多要素認証とは？
二段階認証との違いやメリット、活用場面を解説します

多要素認証 (MFA／Multi-Factor Authenticationの略称) とは、「知識情報」「所持情報」「生体情報」から2つ以上の認証要素を組み合わせてアクセスを行う認証方法のことです。複数の認証要素を使うことでセキュリティ強度を高める効果があり、主に、インターネット上のサービスやアプリへのログイン時の本人確認として使われています。

多要素認証と似た言葉に「二段階認証」と「二要素認証」があります。

二段階認証は、認証回数を2回にすることでセキュリティ強度を高める方法です。
例えば、「知識情報」であるID・パスワードの認証を行ったあとに、同じく「知識情報」である秘密の質問による認証を行うなど、同一の認証要素を使用して、2回認証を行う場合が多いです。

上記の例の場合、ID・パスワード・秘密の質問の答えを知っていれば誰でもログインできてしまいます。2つ以上の認証要素を使う多要素認証に比べて、必ずしもセキュリティが強固とはいえません。

一方で二要素認証は、二段階認証と同じく認証回数は2回ですが、ID・パスワードといった「知識情報」と「所持情報」であるSMS認証を組み合わせるなど、2つの認証要素を使います。そのため、万が一ID・パスワードが流出したとしても他の認証要素がなければ、すべての認証を突破されることはありません。

多要素認証との違いは、認証に2つ以上の要素を組み合わせるかどうかという点です。二要素認証は前述した3つの要素から2つの要素を選んで認証を行いますが、多要素認証の場合は全ての要素を組み合わせて認証を行うケースもあります。

ここからは、多要素認証の認証要素である「知識情報」「所持情報」「生体情報」について、それぞれの例を挙げながら特徴を説明します。

知識情報とは「利用者のみが知っている情報」のことで、例として以下のようなものが挙げられます。

シンプルなシステムで、専用端末がなくても手軽に導入できることから、多くのサービスで本人確認の手段として用いられています。ただし、セキュリティが複雑ではないため、情報が流出すると簡単にセキュリティを突破されてしまいます。知識情報を設定するときは、複数のサービスで同じパスワードを使いまわさない、定期的にパスワードを変えるなどの注意が必要です。

所持情報とは「利用者のみが所有している情報」のことで、例として以下のようなものが挙げられます。

• クレジットカード
• 運転免許証
• 保険証
• スマートフォンのアプリ認証
• SMS認証
• ワンタイムパスワード
• ボイスコール
• QRコード
• USBトークン　など

主に、利用者のクレジットカードや身分証明書の情報、利用者のスマートフォンに送られてくる認証コードやワンタイムパスワードなどを認証に用います。

該当となるものが手元にないと認証できない一方で、他者の手に渡ることで不正利用されてしまう可能性があるため、紛失や盗難には注意が必要です。

生体情報とは、「利用者の身体的特徴に関する情報」のことで、例として以下のようなものが挙げられます。

• 指紋
• 顔
• 掌形
• 静脈
• 虹彩
• 網膜　など

指紋や顔を利用した認証は、スマートフォンにも導入されている認証方法です。

身体的な特徴は一人ひとり異なるため複製が難しく、ほか2つの情報のように忘れたり紛失したりすることがないため、セキュリティ性・信頼性が高い情報といえます。

ただし、身体変化や情報漏えいが起きた際の対応が難しく、認証環境やシステムの精度によっては誤認識が起こる可能性があるという弱点もあります。また、生体情報を取り扱うには専用端末や一定の知識が必要となるため、導入ハードルの高い認証システムです。

近年では、DX化の加速にともない多要素認証の需要が高まっていることをご存知でしょうか？
多要素認証の需要向上の主な理由として以下の3つが挙げられます。

1. サイバー攻撃から守るため
2. 多要素認証を前提とするシステムが増加しているため
3. パスワードを用いるセキュリティでは限界なため

近年では、デジタル技術の進歩や情報端末の普及などにより、デジタル上で情報を管理することが一般的になってきました。
それにともない、個人情報や機密情報を狙ったサイバー攻撃が増加しています。

実際に、総務省の発表する「令和5年版 情報通信白書」※ には、2015年から2022年の8年間でサイバー攻撃関連通信数が8.3倍になっていると報告されています。増加するサイバー攻撃から情報を守るため、セキュリティ強化の必要性が高まっていると考えられます。

次に、多様性認証のメリットをご紹介します。主なメリットは以下の2つです。

1. セキュリティ強化になる
2.  利便性の向上になる

複数の認証要素を組み合わせる多要素認証は、一要素認証に比べて不正アクセスやなりすましなどのセキュリティリスクを軽減し、アカウント侵害攻撃の多くをブロックすることが可能です。

実際に、金融庁による調査において「取り引きの際に多要素認証を行っている口座は、一要素認証を行っている口座よりも不正出金の被害が少ない」という結果が報告されています。

また、警視庁も近年、不正送金被害が急増していることを受けて、インターネットバンキングの利用者に対して「金融機関が推奨する多要素認証等の認証方式を利用する」ように推奨しています。

「多要素認証は複数の認証情報が必要なため不便だろう」と思われる方もいるかもしれません。しかし、シングルサインオン (SSO) と呼ばれる仕組みを利用することで、一度のID・パスワード入力で複数の関連サービスへのログインが可能となるため、認証作業を効率化しつつセキュリティ向上を図ることができます。

また、多要素認証の生体情報や所持情報を利用することで、サービスごとにパスワードを考えたり管理したりする手間がなくなるため、利便性向上が期待できます。

多要素認証の導入には、メリットだけでなく以下のようなデメリットも生じます。

• 導入や運用管理にコストがかかる
• 認証方法によっては時間と手間がかかる

多要素認証を導入する際は、専用の機器・システムの導入や運用にコストがかかります。導入方法や認証要素の数などによって費用は異なるため、予算や自社の規模に合わせた導入計画を立てることが大切です。

導入コスト削減を図るには、インターネット接続によってシステムやソフトウェアを利用する「クラウド型の多要素認証」を導入する方法などが挙げられます。

クラウド型の場合は、サービスを提供している会社のシステムやソフトウェアを利用するため、月額料金が発生するケースが多いですが、自社で専門機器を導入する必要がなく、初期費用を抑えて導入できます。

多要素認証は最低でも認証を2回行うため、認証方法によっては承認に時間がかかる可能性があります。
また、ICカードやスマートフォンなどによる認証を設定した場合には、それらを持ち歩かなければならないという制約が生じることもあります。

そのため、多要素認証を導入する際は、利用者の手間を考慮して認証方法を選ぶとよいでしょう。
前述したシングルサインオンなど、認証の効率化を図る施策の導入も効果的です。

多要素認証の活用例として、以下2つの場面をご紹介します。

1. 銀行口座へアクセスするとき
2. クラウドサービスへログインするとき

銀行口座へのアクセスは、多くの人にとって身近な場面であり、わかりやすい多要素認証の活用例といえます。

例えば、口座から出金・入金する際には、キャッシュカード (所持情報) と暗証番号 (知識情報) が必要です。

また、ネット銀行やインターネットバンキングでは、知識認証の「ID・パスワード」と所持認証の「ワンタイムパスワード」を求められることもあります。

クラウドサービスとは、企業が情報資産を適切に管理する手段として普及がすすんでいるインターネット上のサービスです。

近年、リモートワークの増加による影響で、外部から社内システムへアクセスする機会が増えました。利用機会増加にともなうセキュリティリスクを軽減させるため、クラウドサービスをはじめとする社内システムへのログイン時には多要素認証が活用されています。

利用されている認証方法の種類は、クラウドサービス・社内システム同様に、知識認証の「ID・パスワード」と所持認証の「ワンタイムパスワード」が一般的です。

多要素認証導入時における注意点について、以下の3つをご紹介します。

1. 認証情報をきちんと管理する
2. 自社にあった認証方法を選ぶ
3. 多要素認証以外のセキュリティ対策も行う

知識情報認証・所持情報認証は、人為的ミスによる不正ログインが起こりやすいため、情報の管理には注意が必要です。

知識認証を利用する際は、複数のサービスで同じパスワードを設定したり、誕生日などの他人が推測しやすい情報を設定すると、不正ログインのリスクが高まります。パスワードの使い回しや推測が容易な文字列の設定を避けることはもちろん、定期的にパスワードを変更するなどの対策をしましょう。

所持情報認証を利用する際は、ICカードやスマートフォンなどの認証デバイスを置き忘れたり紛失したりしないように大切に保管しましょう。

導入する認証方法を選ぶ際は、自社内の利用状況や導入目的にあった種類やシステムを選択することが大切です。

例えば、使用頻度の高い社内システムで手間のかかる認証方法や認証精度の低いシステムを選択すると、業務効率を低下させてしまう可能性があります。

また、生体情報認証は個人の状態・空間の明るさ・システムの性能などが認証精度に影響します。
そのため、オフィスのエントランスに顔認証を設置するといった場合には、本人受入率 (ユーザーを正しく認証した割合) と他人受入率 (登録されていないユーザーを誤認した割合) の確認が重要です。

他人受入率が高いと、外部の人が安易に入室できるようになりセキュリティ性が低くなってしまいます。
一方で、本人受入率が高いとセキュリティ性が向上する反面、オフィスに入室するために認証を繰り返し行うことになり、利便性に欠ける可能性があります。

多要素認証はセキュリティレベルが高く、不正ログインに効果的な施策ですが、サイバー攻撃の切り口はさまざまです。ウィルス対策ソフトの導入やOSのアップデートを適切に行うなどの対策も並行して行い、情報セキュリティ対策を怠らないようにしましょう。

また、セキュリティ対策の一つとして個人の心がけも大切です。有効なシステムや施策を導入していても、個人の意識の低さからセキュリティ事故を招いてしまうおそれがあります。パソコンのログイン状態を保持したまま離席するなど、ハッキングリスクにつながる危険な行動をとらないよう日頃から注意しましょう。

ネットワークセキュリティや企業のセキュリティ対策については、こちらの記事で解説していますのでぜひご覧ください。

ここまで、多要素認証についてまとめてきました。

近年のデジタル化にともなって情報セキュリティ対策の重要性が高まり、多くの企業が多要素認証を導入しています。ただし、多要素認証を導入するためには専用機器の購入・レンタルが必要になり、システムのメンテナンス費用などが発生する場合もあります。そのため、自社の規模や導入目的に応じたものを選ぶようにしましょう。

多要素認証の導入を検討している企業さまには、ID管理や運営支援をする「KDDI IDマネージャー」や、クラウド型のセキュリティサービス「Cisco Secure Access by Duo」がおすすめです。

また、リモートアクセスの多い企業さまは「KDDI Flex Remote Access」を活用することで、多要素認証による社内外からのイントラネット接続が可能になります。

詳しくは関連サービスをご覧ください。