エンジニア

多要素認証とは?二要素認証・二段階認証との違い、認証の3要素を解説

2021年08月24日

MFA認証

多要素認証は、認証要素を複数組み合わせる認証方式です。銀行での預金引き出しで、キャッシュカードと暗証番号が必要なのは多要素認証の一例で、認証要素が2つなので二要素認証と呼ばれます。似た言葉として二段階認証がありますが、認証の強固さでは大きな違いがあります。

この記事では、多要素認証とは何か、多要素認証に必要な認証要素とは何か、二段階認証との違いを解説します。

多要素認証とは

多要素認証(MFA:Multi-Factor Authentication)とは、システムやサービスなどを利用するとき、その利用者が適正な利用者か(真正性)を判別するのに2つ以上の要素を組み合わせて認証することを指します。

認証の要素は、知識要素、所有要素、生体要素という3種類に分けられます。これらから違う種類の要素を組み合わせるのが、多要素認証です。

認証とは

認証とは、システムやサービスにおいて「システムを利用する権限がある」ことを判別することです。本人認証という場合もあります。
一般的に広く使われている認証の方法は、ログイン時にIDとパスワードを入力し、IDとパスワードの組み合わせが合致していることを確認する方法です。

認証と本人確認

サービスなどの利用開始に際しては、本人確認が行われます。本人確認は、サービス利用者が誰かを特定識別) したうえで、その特定された本人であることを確認認証)するものです。
そのため、本人確認は運転免許証などの外貌(顔写真)のついた身分証明書の確認が基本となっています。

認証の3つの要素

認証には、知識要素、所有要素、生体要素という3つの種類があり、認証の3要素といわれます。いずれの要素も、本人だけに属している(知っている、持っている)ことが前提となっています。
例えば、パスワードは本人のみが知っていることが前提であり、他人に知られてしまった場合は認証の前提が満たされなくなります。

認証の3要素とは

知識要素

知識要素とは、認証を行う人物だけが知っている、記憶している情報のことを指します。知識要素の代表的なものとしてパスワード暗証番号があり、その他にも秘密の質問などがあります。
知識要素は人の記憶によるものであるため複製は難しいものの、失念のリスクがあります。また、認証のために入力することが必須となるため、入力の際に盗み見されるリスクも高い傾向にあります。
また、メモなどにしている場合は所有の要素となります。

パスワード

パスワードとは、主にアルファベットや数字からなる文字列で構成された情報のことです。IDに紐付けられたパスワードを入力することで認証します。

パスワードに関する考え方は、複雑にする、定期的に変更するのが良いとされていましたが、最近では、パスワードの複雑さを強制しない、有効期限を設定しないなどが提唱されています(アメリカの国立標準技術研究所(National Institute of Standards and Technologyの2017年6月に発表した電子的デジタルIDの認証のガイドラインによる)。

これは、複雑さのルールや定期変更により、結果的に覚えやすいパスワードを設定したり、どこかに書き留める人が多くなりやすくなる実態を反映したものになります。

暗証番号

暗証番号とは、主に4桁から6桁からなる数字です。数字のみで構成されるため、考えられる組合せが限られ、単体ではセキュリティレベルが非常に低い認証の方式となります。

所有要素

所有要素とは、認証を行う人物が所有しているものを使った認証になります。所有要素の代表的なものとして携帯電話・スマートフォンの持ち主であることを確認するSMS認証やアプリ認証、キャッシュカードICカードなどがあり、その他にもワンタイムパスワード用のトークン、USBトークンなどがあります。
所有要素は、その種類によりセキュリティレベルが異なります。物理的なトークンは盗まれなければ複製は難しいものですが、磁気カードは盗まれなくてもスキミングにより情報が取得されてしまいます。
また、所有要素は紛失・盗難のリスクがあるため、紛失時の無効化手順や再発行手順が明確になっていることが重要となります。

SMS認証

SMS認証とは、携帯電話・スマートフォンのSMS(ショートメッセージサービス)機能を使う認証になります。登録されている携帯電話の番号宛てにワンタイムパスワードが送信され、認証を行うユーザはそのワンタイムパスワードを入力することで認証に成功します。

キャッシュカード

キャッシュカードによる認証とは、カードリーダーにキャッシュカードを通すことなどによって認証する方式になります。
キャッシュカードは磁気カードとICカードに大きく分けることができますが、ICカードはICチップが埋め込まれているため、スキミングされにくい特徴があります。

生体要素(生体認証)

生体要素とは、認証を行う人物の身体的特徴を利用した認証になります。生体要素の代表的なものとして指紋認証や虹彩認証などがあり、その他にも顔認証、静脈認証などがあります。信頼度の高い認証の要素であるものの、読み取り装置の精度によっては誤認識の確率が一定程度あるという特徴もあります。
生体要素では、外貌や音声などは複製が容易ですが、指紋や虹彩などは高度な技術でなければ複製されにくく、全体的に盗み見や盗聴がされにくい傾向にあります。
生体要素は所有要素とは異なり、紛失のリスクがない点がメリットとなります。

指紋

指紋認証は、認証を行う人物の指紋情報により認証する方式です。指紋を読み取るためのデバイスが必要になります。
指紋は、同じ指紋を持つ人がいない点と時間が経過しても基本的に変わらない点から、安全性の高い認証であると考えられています。
リスクとしては、指の怪我をした場合などに認証できなくなる可能性、最近では高精度の写真で指紋が複製されるリスクがあります。

虹彩

虹彩認証とは、認証を行う人物の虹彩によって認証する方式です。虹彩を読み取るためのデバイスが必要になります。
最近では一部のスマートフォンで虹彩認証が可能になっています。
他の生体認証と比較して高精度である傾向にあります。

ワンタイムパスワードはどの要素になるか

ワンタイムパスワードによる認証は、ワンタイムパスワードをどのように入手するかによって、所有要素に該当するケースと知識要素に該当するケースに分かれます。

セキュリティトークンの場合

セキュリティトークンはワンタイムパスワードを発行する専用の機器です。キーホルダー型などのトークンをあらかじめ所持し、認証が必要なときにワンタイムパスワードをトークンで確認する方法になります。
この方法の場合は、所有要素に該当します。

メール送信の場合

メール送信のワンタイムパスワードによる認証では、登録済みのメールアドレスにワンタイムパスワードが送信され、ユーザはそのメールを開いてワンタイムパスワードを確認する方法になります。
クラウドメールなど、デバイスに依存しない場合は知識要素となります。キャリアメールアドレスの場合はスマートフォンなどの所有者であることを確認する所有要素と考えられます。

多要素認証、二要素認証、二段階認証の違い

多要素認証は2つ以上の認証の要素を組み合わせて認証することです。さらに多要素認証に似た、二要素認証二段階認証があります。
それぞれについて解説します。

要素が2つを組み合わせる認証が二要素認証

多要素認証のうち、組み合わせる要素が2つの場合が二要素認証になります。
認証要素の種類が違えば、対応できるリスクが異なります。たとえば、所有要素だけを複数組み合わせても、鞄を盗まれたり泥棒に入られた場合には、突破されてしまう可能性が高くなります。
異なる複数の認証要素を組み合わせた二要素認証、多要素認証はセキュリティレベルを高めるために有効となります。

二要素認証と二段階認証の違い

組み合わせる要素が2つの場合を二要素認証と呼ぶのに対して、認証の段階を2回経て認証することを二段階認証と呼びます。二段階認証では要素の種類は問われません。
例えば、IDとパスワードにより認証したのちに、秘密の質問に答えることで再度認証する場合、これは2段階の認証を経ていることになるため二段階認証となります。しかし、この認証に利用したパスワードと秘密の質問はいずれも知識要素であるため、認証の要素数は1つになります。

認証の強度は要素が複数であること

パスワードと秘密の質問のように、2段階ではあるが同じ要素による認証である場合、一方が漏洩した場合、もう一方も漏洩している可能性は高くなります。よって、認証の強度を高めるためには、認証の段階よりも認証の要素数を複数にすることが重要となります。
認証の強度を高めるために要素を複数にする場合、一般的には知識要素に加えて所有要素か生体要素という組み合わせが用いられます。

まとめ

認証のセキュリティを考える際、自社が提供しているサービスでも、また自社が利用しているサービスでも、多要素認証によるセキュリティの強化が重要になっています。認証要素の種類や多要素認証と二段階認証との違いなどを理解し、セキュリティレベルの高い認証の導入を検討したほうが良いでしょう。

[PR]【最先端のアルゴリズムを学ぶ】AI画像認識講座。最新論文の探し方や英語論文の読み方まで。無料体験はこちら

この記事を書いた人

QEEE編集部

QEEEは、INTLOOP株式会社が運営するビジネスの総合ポータルサイトです。 多様なコンサルティング実績をもつINTLOOPのノウハウを生かし、あらゆる経営課題・ビジネスの悩みを解決するサービスを提供しています。 QEEEマガジンでは、マーケター・人事・エンジニア・営業などの各職種に向けて、SaaS比較やビジネスコラムなどのコンテンツを各領域のスペシャリストが発信しています。

投稿一覧へ

関連記事

他サービスはこちら