多要素認証とは? 二段階認証や二要素認証との違いなど
クラウドサービスやWebサービスが普及し、ビジネスの利便性が高くなる一方で懸念されるのが、IDとパスワードの不正利用です。パスワードが盗まれると、不正アクセスや情報漏えいなどのセキュリティリスクは一気に高まります。そこで、近年では、「多要素認証」という認証方式が注目されています。多要素認証とは何か、二段階認証や二要素認証との違いなども含めて、解説します。
多要素認証とは
多要素認証とは、ID・パスワードなどの「知識情報」だけではなく、「所持情報」と「生体情報」を加えた認証の3要素のうち、2つ以上を組み合わせた認証方法のことを指します。
多要素認証は、『IDとパスワードだけを用いた認証には限界があり、セキュリティが十分とはいえない』という危機認識から考え出されました。近年、多くのクラウドサービスやWebサービスで、この多要素認証が採用されています。
認証における3つの要素
上記で述べた認証の3つの要素とはどのようなものなのでしょうか。それぞれ説明します。
知識情報
知識情報とはその人が記憶している情報で、SYK(Something You Know)と略されます。IDやパスワードがその代表例です。また、PINコードや秘密の質問の答えも知識情報です。基本的に本人だけが知っている情報であり、セキュリティ強度は、本人の情報管理面での努力が頼りとなります。
所持情報
所持情報はその人のみが所持しているものから得られる情報です。SYH(Something You Have)と略されます。身分証明書、ICチップ搭載のキャッシュカード、ワンタイムパスワードトークンなどが該当します。物理的な「物」が関わるため、それらが盗まれるか複製されるかもしれないというセキュリティリスクがあります。
生体情報
生体情報はその人の身体的特徴にもとづく情報で、SYA(Something You Are)と略されます。指紋認証、顔認証、網膜認証などが代表例ですが、声紋や静脈を使った認証もあります。知識情報よりも利用者の運用負担は小さく、所持情報よりも盗難・紛失のリスクが小さいのがメリットです。個人によって特徴が異なるので信頼度が高いとされますが、複製が不可能というわけではありません。また、生体情報は成長したり年をとったりすることによって変化する場合があります。
多要素認証の組み合わせ例
多要素認証の組み合わせの例をそれぞれ説明します。従来のID/パスワードに、所持情報や生体情報を組み合わせることが一般的です。
ID/パスワードとワンタイムパスワード
ID/パスワードとワンタイムパスワードの組み合わせは、多要素認証の代表的な例の一つで多くのサービスやシステムで導入されています。ワンタイムパスワードは一度きりの使い捨てパスワードであり、トークンによって管理されているものです。トークンは所持情報に該当するものであり、物理的なトークンとしてはキーホルダータイプやカードタイプ、USBタイプが挙げられます。
その他にも、Google認証システムのようにスマートフォンのアプリを使ってトークンを管理するものも存在します。いずれの場合も、30秒~1分程度でパスワードが変更され続け、ログイン時に一度きりのパスワードを利用する方式です。同じくスマートフォンを利用した認証方式としては、SMS認証が挙げられます。SMS認証は携帯電話番号を使ってメッセージのやり取りをするSMSを用いて、パスコードを入力することで認証を行う方式です。認証の都度パスコードは変更になるため、ワンタイムパスワードとほぼ同じ仕組みです。
ほとんどの人がスマートフォンを支持している現代では、アプリを使ったワンタイムパスワードはほとんど手間もかからず利便性も高いため、セキュリティ強度も高い方式の一つといえるでしょう。
ID/パスワードと電話発信(着信電話認証)
こちらも同じく知識情報と所持情報を組み合わせた多要素認証であり、おもに携帯電話を活用します。電話発信認証を用いる際には、着信電話認証サービスを利用することが一般的です。着信電話認証はユーザーが電話をかけるだけで認証が完了するため、ワンタイムパスワードよりも手軽でわかりやすい認証方式となっています。
SMS認証の場合はメッセージが届かなかったり、ワンタイムパスワードではトークンが手元になかったりと、場合によっては認証に手間がかかる可能性があります。しかし、着信電話認証であれば、常に所持する携帯電話(スマートフォン)だけで認証が行えるため、より利便性の高い認証方式といえます。
ID/パスワードと静脈認証
生体情報を用いる多要素認証のなかで、静脈認証は指紋認証や顔認証と並んで頻繁に利用される方式です。指や手の甲などの静脈を認証装置に記憶しておき、ID/パスワードと併せて静脈情報を突合して認証を行います。
生体情報は個人に直接紐づく情報であり、他の人間がコピーしたり真似したりすることは非常に難しい情報です。近年では、スマートフォンのロック解除に指紋認証や顔認証が利用されるようになっていますが、指紋認証や顔認証は静脈認証に比べるとちょっとした変化で認証が通らなくなることがあります。
静脈認証は生体認証のなかでも比較的安定して正確に認証できるため、業務上の関係者以外立入禁止のエリアの認証や、ATM利用時などの特に高セキュリティが求められる場面で利用されることが多くなっています。
ID/パスワードと組み合わせることで、非常に強力な多要素認証を実現することが可能です。
ID/パスワードと電子証明書認証
電子証明書認証は、認証局(CA)と呼ばれる機関により行われます。認証局(CA)は、SSL証明書などの電子証明書を発行し、その証明書を用いて通信相手が正当であることを証明します。電子証明書認証は、多要素認証の中でも唯一通信段階で認証できる認証方式です。フィッシング耐性のある多要素認証の方式として、近年導入されるケースが多くなっています。
多要素認証が注目される背景
多要素認証が注目され、利用されるようになってきた背景には、これまで一般的だったパスワード認証では、求めるセキュリティ強度に達せなくなったという背景があります。
パスワード認証は長い間使われ続けてきたため、悪意ある者によるパスワードの詐取の方法も巧妙化しています。よく知られている方法としては、あらゆる文字列の組み合わせを総当りして試してパスワードを探り出すブルートフォース攻撃、よく使われる文字列をリストアップして試す辞書攻撃、デバイスのキー入力を監視するマルウェアを仕込んでパスワードを盗み出すキーロガー攻撃などが挙げられます。
また、パスワードは覚えられる数に限りがあります。パスワードを求められるサービスが数多く存在している現在、何十というサービスにログインするためにそれぞれ別のパスワードを設定し、それらをすべて記憶しているという人はそう多くないはずです。そのためIDとパスワードをノートに書き留めたり、パソコンやスマートフォンのメモアプリに保存したりしている人もいます。あるいは、どうしても覚えやすいパスワードを設定しがちです。同じパスワードの使い回しも起こります。これらは結果的に、セキュリティリスクの増大につながります。
IDとパスワードがいったん流出してしまうと、その情報がたちまち拡散されてしまうという問題も無視できません。過去にハッキングされたIDとパスワードは、ダークウェブと呼ばれる匿名性の高いWebサイトで公開され、その数は数十億件規模にものぼると言われています。
いずれにしろ、パスワード認証はセキュリティ強度の高い認証方法とはいえなくなっています。パスワードを使い続けるとしても、それ以外の認証方法と組み合わせてセキュリティを強化し、突破しづらいものにする必要があるという事です。
また、現在ではスマートフォンの普及により、(パスワード以外の)高度な認証を身近に感じるようになってきました。スマートフォンには指紋認証や顔認証などの生体情報を用いる認証機能が備わっています。スマートフォンアプリを利用することで、多要素認証を経験したユーザーが増えた結果、「未知な認証方式」としての抵抗感が薄らいできているのです。
多要素認証の活用シーン
多要素認証は不正アクセスやなりすましを防ぐために重要であり、セキュリティの強化に欠かせない技術です。そのため、社内システムへのログインやクラウド利用、ネットバンキング利用など、あらゆるシーンで活用されています。
多要素認証では、従来のID/パスワードによる認証に加えて、その他の要素による認証を実現しています。仮にID/パスワードが知られてしまったとしても、スマートフォンやワンタイムパスワードのトークン、生体情報などによる認証は突破できません。これらの要素がID/パスワードと同時にコピーされたり盗まれたりするリスクは低いでしょう。
業務で活用する社内システムやクラウドサービスの利用時だけでなく、近年ではゲームのアカウントであっても多要素認証を採用しているケースが多くなっています。ネットバンキングなど、私生活に直結するサービスにおいても同様であり、業務時だけでなくプライベートであっても他要素認証の活用シーンが増えてきました。
インターネットが普及し、インターネットを使って様々なサービスやシステムを利用するようになったいま、従来以上に本人認証の重要性は増しています。業務・プライベートを問わず、セキュリティを強化することが必須とされており、多要素認証はそのための手段として利用されています。
多要素認証と「二要素認証」「二段階認証」の違い
多要素認証と似た言葉に二要素認証と二段階認証があります。それぞれの概要と、多要素認証との違いについて見てみましょう。
二要素認証
二要素認証は、認証のための3要素の中から2つの要素を組み合わせて行う認証のことです。すなわち、多要素認証の一種といえます。
最近のサービスで採用されることが多いのは、パスワードと所持情報、もしくは生体情報を組み合わせるケースです。
二段階認証
二段階認証は、2つの段階を経て行う認証のことです。2つの段階の組み合わせは異なる要素であるとは限りません。例えば、ID・パスワードを入力したあとに「秘密の質問」の答えの入力を求められるケースなどが該当します。しかし、この場合、ID・パスワードと秘密の質問の答えはいずれも知識情報です。そのため、多要素認証とは呼べません。2つの段階を経ていることにはなるため、(単一要素による)二段階認証となります。
その一方、ID・パスワードを入力したあとにワンタイムパスワードを求められる場合は、知識情報と所持情報を組み合わせることになるため、二段階認証であり、かつ、多要素認証・二要素認証でもあるということになります。
多要素認証の利用における注意点
多要素認証はセキュリティを高めることができる手段ですが、いくつか注意すべき点も存在します。例えば、ワンタイムパスワードを表示するためのトークンや、スマートフォンの紛失・盗難によってログインができなくなることが考えられるでしょう。特にスマートフォンを使った多要素認証は多く、スマートフォンの紛失・盗難には注意が必要です。
その他にも、メールを使った多要素認証の場合は、メールを盗み見られる可能性やアカウントが乗っ取られることで多要素認証が使えなくなることも考えられます。確かに多要素認証はセキュリティを高めるための手段として有効ですが、絶対に安心というわけではありませんまた、近年では、フィッシング攻撃によりワンタイムパスワードなどを突破するサイバー攻撃も発生しています。
多要素認証を利用する際は、自社の環境やリスクを考慮し、慎重に認証方式を選択する事が重要です。
ID/パスワードだけのセキュリティは見直しを!
いまやID/パスワードだけの認証では、セキュリティ対策が十分にできているとはいえません。クラウドサービスの普及により、個人で管理すべきID/パスワードの数は膨大になり、パスワード管理の煩雑さによってセキュリティが弱まっている可能性があります。
例えば、パスワードが覚えられないからといって安易なものを設定したり、紙や付箋に記載して他人の目につくところにおいていたりと、本来パスワードが持つ安全性を失っているかもしれません。加えて、パスワードは定期的に変更することが推奨されますが、管理すべきパスワードが多すぎて対応できていない場合も少なくないでしょう。このような問題だけでなく、サイバー攻撃による外的要因の存在も考えられるためID/パスワードだけで認証を行なうことは安全とは言えない時代となっています。
業務・プライベートを問わず、インターネットを使った様々なサービスに私たちは重要な情報を保存するようになりました。ひとたび情報の流出や漏洩が発生してしまうと、自分自身だけでなく周りにも迷惑がかかる可能性があります。多要素認証を実現するためのソリューションは数多く存在しており、実現は難しいものではありません。セキュリティを高めるためにも多要素認証の導入は必須といえるでしょう。
IDとパスワードの流出・漏えいが社会問題化している中、多要素認証は今後ますます一般的な認証方法として普及していくと考えられます。セキュリティ強化のために、多要素認証を取り入れてみませんか?
Pickup ピックアップ
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...
-
インタビュー
新たな脅威への対応まで『任せられる』。「Prisma SASE」で、組織のセキュリティ対策をシンプルに強化|パロアルトネットワ...