要素認証を導入すると、どの場所からでも安全にサービスを利用できるためリモートワークに有効です。

現在は、Office365やEvernote、Dropboxなどクラウドサービスのほとんどが多要素認証や二段階認証を無料で設定できます。

クラウドサービスの設定をしつつ、自社システムの入り口であるVPNに多要素認証を導入し、シングルサインオンに移行するなど段階的に利用しても良いでしょう。

メタップスクラウドでは、シングルサインオンに対応したSaaS一元管理ツールを提供しています。

SaaSアクセスの多要素認証やIP制限など、リモートワークでのセキュリティにも対応しています。

リモートワークでのSaaSのセキュリティにお悩みの方は、お気軽にご相談ください。