多要素認証(MFA)について調べたことのまとめ

Cyber Security セキュリティ

はじめに

多要素認証について調べる機会があったので、忘れないようにメモしておきます。

近年、サイバー攻撃の手口はますます巧妙化しており、企業や個人のアカウントが狙われるケースが増えています。特に、パスワードだけに依存した認証では、情報漏洩やフィッシング詐欺などのリスクが高まります。

そこで注目されているのが「多要素認証(MFA: Multi-Factor Authentication)」となります。MFAを導入することで、アカウントのセキュリティを強化し、不正アクセスのリスクを大幅に軽減できます。

多要素認証について

多要素認証(MFA)とは

多要素認証(MFA)とは、「知識情報」「所有情報」「生体情報」 のうち、少なくとも2つ以上を組み合わせてユーザーを認証する仕組みです。
例えば、パスワード(知識情報)とワンタイムパスワード(所有情報)を併用することで、パスワードが漏洩しても不正アクセスを防げます。

多要素認証の種類

多要素認証(MFA)は、以下の3つのカテゴリのうち2つ以上の要素を組み合わせて認証を強化します。

  1. 知識情報(Something You Know) – ユーザーが知っている情報
    • パスワード
    • PINコード
    • セキュリティ質問の回答
  2. 所有情報(Something You Have)– ユーザーが持っているデバイスや物理トークン
    • ワンタイムパスワード(OTP)
    • スマートフォンの認証アプリ(Google Authenticatorなど)
    • ハードウェアトークン(YubiKeyなど)
    • SMSやメールで送信されるコード
  3. 生体情報(Something You Are)– ユーザー自身の生体情報
    • 指紋認証
    • 顔認証
    • 虹彩認証

多要素認証の導入メリット

MFAを導入することで、以下のようなセキュリティ向上が期待できます。

  • 不正アクセスの防止
    パスワード単体よりも強力な認証手段となるため、アカウントの乗っ取りを防ぎやすくなります。
  • パスワード漏洩のリスク軽減
    パスワードが流出しても、追加の認証要素があるため、不正ログインを防ぐことができます。
  • コンプライアンス対応
    企業や政府機関が求めるセキュリティ基準(ISO 27001、NISTなど)に準拠しやすくなります。

多要素認証導入時の課題

MFA導入には以下のような課題もあります。

  • 利便性の低下
    毎回認証コードを入力する手間が増えるため、ユーザーの負担が大きくなる可能性があります。
  • リカバリーの問題
    スマホ紛失時などに復旧手段を用意していないと、管理者の対応が必要になります。
  • 運用コストの増加
    導入・運用にはコストがかかるため、企業は費用対効果を考慮する必要があります。

多要素認証(MFA)の認証要素一覧

認証要素認証カテゴリ説明安全度 (5段階)備考
パスワード知識要素ユーザーが設定するパスワード★☆☆☆☆単体では危険。使い回しや漏洩のリスクが高い。
PINコード(Windows Hello など)知識要素デバイスごとに設定する短いコード★★☆☆☆デバイス依存のため安全度はやや向上するが、短いとリスクあり。
ワンタイムパスワード(OTP: SMS)所持要素携帯番号に送られる6桁のコード★★☆☆☆フィッシングやSIMスワップ攻撃のリスクがあるため推奨度は低め。
ワンタイムパスワード(OTP: Email)所持要素メールに送られる6桁のコード★★☆☆☆メールアカウントが乗っ取られると危険。リスクが高い。
ワンタイムパスワード(OTP: 音声通話)所持要素電話で読み上げられるコードを入力★★☆☆☆SMS同様、フィッシングや電話の盗聴リスクあり。
ワンタイムパスワード(OTP: 認証アプリ)所持要素Microsoft Authenticator, Google Authenticator などで生成★★★★☆フィッシングのリスクはあるが、メールやSMSより安全。
プッシュ通知(認証アプリ)所持要素Microsoft Authenticator などで認証リクエストを承認★★★★★フィッシング耐性が高く、推奨される方式。
FIDO2 セキュリティキー所持要素YubiKey などの物理セキュリティキー★★★★★フィッシング耐性が高く、最も安全な方式の一つ。
スマートカード所持要素企業で使用される IC カード(例: 社員証)★★★★★管理が適切ならば非常に安全だが、運用コストがかかる。
生体認証(指紋 / 顔認証 / 虹彩認証)生体要素Windows Hello, Touch ID, Face ID など★★★★★デバイスに依存するが、フィッシング耐性があり安全。

推奨される MFA の組み合わせ

例えば、Microsoft 365 においては、次のいずれかの組み合わせが推奨されます。

  1. パスワード + 認証アプリのプッシュ通知(高い安全性・利便性)
  2. パスワード + FIDO2 セキュリティキー(最も強力なセキュリティ)
  3. パスワードレス認証(FIDO2 セキュリティキー + 生体認証)(利便性・安全性ともに優れる)

SMS・音声通話・EmailによるOTPは、フィッシングやSIMスワップ攻撃のリスクがあるため非推奨 です。

まとめ

多要素認証は、サーバーセキュリティを強化する重要な手段です。適切なMFA方式を選択し、利便性とのバランスを考えながら導入することで、セキュリティリスクを大幅に軽減できます。

  • 安全性の観点から最適なのは、FIDO2 セキュリティキーや認証アプリのプッシュ通知を活用すること。
  • SMS、音声通話、メールでの OTP は推奨されない。
  • パスワードレス(FIDO2 + 生体認証)の導入を検討すると、利便性も向上する。

企業や個人でのサーバー運用において、MFAの導入を検討することが強く推奨されます。

コメント

タイトルとURLをコピーしました