はじめに
多要素認証について調べる機会があったので、忘れないようにメモしておきます。
近年、サイバー攻撃の手口はますます巧妙化しており、企業や個人のアカウントが狙われるケースが増えています。特に、パスワードだけに依存した認証では、情報漏洩やフィッシング詐欺などのリスクが高まります。
そこで注目されているのが「多要素認証(MFA: Multi-Factor Authentication)」となります。MFAを導入することで、アカウントのセキュリティを強化し、不正アクセスのリスクを大幅に軽減できます。
多要素認証について
多要素認証(MFA)とは
多要素認証(MFA)とは、「知識情報」「所有情報」「生体情報」 のうち、少なくとも2つ以上を組み合わせてユーザーを認証する仕組みです。
例えば、パスワード(知識情報)とワンタイムパスワード(所有情報)を併用することで、パスワードが漏洩しても不正アクセスを防げます。
多要素認証の種類
多要素認証(MFA)は、以下の3つのカテゴリのうち2つ以上の要素を組み合わせて認証を強化します。
- 知識情報(Something You Know) – ユーザーが知っている情報
- パスワード
- PINコード
- セキュリティ質問の回答
- 所有情報(Something You Have)– ユーザーが持っているデバイスや物理トークン
- ワンタイムパスワード(OTP)
- スマートフォンの認証アプリ(Google Authenticatorなど)
- ハードウェアトークン(YubiKeyなど)
- SMSやメールで送信されるコード
- 生体情報(Something You Are)– ユーザー自身の生体情報
- 指紋認証
- 顔認証
- 虹彩認証
多要素認証の導入メリット
MFAを導入することで、以下のようなセキュリティ向上が期待できます。
- 不正アクセスの防止
パスワード単体よりも強力な認証手段となるため、アカウントの乗っ取りを防ぎやすくなります。 - パスワード漏洩のリスク軽減
パスワードが流出しても、追加の認証要素があるため、不正ログインを防ぐことができます。 - コンプライアンス対応
企業や政府機関が求めるセキュリティ基準(ISO 27001、NISTなど)に準拠しやすくなります。
多要素認証導入時の課題
MFA導入には以下のような課題もあります。
- 利便性の低下
毎回認証コードを入力する手間が増えるため、ユーザーの負担が大きくなる可能性があります。 - リカバリーの問題
スマホ紛失時などに復旧手段を用意していないと、管理者の対応が必要になります。 - 運用コストの増加
導入・運用にはコストがかかるため、企業は費用対効果を考慮する必要があります。
多要素認証(MFA)の認証要素一覧
認証要素 | 認証カテゴリ | 説明 | 安全度 (5段階) | 備考 |
パスワード | 知識要素 | ユーザーが設定するパスワード | ★☆☆☆☆ | 単体では危険。使い回しや漏洩のリスクが高い。 |
PINコード(Windows Hello など) | 知識要素 | デバイスごとに設定する短いコード | ★★☆☆☆ | デバイス依存のため安全度はやや向上するが、短いとリスクあり。 |
ワンタイムパスワード(OTP: SMS) | 所持要素 | 携帯番号に送られる6桁のコード | ★★☆☆☆ | フィッシングやSIMスワップ攻撃のリスクがあるため推奨度は低め。 |
ワンタイムパスワード(OTP: Email) | 所持要素 | メールに送られる6桁のコード | ★★☆☆☆ | メールアカウントが乗っ取られると危険。リスクが高い。 |
ワンタイムパスワード(OTP: 音声通話) | 所持要素 | 電話で読み上げられるコードを入力 | ★★☆☆☆ | SMS同様、フィッシングや電話の盗聴リスクあり。 |
ワンタイムパスワード(OTP: 認証アプリ) | 所持要素 | Microsoft Authenticator, Google Authenticator などで生成 | ★★★★☆ | フィッシングのリスクはあるが、メールやSMSより安全。 |
プッシュ通知(認証アプリ) | 所持要素 | Microsoft Authenticator などで認証リクエストを承認 | ★★★★★ | フィッシング耐性が高く、推奨される方式。 |
FIDO2 セキュリティキー | 所持要素 | YubiKey などの物理セキュリティキー | ★★★★★ | フィッシング耐性が高く、最も安全な方式の一つ。 |
スマートカード | 所持要素 | 企業で使用される IC カード(例: 社員証) | ★★★★★ | 管理が適切ならば非常に安全だが、運用コストがかかる。 |
生体認証(指紋 / 顔認証 / 虹彩認証) | 生体要素 | Windows Hello, Touch ID, Face ID など | ★★★★★ | デバイスに依存するが、フィッシング耐性があり安全。 |
推奨される MFA の組み合わせ
例えば、Microsoft 365 においては、次のいずれかの組み合わせが推奨されます。
- パスワード + 認証アプリのプッシュ通知(高い安全性・利便性)
- パスワード + FIDO2 セキュリティキー(最も強力なセキュリティ)
- パスワードレス認証(FIDO2 セキュリティキー + 生体認証)(利便性・安全性ともに優れる)
SMS・音声通話・EmailによるOTPは、フィッシングやSIMスワップ攻撃のリスクがあるため非推奨 です。
まとめ
多要素認証は、サーバーセキュリティを強化する重要な手段です。適切なMFA方式を選択し、利便性とのバランスを考えながら導入することで、セキュリティリスクを大幅に軽減できます。
- 安全性の観点から最適なのは、FIDO2 セキュリティキーや認証アプリのプッシュ通知を活用すること。
- SMS、音声通話、メールでの OTP は推奨されない。
- パスワードレス(FIDO2 + 生体認証)の導入を検討すると、利便性も向上する。
企業や個人でのサーバー運用において、MFAの導入を検討することが強く推奨されます。
コメント