「多要素認証（MFA）」の仕組みやメリット、課題とは？

　多要素認証（MFA）は、アプリケーションへのログインやその他の認証時に、複数の認証方法を用いることを指す。（続きはページの末尾にあります）

　パスワードなどのユーザーが知っている情報やセキュリティトークンなどのユーザーが所有する情報、ユーザー自身の生体情報といった情報から、2つ以上の情報を組み合わせて認証を実行することが多要素認証だ。

　多要素認証の目標は、アプリケーションやデバイス、ネットワーク、データベースなどの各システムに、アクセス権限のない人がアクセスすることをより困難にすることだ。多要素認証を導入したシステムでは、攻撃者は仮に1つの認証情報が突破されても、ターゲットへの侵入に成功するまでに、少なくとも残り1つ以上の認証情報を利用する必要が生じる。

　初期の多要素認証は、2つの認証情報を組み合わせる二要素認証（2FA）が一般的だった。しかし現在、ベンダーは2つ以上の認証情報を必要とするあらゆる認証方式を指して「多要素」と呼んでいる。多要素認証は、「IAM」（アイデンティティーおよびアクセス管理）の中核的な要素だ。

多要素認証はなぜ必要なのか

　ユーザーIDとパスワードを用いた認証の欠点は、パスワードが簡単に侵害される可能性があることだ。パスワードとして考えられる文字列の組み合わせ全てを入力する総当たり攻撃（ブルートフォース攻撃）は主なサイバー攻撃手法の一つだ。これは攻撃者が自動化ツールを使って、ユーザー名とパスワードのさまざまな組み合わせを試し、正しい組み合わせを見つけて認証を突破する手法だ。

　間違ったログイン試行が一定回数を超えた後にアカウントをロックする仕組みの導入は、総当たり攻撃から企業や顧客を守ることに役立つ。しかしハッカーは総当たり攻撃以外にも、システムに不正アクセスするためのさまざまな方法を持っている。多要素認証は複数の認証情報を組み合わせることで、不正アクセスを難しくする。

多要素認証の方法

　ユーザーのアイデンティティーを確認するために使われる認証情報のことを認証要素とも呼ぶ。認証要素は「システムへのアクセスを求める存在が、実際に主張する通りの存在である」という確信を高めることを目的として使用する。複数の認証要素を使用することで、攻撃者の不正アクセスをより困難にできる。

　認証要素は主に、「知っていること」（知識情報）と「持っていること」（所有情報）、「本人であること」（生体情報）という3つの要素に分けられる。多要素認証は、これらの要素から2つ以上を組み合わせることで機能する。この3つの認証要素を以下で具体的に説明する。

　ユーザーの位置情報は、4番目の認証要素と言われることがある。スマートフォンの普及によって、位置情報を使った認証の導入が容易になった。スマートフォンには一般的にGPS（全地球測位システム）機能が備わっている。ユーザーが持ち歩くスマートフォンの位置情報から、信頼できるログイン場所にいるユーザーのみアクセスを許可できるようになる。近年はログイン時間に基づく認証手法も登場している。これは特定の時間帯に特定のシステムへのユーザーのアクセスを許可する手法だ。

　時間と位置情報を組み合わせた多要素認証も存在する。例えば銀行の顧客は、米国でATMカードを使用し、その15分後にロシアで使用することは物理的に不可能だ。このような認証要素を組み合わせることで、オンライン銀行詐欺を防止できる。

MFAの長所と短所

　多要素認証には、ユーザーが自分の身元を確認するための個人的な質問の答えやパスワードを忘れてしまったり、一部のユーザーが自身のセキュリティトークンやパスワードを他人と共有してしまったりするリスクがある。

　多要素認証の長所は、ハードウェアやソフトウェアを利用する際の認証時のセキュリティを強化できる点だ。パスワード認証のみの場合と比べて、セキュリティ侵害のリスクを抑えられる。

　市場にはIT管理者やユーザーが簡単に設定できるさまざまな多要素認証システムがあり、多要素認証の導入や時間帯や場所に応じたアクセス制御が容易にできる。大企業向けの高価かつ複雑なソフトウェアから、中小企業向けの手頃なソフトウェアまで、用途や予算に応じてさまざまな製品やサービスが選択できる。

　多要素認証の欠点の一つは、認証にワンタイムパスワードやセキュリティトークンを利用する場合に、スマートフォンなどのデバイスが必要になる点だ。こうしたデバイスは、紛失や盗難のリスクがある。またユーザーの親指の指紋や顔などの生体情報は常に一定の状態を保っているとは限らないため、これらを認証に利用する場合に誤検知や誤判定を引き起こすことがある。ネットワークや多要素認証システムが停止すると、ユーザーが目的のアプリケーションにアクセスできなくなる可能性がある。

　サイバー攻撃者は多要素認証を破るために絶え間なく研究を続けている。そのため多要素認証技術を常にアップグレードする必要がある点にも注意が必要だ。

多要素認証と二要素認証の違い

　二要素認証は、ユーザー自身が正当な認証されたユーザーであることを示すために、2種類の認証要素を用いて認証する手法だ。二要素認証の登場当初は、ユーザーIDとパスワードによる認証に、カードやPINによる認証を組み合わせるのが一般的だった。

　しかしハッカーはパスワードを突破する手法や、デビットカード、クレジットカードをスキミングする方法を見つけた。そのためセキュリティベンダーやユーザー企業は、追加の認証要素を使用した、より強固なユーザー認証方法を模索するようになった。

　多要素認証は少なくとも2つ以上の認証要素を必要とするが、二要素認証は2つの認証要素のみを必要とする。そのため全ての二要素認証は多要素認証の一つであるが、逆は必ずしもそうではない。

多要素認証の課題を解消する取り組み

　多要素認証（MFA）には、複数のパスワードを覚えたりセキュリティトークンを持ち歩いたりする必要があるなど、ユーザーの使い勝手に関わる課題がある。そのような中でセキュリティベンダーは、認証を簡素化するための技術の開発を進めている。

　多要素認証を簡素化するための主なアプローチを4つ説明する。

#適応型多要素認証（アダプティブMFA）

1. これは自社のセキュリティポリシーやログイン試行をするユーザーの位置情報やデバイスなどの情報に合わせて、ユーザーのログイン時に適用する認証要素を変化させる手法だ。例えばユーザー企業のVPNの場合、デバイスの位置情報を利用して、従業員が自宅からログインするときはIDとパスワードのみの認証にできるが、従業員が自宅やオフィスの外からVPNにアクセスする場合は追加の認証要素を要求するといったことが可能になる。

＃シングルサインオン（SSO）

1. SSOは、ユーザーが単一のIDとパスワードで複数のアプリケーションやWebサイトに自動的にログインできるようにする手法だ。SSOは特定のシステムで管理するユーザーの認証情報やログイン状況を、複数のアプリケーションやシステムに共有することで機能する。

＃プッシュ認証

1. モバイルデバイスを使った認証技術で、セキュリティシステムがユーザーのモバイルデバイスに一度だけ使える識別コードやプッシュ通知を発行する。プッシュ認証はユーザーにコードを提供して、パスワードを覚える必要をなくす。例えばユーザーがあるWebサービスのログイン画面にユーザーIDを入力すると、モバイルデバイスに一度だけ利用できる識別コードがプッシュ通知で自動的に発行される。ユーザーはそのコードを入力することでログインが完了する。

＃パスワードレス認証

1. パスワードレス認証は、従来のパスワードを使用せず、セキュリティトークンやモバイルデバイスといった所有情報や、指紋認証、顔認証といった生体情報などの認証要素を使用する。ユーザーはパスワードを覚えたり管理したりする負荷を軽減できる。さらにパスワードを利用しないことで、パスワード認証の脆弱性を狙った攻撃を防ぐことができる。