多要素認証について
公開日: |更新日:
Webサービスやクラウドサービスなどのビジネス利用が増え、外部からの不正ログインなどによる情報漏洩へのセキュリティリスクが高まりつつあります。この対策として「多要素認証」や「二要素認証」があります。
今回は、多要素認証についての必要性と種類、メリット・デメリット、多要素認証と二段階認証の違いなどをまとめたので紹介します。
多要素認証とは
多要素認証とは、3種類の情報の内2種類以上を組み合わせた認証のことです。組み合わせが2種類の場合は「二要素認証」と呼ばれます。
認証の種類は、NIST(米国立標準技術研究所)が定めた「電子的認証に関するガイドライン(NIST SP 800-63-3)」において世界標準であり、本人確認を行う認証要素として分類されたものです。
短要素認証に比べて、生体認証やワンタイムパスワードなど、様々な要素を用いて本人照明を行うので、より正解な本人確認とより強固なセキュリティ構築ができるため、外部からの不正アクセスを防止できます。
認証要素の種類
知識情報
知識情報とは、認証を行う本人だけが知っている、記録している情報を指します。
Webサービスやクラウドサービスのログイン時に入力を求められることが多いです。
知識要素は、人の記憶に頼る所があるため複製は難しいのですが、うっかりパスワードなどの情報を忘れてしまう可能性があります。また、認証のために入力する際、盗み見される危険性も高くなります。
メモをしていれば忘れないかもしれませんが、その場合知識情報ではなく所有情報に該当します。代表的なものは以下の通りです。
- パスワード
- PINコード
- 電話番号
- 秘密の質問など
所持情報
所持情報とは、認証を行う本人のみが持っている情報を指します。
所有情報は紛失や盗難の危険性があるため、紛失時の無効化・再発行手順を明確にしておくことが重要です。
また、所有情報はその種類によりセキュリティレベルが異なります。物理的なトークンは盗まれなければ複製は難しいですが、磁気カードは盗まれなくてもスキミングにより情報を取得されてしまう危険性があります。代表的なものは以下の通りです。
- ICチップ搭載のキャッシュカード
- SMS
- 身分証
- スマートフォン端末に発行されるワンタイムパスワード
- ワンタイムパスワード発行時のトークンなど
生体情報
生体情報とは、認証を行う本人の生体的特徴に関する情報を指します。
生体情報は外見や音声などは複製しやすく、読み取り装置の精度によっては誤認識の確立が一定程度あります。しかし、指紋や虹彩などは高度技術でなければ複製するのは困難であり、全体的になりすましや盗聴が難しく、信頼度の高い認証情報といえます。
また、カードや鍵といった紛失や盗難のリスクがありません。代表的なものは以下の通りです。
- 手の指紋や静脈、声紋など
- スマートフォンのロックを解除する際に使われる顔認証など
多要素認証と二段階認証の違い
多要素認証と二段階認証は、認証を2回以上行うという点は共通しています。この2つの違いは、認証に用いる要素の種類を問うか問わないかです。
- 多要素認証:3要素の内2種類以上の要素を用いて認証を行う
- 二段階認証:認証の段階を2回経て認証するが、特に要素の種類は問わない
たとえば、「IDとパスワード」(知識情報)を入力した後に別のページにてログイン画面が表示された場合、以下の認証を求められた場合。
- ワンタイムパスワード(所持情報):3要素の内2種類を用いているので多要素認証でありながら、二段階認証でもある
- 秘密の質問(知識情報):3要素の内2種類以上を用いてないので多要素認証には該当せず、二段階認証になる
多要素認証のメリット
セキュリティ強度を上げられる
多要素認証の大きなメリットは、二段階認証よりもセキュリティ強度を上げられることです。
メールアドレスやパスワードだけでログインできる場合、パスワードが単純でわかりやすいものだと第三者アカウントにパスワードを特定されてしまい、不正ログインをされてしまう危険性があります。そうならないために、多要素認証を導入すれば、第三者アカウントからの不正ログインをほぼ不可能にできるでしょう。
たとえば、顔認証や指紋認証などは本人にしか提示できません。複製や盗むことが難しい生体情報や所持情報を組み合わせることで、セキュリティ強度が上がり、第三者アカウントからの不正ログインを防止することができます。
利便性を高められる
多要素認証のメリットは、セキュリティ高度を高められるだけではなく、使い手の利便性も高められることです。
Webサービスやクラウドサービスなどを使用するたびに、IDやパスワードはその分増加していき、管理が大変になります。管理が煩雑化していくと、パスワードを使いまわしやパスワードを忘れてしまうケースが発生してしまいます。
そうならないために、多要素認証を活用すれば、指紋認証などによりログインできるので複雑なパスワード設定や不正ログイン対策として定期的にパスワード変更などのパスワード管理が不要になり利便性が向上するでしょう。
多要素認証のデメリット
認証要素によってはSSOサービスが限られる
SSO(single sign-on)とは、1度システム利用開始の認証を行うと、複数のシステムを利用開始する時にその都度認証を行う必要がなく、複数システムへ同時に認証可能にする製品やシステム、ツールを意味します。
大変便利ですが、シングルサインオン製品自体の認証が破られると、紐づく全てのシステムに不正アクセスされてしまいます。その対策として、多要素認証を併用することでセキュリティを高めることができます。しかし、認証要素によってはサイングルサインオン利用時に利用可能なIPアドレス制限されるなど、SSOサービスが限られてしまうというデメリットが発生します。
認証ポリシーによってセキュリティに差がある
認証ポリシーとは、実行する認証メカニズムを指定するワークフローです。認証セッションが存在するかどうかにかかわらず、IDとパスワードによる認証・ワンタイムパスワードの入力を求めることができます。多要素認証のデメリットは、認証ポリシーによってセキュリティに差があることです。
たとえば、所有情報による認証の場合、ICカードは常に持ち歩く必要があり、紛失や盗難などの危険性が高まり、無くしてしまった場合再発行の手間もかかります。生体情報による認証の場合、種類によって認証率に差があるため、本人であっても認証に失敗することがあります。
多要素認証の必要性
不正アクセスやなりすましなどは日々進化しているため、IDとパスワードだけのログイン方法ではセキュリティリスクの未然防止は難しいです。もし不正ログインによって個人情報などが漏洩した場合、企業として社会的信頼を失うことになるでしょう。そうならないために多要素認証は必要性があるといえるでしょう。
多要素認証はセキュリティ強化に有効ですがデメリットも存在します。自社に導入する場合、導入目的を明確にし、他の認証方式や認証システムとも比較しながら検討することをおすすめします。
無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較
2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。
※横スクロールします。
オンプレミス
AccessMatrix
|
クラウド
Okta |
クラウド
トラスト・ログイン |
|
対応アプリ・ サービス |
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
---|---|---|---|
導入・ サポート |
|
|
|
料金 |
380円/ユーザー/月額
|
要問合せ
一般的な利用例は、月額2ドル~
|
330円/ID/月額
|
※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。
・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業
・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1
・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業
よく読まれているページ