検索

「多要素認証(MFA)」の市場動向、業界動向をチェック

ユーザー企業のIT担当者を対象に、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディア「TechTargetジャパン」。このコンテンツでは、多要素認証(MFA)に関する業界&市場動向の記事を紹介します。製品/サービス選定の参考にご覧ください(リンク先のページはPR記事を含みます)。

多要素認証とは何か?

 多要素認証(MFA)は、アプリケーションへのログインやその他の認証時に、複数の認証方法を用いることを指す。(続きはページの末尾にあります)

多要素認証で使われる基本的な技術とは

 パスワードなどのユーザーが知っている情報やセキュリティトークンなどのユーザーが所有する情報、ユーザー自身の生体情報といった情報から、2つ以上の情報を組み合わせて認証を実行することが多要素認証だ。

 多要素認証の目標は、アプリケーションやデバイス、ネットワーク、データベースなどの各システムに、アクセス権限のない人がアクセスすることをより困難にすることだ。多要素認証を導入したシステムでは、攻撃者は仮に1つの認証情報が突破されても、ターゲットへの侵入に成功するまでに、少なくとも残り1つ以上の認証情報を利用する必要が生じる。

 初期の多要素認証は、2つの認証情報を組み合わせる二要素認証(2FA)が一般的だった。しかし現在、ベンダーは2つ以上の認証情報を必要とするあらゆる認証方式を指して「多要素」と呼んでいる。多要素認証は、「IAM」(アイデンティティーおよびアクセス管理)の中核的な要素だ。

多要素認証はなぜ必要なのか

 ユーザーIDとパスワードを用いた認証の欠点は、パスワードが簡単に侵害される可能性があることだ。パスワードとして考えられる文字列の組み合わせ全てを入力する総当たり攻撃(ブルートフォース攻撃)は主なサイバー攻撃手法の一つだ。これは攻撃者が自動化ツールを使って、ユーザー名とパスワードのさまざまな組み合わせを試し、正しい組み合わせを見つけて認証を突破する手法だ。

 間違ったログイン試行が一定回数を超えた後にアカウントをロックする仕組みの導入は、総当たり攻撃から企業や顧客を守ることに役立つ。しかしハッカーは総当たり攻撃以外にも、システムに不正アクセスするためのさまざまな方法を持っている。多要素認証は複数の認証情報を組み合わせることで、不正アクセスを難しくする。

多要素認証の方法

 ユーザーのアイデンティティーを確認するために使われる認証情報のことを認証要素とも呼ぶ。認証要素は「システムへのアクセスを求める存在が、実際に主張する通りの存在である」という確信を高めることを目的として使用する。複数の認証要素を使用することで、攻撃者の不正アクセスをより困難にできる。

 認証要素は主に、「知っていること」(知識情報)と「持っていること」(所有情報)、「本人であること」(生体情報)という3つの要素に分けられる。多要素認証は、これらの要素から2つ以上を組み合わせることで機能する。この3つの認証要素を以下で具体的に説明する。

  • 知識情報
    • 知識情報の技術には、パスワードや4桁の個人識別番号(PIN)、一時的に使用されるワンタイムパスワード(OTP)などが含まれる。知識ベースの認証では、ユーザーが個人情報に関する質問に対する回答を入力する。具体的には、「スーパーのレジでデビットカードを決済端末に挿入し、PINを入力する」「Webサービスにログインするために、母親の旧姓や以前の住所など、個人情報に関する質問に回答する」といった認証作業は、知識情報を利用していると言える。
  • 所有情報
    • セキュリティトークン(ユーザー情報を保存したカードやUSBメモリなどのデバイス)やキーフォブ(鍵の役目をするデバイス)、携帯電話のSIMカードなど、ユーザー本人が所有するモノを指す。モバイル認証の場合、スマートフォンにワンタイムパスワードアプリケーションをインストールすることで、スマートフォンが所有情報として機能する。ユーザーのPCで勤務先のVPNに接続する際に、専用のUSBメモリを差し込んでログインすることも所有情報を利用した認証の一例だ。
  • 生体情報
    • ユーザーが持つ生物学的な特徴が生体情報だ。網膜や指紋、声、手の形状、顔、静脈、耳たぶの形状などの生体情報が認証に使われる。生体認証には、生体情報リーダーや生体情報を保管するためのデータベース、スキャンされた生体データをデジタル形式のデータに変換し、生体データを保存されたデータと照合するためのソフトウェアなどが必要だ。

 ユーザーの位置情報は、4番目の認証要素と言われることがある。スマートフォンの普及によって、位置情報を使った認証の導入が容易になった。スマートフォンには一般的にGPS(全地球測位システム)機能が備わっている。ユーザーが持ち歩くスマートフォンの位置情報から、信頼できるログイン場所にいるユーザーのみアクセスを許可できるようになる。近年はログイン時間に基づく認証手法も登場している。これは特定の時間帯に特定のシステムへのユーザーのアクセスを許可する手法だ。

 時間と位置情報を組み合わせた多要素認証も存在する。例えば銀行の顧客は、米国でATMカードを使用し、その15分後にロシアで使用することは物理的に不可能だ。このような認証要素を組み合わせることで、オンライン銀行詐欺を防止できる。

MFAの長所と短所

 多要素認証には、ユーザーが自分の身元を確認するための個人的な質問の答えやパスワードを忘れてしまったり、一部のユーザーが自身のセキュリティトークンやパスワードを他人と共有してしまったりするリスクがある。

 多要素認証の長所は、ハードウェアやソフトウェアを利用する際の認証時のセキュリティを強化できる点だ。パスワード認証のみの場合と比べて、セキュリティ侵害のリスクを抑えられる。

 市場にはIT管理者やユーザーが簡単に設定できるさまざまな多要素認証システムがあり、多要素認証の導入や時間帯や場所に応じたアクセス制御が容易にできる。大企業向けの高価かつ複雑なソフトウェアから、中小企業向けの手頃なソフトウェアまで、用途や予算に応じてさまざまな製品やサービスが選択できる。

 多要素認証の欠点の一つは、認証にワンタイムパスワードやセキュリティトークンを利用する場合に、スマートフォンなどのデバイスが必要になる点だ。こうしたデバイスは、紛失や盗難のリスクがある。またユーザーの親指の指紋や顔などの生体情報は常に一定の状態を保っているとは限らないため、これらを認証に利用する場合に誤検知や誤判定を引き起こすことがある。ネットワークや多要素認証システムが停止すると、ユーザーが目的のアプリケーションにアクセスできなくなる可能性がある。

 サイバー攻撃者は多要素認証を破るために絶え間なく研究を続けている。そのため多要素認証技術を常にアップグレードする必要がある点にも注意が必要だ。

多要素認証と二要素認証の違い

 二要素認証は、ユーザー自身が正当な認証されたユーザーであることを示すために、2種類の認証要素を用いて認証する手法だ。二要素認証の登場当初は、ユーザーIDとパスワードによる認証に、カードやPINによる認証を組み合わせるのが一般的だった。

 しかしハッカーはパスワードを突破する手法や、デビットカード、クレジットカードをスキミングする方法を見つけた。そのためセキュリティベンダーやユーザー企業は、追加の認証要素を使用した、より強固なユーザー認証方法を模索するようになった。

 多要素認証は少なくとも2つ以上の認証要素を必要とするが、二要素認証は2つの認証要素のみを必要とする。そのため全ての二要素認証は多要素認証の一つであるが、逆は必ずしもそうではない。

多要素認証の課題を解消する取り組み

 多要素認証(MFA)には、複数のパスワードを覚えたりセキュリティトークンを持ち歩いたりする必要があるなど、ユーザーの使い勝手に関わる課題がある。そのような中でセキュリティベンダーは、認証を簡素化するための技術の開発を進めている。

 多要素認証を簡素化するための主なアプローチを4つ説明する。

#適応型多要素認証(アダプティブMFA)

  1. これは自社のセキュリティポリシーやログイン試行をするユーザーの位置情報やデバイスなどの情報に合わせて、ユーザーのログイン時に適用する認証要素を変化させる手法だ。例えばユーザー企業のVPNの場合、デバイスの位置情報を利用して、従業員が自宅からログインするときはIDとパスワードのみの認証にできるが、従業員が自宅やオフィスの外からVPNにアクセスする場合は追加の認証要素を要求するといったことが可能になる。

#シングルサインオン(SSO)

  1. SSOは、ユーザーが単一のIDとパスワードで複数のアプリケーションやWebサイトに自動的にログインできるようにする手法だ。SSOは特定のシステムで管理するユーザーの認証情報やログイン状況を、複数のアプリケーションやシステムに共有することで機能する。

#プッシュ認証

  1. モバイルデバイスを使った認証技術で、セキュリティシステムがユーザーのモバイルデバイスに一度だけ使える識別コードやプッシュ通知を発行する。プッシュ認証はユーザーにコードを提供して、パスワードを覚える必要をなくす。例えばユーザーがあるWebサービスのログイン画面にユーザーIDを入力すると、モバイルデバイスに一度だけ利用できる識別コードがプッシュ通知で自動的に発行される。ユーザーはそのコードを入力することでログインが完了する。

#パスワードレス認証

  1. パスワードレス認証は、従来のパスワードを使用せず、セキュリティトークンやモバイルデバイスといった所有情報や、指紋認証、顔認証といった生体情報などの認証要素を使用する。ユーザーはパスワードを覚えたり管理したりする負荷を軽減できる。さらにパスワードを利用しないことで、パスワード認証の脆弱性を狙った攻撃を防ぐことができる。
ページトップに戻る