不正ログインを99.9%防止「多要素認証」の重要性

近年、さまざまなサービスで導入が進む「多要素認証」。何となく聞いたことがあっても、具体的な内容や重要性について理解されている方は少ないでしょう。「二段階認証」など類似の用語も多く、混乱しがちですよね。

そこで本記事は、多要素認証の定義や類似用語との違いなど基本的な事項を解説します。

テレワークの影響で、脆弱な環境を狙う不正アクセスが増加。総務省もセキュリティ強化の必要性を訴えています。この機会に改めておさらいをしましょう。

多要素認証とは？

多要素認証（MFA：Multi-Factor Authentication）とは「本人であることを証明する 2つ以上の証拠 （要素） の入力をユーザーに要求し、セキュリティを高める認証方法」です。ユーザーアカウントの保護を目的に導入されています。パスワード入力のあと、さらにSMSで受信したワンタイムコードを入力するようなログイン方法は経験者も多いでしょう。

世界ではスタンダード

多要素認証は新しい認証方法ですが、すでに多くの有名企業が多要素認証を取り入れています。

• Google
• office365
• Dropbox
• Slack

世界ではスタンダードになりつつある多要素認証。年々、ユーザー自身のITリテラシーは高まっています。セキュリティが担保されていないサービスはユーザー離れを加速させる心配もあります。しっかり対策をしていきましょう。

用語解説：多要素認証（MFA）、2要素認証 (2FA) 、二段階認証の違い

まずは多要素認証と混在されがちな認証方法を整理しましょう。

多要素認証（MFA：Multi-Factor Authentication）

2つ以上の要素による認証です。要素とは認証方法のことを指します。最近は指紋認証などの生体認証を用いることが多くなっています。パスワード＋生体認証は多要素認証ということになります。

2要素認証 （2FA：Two-Factor Authentication）

2つの要素による認証です。ジャンルは、多要素認証の中に入ります。

二段階認証

要素数を問いません。1つの認証が成立したあと、もう1つ認証をおこなうことです。例えばパスワードを2回要求することも二段階認証です。この認証にはセキュリティ向上にあまり意味がないと考えられています。

要素の種類は、3つ

要素の種類は大きく3つにカテゴライズできます。

知識情報 本人だけが知る情報	所持情報 本人の所持品に紐づく物理的な情報	生体情報 本人の生体が必要な情報
・パスワード ・秘密の質問	・ICカード	・指紋 ・声紋 ・光彩 ・位置情報

多要素認証は、この複数の要素を組み合わせセキュリティレベルを引き上げる認証です。

例えば、知識情報が流出しても、所持情報となる物理的にICカードを奪われなければログインを防げるという考え方です。

二段階認証の場合、「パスワード」と「秘密の質問」の組み合わせなど同じカテゴリの情報で認証するケースが多いようです。

同じカテゴリの要素は多要素認証とならず、段階を分けたところでセキュリティの向上は期待できません。

多要素認証導入のために、まずはこの違いを明確に理解しておきましょう。

（引用：Salesforce Trailblazer COMMUNITY「多要素認証に関する FAQ」）

不正ログインを99.9%防ぐ「多要素認証」の重要性

Microsoftによると、多要素認証は不正ログインの99.9％が防止できるそうです。以下の3ポイントを鑑みると、ますます多要素認証の重要度は増すでしょう。

クラウドサービスの普及

SaaSに代表されるクラウドサービスは、もはや企業に欠かせません。しかし複数のクラウドサービスでパスワードを使いまわしていないでしょうか？ ITリテラシーの高い管理者でもサービスごとのパスワード設定は至難の業です。一般従業員なら尚更、「会社用」として1つのパスワードを使いまわしている可能性は高いのではないでしょうか。テレワークの影響で自宅作業が一般的になり、セキュリティリスクは増しています。従来より強固な認証が求められています。

不正アクセス対策

多要素認証は以下のような不正アクセス対策に有効です。

• フィッシング攻撃

本物にそっくりなサイトをつくり、ユーザーのID・パスワードを奪い取る攻撃。迷惑メールでよく見られる。

• クレデンシャルスタッフィング（パスワードリスト型攻撃）

あらかじめハッキングしやすいサイトへ不正アクセスし、ユーザーのID・パスワードを入手しリストを作成。ほかのサイトでも同じID・パスワードが使用されているであろうという想定のもと、不正アクセスを試す方法。

• アカウントの乗っ取り

不正に取得したログイン情報を使い、アカウントを奪う手法。

警察庁データによると、不正アクセス件数が増加傾向にあります。引き続き対策が必要です。

• 2017年 1,202件
• 2019年 2,960件
• 2020年 2,806件

ユーザーの利便性が向上

セキュリティ向上＝めんどう・コストがかかる と考える方も多いでしょう。しかし適切な多要素認証の導入は、ユーザーの利便性向上に結び付きます。

例えば、多要素認証に生体認証を導入すれば、長文のパスワードを毎回入力する手間が削減できます。また「2週間に一度パスワードを変更する」といった小まめなパスワード変更からも解放されるでしょう。

多要素認証の導入のポイント

重要性が高まり続けている多要素認証ですが、実際に導入するためには以下のポイントが大切です。

コストと認証方法

多要素認証の導入は、以下のコストが想定されます。

• 導入コスト

認証用の機器を用意するコスト。
例：ICカード、カードリーダー、社用デバイス、生体認証装置など

• 運用コスト

機器を運用していくなかでかかるコスト
例：電気代、サーバー費用、紛失時の対処費用など

• 教育コスト

社員が多要素認証を扱うための知識を教育するコスト
例：研修費用など

上記のコストは、導入する認証方法や現在のデバイス活用状況により異なります。

すでに従業員へ会社貸与の端末を提供している場合は、デバイスにワンタイムコード認証を取り入れることで、導入コストを削減できます。あらゆる可能性を検討してみましょう。

ユーザーへの影響を考慮

これまでの認証に要素をプラスするだけでは、ユーザーの手間が増えるばかりです。セキュリティ向上がユーザーを守ることにつながるとはいえ、心証の悪化が予想されます。

必要なのはユーザーの利便性を可能な限り損なわない形で多要素認証を導入する仕組みの検討です。

特定条件下で自動化「Salesforce Authenticator」

ユーザーの利便性を保ちながら多要素認証を導入する方法の一つとして「特定条件下での認証の自動化」が挙げられます。

多要素認証用のモバイルアプリケーション「Salesforce Authenticator」は、生体認証の一つである「位置情報」を使用し、特定の場所からのアクセスに限り認証を自動化する仕組みを取り入れています。

• ユーザー側が事前に「信頼できる場所」を登録
• 「信頼できる場所」で位置情報をONにする
• 自動的に認証される

このような、流れで認証ができます。ユーザーへ負担をかけない認証の仕組みを検討してみましょう。

まとめ

99.9%の不正ログインを防げる多要素認証。クラウドサービスの普及や不正アクセスの増加を考慮すれば、今後ますますその重要性は高まると予想され、企業には導入に向けた速やかな対応が求められています。ユーザーの利便性に配慮しながら、迅速かつ適切な認証要素の導入を進めましょう。