多要素認証(MFA)
多要素認証(MFA)とは
このページでは、ID管理における「多要素認証(MFA)」について解説します。
「多要素認証(MFA:Multi-Factor Authentication)」とは、ハッキングや不正なログインを防ぐために、認証の3要素である「知識情報」「所持情報」「生体情報」のうち異なる2つ以上の認証要素を組み合わせて本人確認を行う認証方法のことです。
一般的に良く使われているIDとパスワード認証は漏洩しやすいという問題があり、不正アクセスやなりすましが簡単にできてしまいます。そのため、よりセキュリティレベルが高い多要素認証を導入する企業や組織が増えています。
知識情報とは
知識情報は、ID、パスワード、秘密の質問、PINコードなど本人だけが知っている情報(Something You Know)のことです。本人だけが知っている情報をシステムに記憶させておき、ログイン時に一致しているかどうか確認します。
シンプルな仕組みで導入コストも低いというメリットがありますが、知識情報を決めるときには他人が想定できないような内容にすることが重要です。
所持情報とは
所持情報は携帯電話番号、ICカード、クレジットカード、キャッシュカード、運転免許証、保険証、ハードウェアトークン、スマホやPC宛てにSMSやメールで通知されるワンタイムパスワードなど、ユーザー本人だけが持っている情報(Something You Have)のことです。ATMの手続き時にパスワードを組み合わせたり、銀行のオンライン口座にログインする時にパスワードと組み合わせたりして使われます。
所持情報は本人が設定するわけではなく、持っているもの自体が情報となるので紛失しないよう厳重に管理する必要があります。
生体情報とは
生体情報は顔、指紋、静脈、声紋、虹彩などユーザー自身の特徴に関する情報(Something You Are)のことです。スマホのロック画面を指紋認証によってロック解除するなど、ログイン時に本人の体の情報を照合することで認証します。導入コストは高めですが、本人情報なので複製や盗難されにくいというメリットがあります。
多要素認証が必要な理由
モバイル機器やクラウドアプリケーションなどの普及によって世の中が進化し続ける現在、新しい認証について考慮する必要性が高まっています。最近では多要素認証(MFA)の導入を検討する企業も増えていますが、その理由にはID・パスワード認証の問題、サイバー攻撃の増加、ワークスタイルの変化があります。
ID・パスワード認証の問題
ハッキング被害の原因の多くがパスワードとされていますが、ハッキングやなりすましなど外部からの様々な攻撃を防ぐためには、これまで一般的に利用されてきたID・パスワードによる認証では限界があります。
パスワードはユーザー自身が決めるため、つい簡単に推測できるパスワードを設定しがちです。さらにパスワードを使いまわす、パソコンにパスワードを書いたメモを貼るという状況も多く、これでは定期的なパスワード変更を促しても外部からの攻撃を防ぐことができません。
一度パスワードが漏れてしまうと、同じパスワードを使いまわしている他のシステムも危険な状態になってしまいます。
サイバー攻撃の増加
インターネットなどを通じてパソコン、サーバ、スマホなどに保存されているデータの改ざん、破壊、盗み見などすることだけでなく、関連会社の社員などによる内部情報漏えいもサイバー攻撃といいます。
サイバー攻撃によって企業の機密情報が盗まれる、個人情報の流出でクレジットカードが不正利用されるなど、サイバー関連犯罪が年々増加し大きな社会問題となってきています。これはID・パスワードの設定にわかりやすく単純な単語などが使われることが多いため、悪意を持つ攻撃者から狙われやすくなっていることが原因にあります。
ワークスタイルの変化
新型コロナウイルス感染症によりテレワークや在宅ワークを活用する企業が増え、ワークスタイルが多様化しています。自宅や屋外から社内ネットワークにアクセスするようになり、社内ネットワーク内だけで利用していた時よりも、さまざまな危険にさらされている状況となっています。そのために新しいワークスタイルに合ったセキュリティ対策が必要となっています。
多要素認証の安全性を高めるポイント
多要素認証(MFA)を導入するにあたり安全性を高めるためのポイントは以下の3つです。
パスワードルールを適切に設定する
わかりやすく安易なパスワードは設定しないというルール設定が必須ですが、あまり厳しいルールにしないことも重要です。パスワードが難しすぎて覚えられずメモを残してしまい、かえって漏えいの危険性を高めることになってしまいます。ルールにはパスワードに使う文字数、文字種と有効期限を設定します。あまり有効期限が短いと頻繁に変更しなければならなくなるので1年程度がよいでしょう。
また分散管理しているシステムの場合、システム毎に異なるパスワードや有効期限が設定されていては覚えることが難しくなり漏えいする可能性が高くなります。システムごとに分散管理するのではなく、まとめて1ヶ所で集中管理することも必要です。
ワンタイムパスワードを追加する
ワンタイムパスワードとは、認証のたびに新しいパスワードが通知される一度しか使えないパスワードのことです。ワンタイムパスワードはSMSに通知される、電話がかかってきて自動音声で通知される、利用している端末以外の端末に通知されるなどの方法で取得することができます。
毎回異なるパスワードが発行されパスワード漏えいの危険が少ないためクレジットカード情報の入力、銀行のオンラインサイトへのログインなど、重要機密情報を扱う場合に利用されています。
端末の紛失防止などを徹底する
生体情報はパソコンやスマートフォンなどの端末に保存されています。そのため、どんなに厳重なパスワード管理を行っていても、盗難や紛失で端末自体をなくしてしまったら漏えいの危機にさらされてしまいます。盗難や紛失を防ぐための運用ルールの整備、セキュリティに関する教育実施などで、従業員それぞれが高いセキュリティ意識を持つことが大切です。
万一、盗難や紛失した場合にリモートからロックして情報漏えいを防ぐような対策をしておくことも必要でしょう。
多要素認証とそのほかの認証方法との違い
二要素認証と多要素認証の違い
知識情報、所持情報、生体情報の3つの認証要素のうち2種類を組み合わせて認証を行う方式を二要素認証(2ファクタ認証)といいます。二要素認証は多要素認証(マルチファクタ認証)の一種です。
多要素認証には二要素認証の組み合わせも三要素以上の組み合わせも含まれますが、三要素以上を組み合わせることは極めて稀であるため、二要素認証と多要素認証は同じものとされている場合が多いです。
二段階認証と多要素認証の違い
二段階認証(2ステップ認証)は本人確認の認証を2段階に分けて行う認証方式のことです。二要素認証では3つの認証要素の中から異なる2種類の要素を組み合わせて認証を行いますが、二段階認証では異なる認証要素を組み合わせる必要はありません。
1回目にID・パスワード(知識情報)でログインし認証に成功したら、2回目の認証で秘密の質問(知識情報)を入力する認証は二段階認証で多要素認証とはなりません。もし、1回目に1回目にID・パスワード(知識情報)、2回目にワンタイムパスワード(所持情報)で認証した場合は二段階認証で多要素認証となります。
【ニーズ別】
ゼロトラスト対応の
ID管理システム3選
「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。
効率化したい
Keyspider
- アカウント管理を自動化できる機能数が当サイト内において最も多いID管理システム※ ※2021年3月調査時点
- DX推進・IT統制を迅速にしたい成長中の中堅企業におすすめ
できるようにしたい
Azure AD
- ガートナー社による評価でリーダーに選出されたID一元管理システム
- とりあえずID管理を導入したい中小・ベンチャー企業におすすめ
一気通貫で強化したい
Okta
- グローバルで14,000社以上の導入実績を持つID管理・統合認証サービス ※2022年1月調査時点
- 複数拠点でアクセス管理を強化したい大手・グローバル企業におすすめ