Skip to main content
The Language of Cybersecurity

多要素認証 (MFA) とは何ですか?またどのように機能しますか?

多要素認証 (MFA) とは、その名前が示すとおり、アプリケーション、ウェブサイト、またはその他のリソースへのアクセスを要求しているユーザーのアイデンティティ確認のため、複数の要素を使うことです。多要素認証とはたとえば、アクセスのためにパスワードを入力し、パスワードとワンタイム・パスワード (OTP) を入力するか、またはパスワードとセキュリティ質問への回答を入力するかの違いです。

複数の方法で本人確認を要求することで、多要素認証は本人であると主張する人が本人であることをより確実にして、機密データへの不正アクセスリスクを軽減します。結局のところ、盗まれたパスワードを入力してアクセスできるようにするのは1つの方法です。盗まれたパスワードを入力してから、正規ユーザーのスマートフォンにテキストで送信されたOTPを入力する必要があるというのは、まったく別の話となります。

2つ以上の要素の任意の組み合わせは、多要素認証と見なされます。2つの要素のみを使用することも、二要素認証と呼ばれます。

多要素認証: 仕組み

Multi-factor authentication

多要素認証方式の3カテゴリー

多要素認証方式は、通常、次の3つの方法のいずれかに分類されます。

  1. あなたが知っているもの ― PIN、パスワード、またはセキュリティ質問への回答
  2. あなたが所有しているもの ― OTP、トークン、信頼されたデバイス、スマートカード、または社員証
  3. あなたであるもの ― あなたの顔、指紋、網膜スキャン、その他生体認証

多要素認証方式の例

パスワードに加えて、次のいずれかの方法を使えば、多要素認証を実現できます。

生体認証 ― 指紋、顔の特徴、目の網膜や虹彩などの生体情報を認識するデバイスまたはアプリケーションに依存する認証形式

プッシュ・トゥ・アプルーブ ― デバイス画面をタップしてアクセス要求の承認をユーザに求めるデバイス上の通知

ワンタイムパスワード (OTP) ― 1つのログインセッションまたはトランザクションでのみユーザを認証する自動的に生成された文字のセット

SMSテキスト ― ユーザーのスマートフォンまたはその他のデバイスにOTPを配信する方法

ハードウェア・トークンまたはハード・トークン ― キーフォブとも呼ばれる小型でポータブルなOTP生成デバイス

ソフトウェアトークンまたはソフト・トークン ― 物理的なトークンとしてではなく、スマートフォンまたはその他のデバイス上のソフトウェア・アプリケーションとして存在するトークン

多要素認証の利点

  • セキュリティの向上: 多要素認証によりセキュリティが向上します。結局のところ、パスワードのようなアクセス・ポイントを保護するメカニズムが1つしかない場合、悪意を持つ人が侵入したいと思えば、そのパスワードの推測や盗んだりする方法を見つけるだけで済むのです。しかし、もし侵入に第2の (あるいは第2、第3の) 認証要素が必要な場合、特にバイオメトリクス機能のように推測や盗用が難しいものが必要な場合には、侵入の難易度がはるかに上がります。
  • デジタル・イニシアチブの実現: 今日、リモート・ワークフォースの導入に熱心な組織が増え、店舗ではなくオンライン・ショッピングを選択する消費者が増え、アプリケーションやその他のリソースをクラウドに移行する組織が増えていることから、多要素認証は強力な手段となっています。デジタル時代において、組織や電子商取引のリソースを保護することは困難であり、多要素認証は、オンラインでのやり取りや取引の安全性を維持するために非常に重要になる可能性があります。

多要素認証には欠点がありますか?

より安全なアクセス環境を構築するプロセスでは、利便性の低い環境の構築が可能であり、それが欠点となる場合があります。(特にネットワークや、ネットワーク上で実行されているアプリケーションやサービスなど、すべてを潜在的な脅威として扱うゼロ・トラストは、セキュアなアクセス基盤としての勢いを増しています。)ログオンやリソースへのアクセスに伴う複数の障害に対処するために毎日余計な時間を費やしたいと考える従業員はいませんし、買い物や銀行取引を急いですませようとする消費者も、複数の認証要件に対応したいとは思いません。重要なのは、セキュリティと利便性のバランスを取ることで、アクセスが安全になるようにすることですが、アクセスの要件は、それを合法的に必要としている人々に過度の不便をもたらすほど煩わしいものではありません。

多要素認証におけるリスクベース認証の役割

セキュリティの実現と利便性の確保を両立させる1つの方法は、危険にさらされている部分 (つまり、アクセス要求に関連するリスク) に基づいて、認証要件を強化または緩和することです。これがリスクベース認証です。リスクは、何がアクセスされているか、誰がアクセスを要求しているか、またはその両方にあります。

  • アクセス対象によって生じるリスク: たとえば、誰かが銀行口座へのデジタルアクセスを要求した場合、それは資金振替を開始するためなのか、それともすでに開始されている振替のステータスを確認するためなのか?あるいは、誰かがオンラインショッピングサイトやアプリにアクセスした場合、それは何かを注文するためなのか、それとも既存の注文の配送状況を確認するためなのか?後者の場合はユーザー名とパスワードで十分ですが、リスクの高い資産が存在する場合は、多要素認証が有効です。
  • 誰がアクセスを要求するかによるリスク: リモートの従業員や請負業者が、毎日同じ都市から同じノートパソコンを使用して企業ネットワークへのアクセスを要求する場合、その人物ではないと疑う理由はほとんどありません。しかし、ある朝突然、ミネアポリスのメアリーからの依頼がモスクワから来たらどうでしょうか?潜在的なリスク (本当に彼女なのか?) は、追加認証の要求を正当化します。

多要素認証の将来: AI、機械学習、その他

多要素認証は、組織にとってより安全で、ユーザーにとって不便でないアクセスを提供するため継続的に進化しています。生体認証はこのアイデアの良い例です。指紋や顔を盗むのは簡単ではないので安全性も高く、パスワードのような何かを覚えたり、その他の大きな努力をする必要もないので便利です。今日の多要素認証を形作る進歩の一部を以下に示します。

  • 人工知能 (AI) と機械学習 (ML) ― AIと機械学習は、特定のアクセスリクエストが「正常」であり、追加の認証 (あるいは逆にそれを正当化するような異常な行動を認識するため) を必要としないかどうかを示す動作の認識に使われます。
  • 素早いオンライン認証 (FIDO) ― FIDO認証は、FIDO Allianceの一連のフリーでオープンな標準に基づいています。これにより、パスワードによるログインを、ウェブサイトやアプリを横断した安全で高速なログイン体験に置き換えることが可能になります。
  • パスワードレス認証 ― パスワードを主要な本人確認方法として使用し、他の非パスワード方式で補完するのではなく、認証形式としてのパスワードを排除します。

多要素認証は今後も変化し、改善されていきます。それは、信頼性が高く、複雑な手順を踏むことなく、本人であることを証明する方法を模索するためです。