エンジニア全般
ビジネスにおいて業務システムやクラウドサービスを活用する動きが活発であり、個人が利用するネットショッピングなど、普段からパスワード入力を行う機会が増えています。しかし、従来のパスワード認証だけでは漏洩や詐取された場合のリスクが避けられません。
一歩進んだセキュリティ対策として「マルチファクタ認証」をご存知ですか。人間が持てる要素から2つ以上を使って認証するマルチファクタ認証は、政府機関や多数の業界において推奨・義務化が進んでいます。
この記事では、マルチファクタ認証を導入するメリットやデメリット、さらに安全性を高めるポイントについてわかりやすくご紹介します。
とある企業のシステム管理者として10年以上勤めています。 自身の経験や知識を活かし、誰にでも分かりやすい記事をお届けしたいです。
マルチファクタ認証とは?
マルチファクタ認証(多要素認証)とは、人間が持てると言われる3つの認証要素(知識・所持・生体)から、2つ以上を使って本人であることを証明する仕組みです。
従来のパスワードだけの認証方法よりもセキュリティ性が高く、例え1つの認証情報が漏れてしまったとしても、他の要素によって不正アクセスを防ぐことが可能となります。
ここではマルチファクタ認証の仕組み、そして、3つの認証要素をそれぞれ解説します。
マルチファクタ認証の仕組み
マルチファクタ認証(多要素認証)は、MFAとも呼ばれます。
企業だと業務システムやクラウドサービスへのログイン、個人においてもパソコンやスマートフォンを使う際、パスワード入力に加えて指紋認証やワンタイムパスワードなど、追加の検証情報(要素)を要求する仕組みです。
近年は急速に普及してきており、日常生活で使うWebサービスや銀行のネットバンキングなどでも目にする機会が増えているのではないでしょうか。
マルチファクタ認証が生まれたのは2017年頃から米国にて「パスワード認証の限界」が謳われていたからです。安易なパスワードをつけてしまう人が多く、また、管理するパスワードも増え続けている現状から、従来のパスワード以外の認証方法として注目されて導入が推進されています。
認証の3要素
マルチファクタ認証で使われる「認証の3要素」についてご紹介します。それぞれの要素の名称は聞き慣れないかと思いますが、実はこれまでも当たり前として使っていたものばかりです。
例えば、ATMからお金を下ろす際はキャッシュカード(所持情報)を入れ、暗証番号(知識情報)の2要素を入力しないと現金が引き出せません。
この例のように認証の3要素は身近に存在しているもので構成されており、比較的スムーズに受け入れられやすい認証方法といえます。
知識情報
知識情報とは、「本人だけが知り得る知識や情報」です。従来のパスワードはこの知識情報に該当し、ユーザー登録の際に入力を求められる「秘密の質問」なども知識情報の一種であり、もっとも広く普及している認証要素だといえます。
他にも「生年月日」や「誕生日」なども知識情報ではありますが、厳密には本人だけが知り得る情報ではないため、認証時には必ず他の要素との組み合わせが必要です。
知識情報は他の要素と比べ、認証するための機器などが必要ないので、仕組みがシンプルであり導入コストを抑えられる特性があります。
ただし、知識情報は人間の記憶力に頼る部分が多いため、忘れてしまった場合に復旧が難しく、さらに他者によって引き出されやすいという欠点も。推測されないよう長いパスワードにしたことで逆に覚えられなくなってしまい、紙に書いて保管した上で紛失するといった本末転倒なケースもあるため、知識情報だけで認証を行うリスクも存在します。
所持情報
所持情報とは、「本人が持っている物を使った情報」です。スマートフォンやICカードなどよく認証に使われる物のほか、運転免許証や保険証といった本人確認書類、メールで届くワンタイムパスワードやSMSによる認証、ネットバンキング用として銀行から支給されるハードウェアトークンも所持情報に含まれます。
ワンタイムパスワードは、別の媒体(アプリやハードウェアトークン)によって発行されるケースもあるため、3つの要素の中でも種類が多岐にわたる認証情報です。
悪意を持った他者が不正アクセスを試みようとしても、端末や媒体自体を盗まない限りは認証できないので、知識情報と比べるとセキュリティ強度が高い認証方法といえます。
ただし、自分自身で設定する知識情報とは異なり、支給される端末や媒体それ自体が情報であるため、紛失しないように最大限の注意が必要です。紛失や破損した際に再発行まで時間がかかるといった特徴もあります。
生体情報
生体情報とは、「本人自身の特徴を使った情報」です。指紋・虹彩・声紋・静脈など、本人しか持ち得ないと言われる身体的な特徴を使って認証を行います。スマホのロック解除を指紋認証によって行うなど、日常生活にも浸透してきた認証方法です。
生体情報で認証を行う最大のメリットは、本人しか持ち得ない情報であるために複製したり盗んだりするのが非常に難しく、なりすましを防ぐには最良の方法である点です。
ただし、顔認証に関しては、カメラや印刷技術の進歩によって作られた高精細な顔写真でセキュリティが突破されたケースも登場してきているため、認証時に要求する生体情報の種類は慎重に行う必要があります。
一方、デメリットとしては、生体情報を認証するために特殊な機器が必要になる点です。一般的にこれらの認証機器やシステムを導入する場合は多大なコストが必要となるため、生体情報を使って認証を行うのは高度なセキュリティを求められるエリアへの入室など、用途が限定されることが多い傾向にあります。
マルチファクタ認証を導入するメリット・デメリットは?
パスワード入力などの従来の1要素認証ではなく、マルチファクタ認証を導入するメリットやデメリットとは何でしょうか。
昨今はリモートワークやクラウドサービスなどの普及により、セキュリティで守られている社内ではなく、自衛のセキュリティ対策を求められる社外での作業も増えている影響も考えられます。
ここでは、マルチファクタ認証を導入するメリット・デメリットについて解説しています。
マルチファクタ認証を導入するメリット
マルチファクタ認証を導入する最大のメリットとは、「より高度なセキュリティを確保するため」の一言に尽きます。
従来のID・パスワードによる認証は本人任せになってしまう側面が強く、同じパスワードの使い回しや推測されやすい情報で設定されてしまうと、不正アクセスから守ることは困難です。
悪意を持った不正アクセス者が狙うのはこの部分であり、実際にパスワード管理の甘さにつけ込んだ手口が半分以上だと言われています。
マルチファクタ認証を導入することによって得られるメリットは主に2つです。
なりすましによる不正利用を防ぐ
既にご紹介したようにマルチファクタ認証は、基本的には本人しか知り得ない情報や、本人しか持てない物を組み合わせて認証する方法であり、なりすましによる不正利用ができない仕組みです。
仮に3要素のうち1つが漏れてしまう、もしくは盗まれてしまったとしても、残りの認証要素を知ることは非常に困難であるため、マルチファクタ認証はセキュリティ強度の高い認証方法であるといえます。
不正アクセスを実行しようとする攻撃者から見ても、マルチファクタ認証は非常に厄介です。なりすましが難しいマルチファクタ認証を導入している企業はターゲットにせず、セキュリティが脆弱な企業を狙う傾向にあります。
ユーザーのパスワード管理における負担減
知識情報であるパスワード入力は今でもよく使われていますが、ログインが必要となるシステムやサービスが増えた今、ユーザー自身もセキュリティを高めようと長くて複雑なパスワードを設定する傾向です。また、使うシステムの仕様によっては、定期的なパスワード変更を強制する仕組みも存在します。
その結果、パスワード管理がユーザーの負担になっているケースも少なくありません。
マルチファクタ認証を導入することで、ユーザーは他の認証方法も持てるようになります。パスワードが該当する知識情報以外は、普段から持ち歩くスマートフォンや、指紋や虹彩など自分自身が情報となる要素です。
マルチファクタ認証は、ユーザー側の負担を減らせる仕組みでもあります。
マルチファクタ認証を導入するデメリット
マルチファクタ認証導入において考えられるデメリットは、「コスト」と「ユーザー側に負担がかかる」の2点です。何かしら新しい仕組みを導入する際、必ず発生する懸念点ともいえます。
特に従来のパスワード認証(知識情報)から新たな認証要素を加えると、多大なコスト発生とユーザー側への負担増は避けられません。
ここでは、マルチファクタ認証を導入すると発生してしまうデメリットについて詳しく解説します。
導入や運用にコストが発生
知識情報であるパスワード以外の認証要素は、所持情報だとICカードや認証アプリなど新しい「物」が必要となり、指紋や静脈など誰しもが所有する生体情報であっても、情報を認識させる「仕組み」が新たに必要となります。
一般的にこれらの「物」や「仕組み」を導入するには、多額のコストが必要です。
認証装置をパソコンへ外付け機器として取り付ける程度であれば、安価で導入可能ではあります。しかし、認証情報とドアの解錠を連動させる、外部Webサービスのログインと連動するなど、仕組みが複雑になるほど構築コストが上昇するので注意しましょう。
認証に時間や手間がかかる
新しい認証の仕組みを導入することは、単純にユーザー側の手間が増えます。
従来だと10秒もかからず終わっていたのに、新しい仕組みを導入した結果、2~3倍以上も認証に時間がかかったとなれば、日々何度も認証を行うユーザーに潜在的な不満が溜まるのは避けられません。
セキュリティを高めるのは企業として必要な取り組みです。できるだけユーザー側に不満を感じさせないために「なぜこの仕組みを導入するのか、なぜ必要なのか」と、導入への意義をしっかり説明することが大切だといえます。
この部分をユーザーと共有できれば、例え認証に時間や手間がかかるようになっても、自然と自社の環境へ馴染んでいくものです。
マルチファクタ認証の導入前に検討するべき点
実際にマルチファクタ認証を導入したい場合、どういった点に着目するといいでしょうか。
マルチファクタ認証の仕組みを提供している企業やサービスは多数あり、どのサービスが自社に合うか、また、社員へどの要素を使ってもらい認証させるかによって、運用ルールやコストが大きく変わる点に注意が必要です。
ここでは、マルチファクタ認証の導入を計画する際、検討すべき点について解説します。
多数のメソッドがあるので自社に適切なものを選ぶ
マルチファクタ認証で使われる3要素は、それぞれ多数のメソッド(方式や手法)が存在します。
一例として所持情報を用いる場合、認証に使う端末や媒体は何にするか選ばなければなりません。新たにICカードを配布するのか、社員が個人で持つスマートフォンにするのか、もしくは、アプリを導入してもらうのかと、所持情報として使う「物」を決めるだけでも、多数の選択肢が存在します。
可能であれば社員にとって使いやすく、かつ、セキュリティ強度が高い選択肢を選びたいものですが、コストとの兼ね合いも必要。自社にとって適切なものを選ぶことが、マルチファクタ認証の導入を進める上で大切なポイントです。
端末の紛失・盗難からデータ漏洩を防ぐための運用ルールを決める
所持情報として何らかの媒体を使う場合、媒体を紛失・盗難されてしまった際の運用ルールを定めておくことも大切です。認証の際にパスワードなどの知識情報と所持情報が必須だった場合、媒体が戻るまでは一切の認証が行えなくなります。
また、もう一つ懸念されるのは、盗難からのデータ漏洩リスクです。2要素を使ってマルチファクタ認証を構成していた場合、1要素が盗難・漏洩されてしまうと、残りの要素が解明された時点で本人と同等のことができてしまいます。
そのため、媒体が手元に無い場合に代替方法で認証できるようにする、また、紛失した媒体を悪用されないように遠隔ロックの仕組みも併せて導入するなど、非常時の運用ルールを予め決めておくと良いでしょう。
ユーザー視点での利便性を最優先に
マルチファクタ認証を構成する要素が多ければ多いほど、セキュリティ強度は高まり、不正アクセスは困難になります。一方、要素が増えるごとにユーザー側の利便性は下がってしまう点には注意が必要です。
パスワードの入力を行い、ICカードで認証してさらに指紋認証を行うともなれば、ユーザー側の負担は計り知れません。複数の要素で構成するにしても、例えばシングルサインオンなどの技術を活用すれば、セキュリティ強度を下げずに利便性の向上も可能となります。
認証要素を増やし過ぎて社員から「手間がかかる」とネガティブイメージを持たれ、管理がいい加減になるのは本末転倒です。
マルチファクタ認証を導入する場合は、ユーザー側に立って利便性も最優先に考えるのをおすすめします。
安全性を高める運用のポイント
マルチファクタ認証を導入する際は、自社に合った適切な運用ルールを定めておかないと、安全性を保てない仕組みとなってしまいます。
安全性を高める運用のポイントは、大きく2つ存在します。ここで紹介する2つのポイントを押さえておけば、どういったルールを定めるべきか、自社に合った運用が見えてくるのではないでしょうか。
2つのポイントを分かりやすく解説していきます。
パスワードに使う文字数、文字種と有効期限などのルールを決める
知識情報であるパスワードは、文字数や使う文字種、有効期限などを自社のルールとして定めておきましょう。
国の組織である内閣サイバーセキュリティセンターでは、いわゆる「強いパスワード」の定義を紹介しています。
- A~Zの英大文字
- a~zの英小文字
- 0~9の数字
- @、#、$など26種類の記号
上記を組み合わせた10桁以上のパスワードを奨励しています。
この要件を満たしたパスワードであれば「約2785京通り」の文字列が作れるため、解析ツールを用いても1700億年以上かかるため、実質解読できないパスワードです。
必ずしも上記の要件に則る必要はありませんが、いずれにしても作るのであれば、強度の高いパスワードが作れるルールをおすすめします。
ワンタイムパスワードを追加する
安全性を高めるためには、ワンタイムパスワードの導入も効果的です。
一度設定したら有効期限まで使い続けられる通常のパスワードと異なり、ワンタイムパスワードは「一度きりしか使えないパスワード」であり、いわば時限式のパスワードとなります。
認証を行うたびにランダムなパスワードが新しく生成される仕組みなので、同じパスワードを使い回すことはありません。
また、ワンタイムパスワードは制限(有効)時間がつくのも一般的です。時間も1分以内など非常に短く、クレジットカードに関するWebサービスや、銀行アプリからの決済処理などでも利用されている安全性の高いセキュリティ機能といえます。
マルチファクタ認証とほかの認証方法の違い
マルチファクタ認証(多要素認証)と併せて、企業における認証の仕組みとして取り上げられることが多いのが、「二要素認証」と「二段階認証」です。
名称が似ており混同しやすいのですが、認証時に使用する要素の種類、そして認証を行う回数で明確な違いがあります。
ここからはマルチファクタ(多要素)認証と、「二要素認証」と「二段階認証」の違いについてそれぞれ説明します。
二要素認証とマルチファクタ(多要素)認証の違い
二要素認証とマルチファクタ(多要素)認証の違いは、「認証時に使用する要素の数」です。
使う要素は、知識情報・所持情報・生体情報で変わりありません。異なるのは、この要素から2種類以上使うのがマルチファクタ認証で、2種類しか使わないのが二要素認証となります。
手間やコストとの兼ね合いにはなりますが、マルチファクタ認証において全ての要素を使っても問題はありません。逆に二要素認証は、いずれかの要素から選ぶ必要があります。
ただし、3種類全ての要素を使って認証を行うのは稀であり、実際はマルチファクタ認証と二要素認証が、ほぼ同じ意味合いとして用いられることが多いです。
二段階認証とマルチファクタ(多要素)認証の違い
二段階認証とマルチファクタ(多要素)認証の違いは、「認証を行う段階数」です。
使う要素に違いはないですが、「二段階認証」は認証操作を2回行う点が異なります。例えば、1回目はパスワード入力で認証を行い、問題なく認証されれば、続いてメールに届くワンタイムパスワードで2回目の認証を行うといった流れです。
このように、まず1段階目で認証を行い、問題なければ2段階目としてまた認証を行う仕組みです。1段階目の認証で問題があった場合は、2段階目の認証へは進めません。
1段階目と2段階目で異なる要素にて認証を行えば、二要素認証にも該当します。先の例で言えば、1段階目が知識情報であるパスワード、2段階目が所持情報であるワンタイムパスワードです。
マルチファクタ認証の例
ここまでマルチファクタ認証で使われる要素や、メリット・デメリット、安全性を高めるためのポイント、マルチファクタ認証以外で用いられる認証方法について解説しました。
最後は、実際にマルチファクタ認証がどういった流れで行われるのか、標準でマルチファクタ認証の仕組みを搭載しているMicrosoft、そして、指紋認証付きのノートPCを使った認証までの流れをご紹介します。
MSによる認証
Microsoftは自社サービスである「Microsoft 365」について、マルチファクタ認証の使用を推奨しており、公式サイトにて設定方法のガイドを公開しています。ただしこの設定は、契約しているMicrosoft 365のプランによって使える認証方法が異なる点に注意が必要です。
Microsoft365でマルチファクタ認証を行う場合は、二段階認証がデフォルトとなります。
ID・パスワードを入力後、管理者が指定した要素にて認証が必要です。
- モバイルアプリを用いたワンタイムパスワード
- 電話での自動音声による認証番号の通知
- SMSによる認証番号の通知
- Outlookなど他のMicrosoft製アプリに設定しているアプリケーションパスワード
上記いずれかの情報で2段階目の認証を行うことで、Microsoft365へログインできます。
指紋認証付きのノートPC
最近のパソコンに搭載されるOS(WindowsやMacOS)には標準で生体認証機能が搭載されており、これだけで1つの認証要素を満たせます。画面の指示に従うだけでセットアップできるため、お手軽です。
指紋認証付きのノートPCを使う場合、OSのログインパスワード(知識情報)にて認証後、指紋認証を求められるのが一般的です。専用デバイスにて認証を行うことでOSが使用できます。
指紋認証デバイスがついていないPCであっても、USBで接続できるタイプの認証デバイスが安価で販売されています。指紋認証だけでなく、顔認証や静脈認証も可能です。
マルチファクタ認証のまとめ
いかがでしたでしょうか。今回はマルチファクタ認証について解説しました。
クラウドサービスやネットバンキングなど、世の中にインターネットを使った便利な仕組みが増え、従来のパスワード認証だけでは限界を迎えた結果、普及した始めたのがマルチファクタ認証です。
マルチファクタ認証を構成する3要素である、知識情報・所持情報・生体情報について正しく理解すれば、どの要素を組み合わせるのが適切か見えてくるのではないでしょうか。
しかし、マルチファクタ認証はセキュリティ性を高める一方、厳密にし過ぎると逆にユーザーの手間になってしまう懸念も。自社の環境風土やコストとのバランスを考え、運用ルールを決めていくのをおすすめします。
「マルチファクタ認証を導入したいが、何から手を付けたらいいか分からない」といったお悩みや、疑問点をお持ちであれば、一度、株式会社Jiteraへご相談下さい。貴社の状況に応じて適切な認証方法をご提案させて頂きます。
