近年、日本国内で相次いで発生した証券口座の乗っ取り被害を受け、従来のIDとパスワードによる認証方法から、複数の要素を組み合わせた多要素認証を導入することで、不正アクセス対策を強化する動きが広がっています。
多要素認証(MFA)とは
多要素認証(MFA)とは、パスワードだけでなく、2個以上の認証情報を組み合わせてログインする仕組みです。たとえば、パスワード(知っていること)、スマホに届くコード(持っているもの)、指紋や顔認証(自分自身の特徴)などを一緒に使うことで、もしパスワードが盗まれても、他の認証があるので不正アクセスを防ぎやすくなります。
今もなお有効、多要素認証のセキュリティ効果
多要素認証は1990年代半ばに導入された古いセキュリティ アプローチですが、エンド ユーザーのアクセス セキュリティについては最も効率的なセキュリティ ソリューションの1つとして、今もなお用いられています。その理由の1つは、エンド ユーザーと負担がかかり過ぎているIT管理者への影響を最小限に抑えつつ、効果的な保護を提供できるからです。さらに、最新の多要素認証ソリューションでは、AI、生体認証、その他の新興テクノロジーを活用しています。
狙われるエンドユーザーを守る多要素認証の役割
サイバー攻撃はさまざまなベクトルから発生するものの、エンド ユーザーはセキュリティ防御システムにおける最も脆弱なリンクの1つであると広く認識されているため、頻繁に標的となります。多要素認証はエンド ユーザーのアクセス ポイントにおけるセキュリティを強化することで、たとえクレデンシャルが盗まれたとしても、不正アクセスを防ぐ追加の保護レイヤーを確実に設けることができます。
多要素認証はユーザー名/パスワード クレデンシャルを新たなレベルに引き上げることで、アクセス保護の有効性を大幅に向上させます。多要素認証ではパスワード以外の追加要素が要求されるため、パスワードのデータベース侵害時に発生するパスワードベースの侵害を防ぐことができるようになります。
Googleが普及を後押しした2011年の転機
多要素認証の各バージョンはオンライン サービスよりも古くから存在します。しかし最初の市販ツールは、1986年にRSAによってキー ホルダーとしてリリースされました。このキー ホルダーにはランダムに生成された数値コードが表示される画面があり、数値コードはユーザー名/ログイン クレデンシャルに続く2番目の認証要素として機能します。主に、このシステムは大企業や政府機関で使用されていました。
2011年に、多要素認証は一般向けに広く利用可能になりました。中国による執拗な攻撃への対応として、Googleは二要素認証システムを導入しました。このシステムはすべてのユーザーに展開され、多要素認証の広範な使用のきっかけとなりました。
単純なユーザー名/パスワード クレデンシャルの限界と多要素認証の必要性を受け、オバマ大統領がこのトピックに参加しました。2016年2月、大統領は本件に関する論考を発表しました。その中で、大統領はセキュリティ基準としての多要素認証の発展と導入を促進する全国キャンペーンを発表し、「より多くのアメリカ人に、指紋や携帯電話に送信されるコードなど、パスワード以外のセキュリティ レイヤーを追加するよう促したい」と述べました。
多要素認証は絶え間なく変化しています。最近のバージョンでは、アクセス権限が付与される前に複数の要素(場所、ナレッジ、所有物、生得(ユーザーの生得的要素)など)を組み合わせてユーザーのIDを検証します。AIと機械学習(ML)も、多要素認証ソリューションの機能強化に活用されています。
初めてでもわかる多要素認証の仕組みと導入方法
多要素認証では、ユーザーがリソースにアクセスしようとするときに、ユーザー名とパスワードの標準クレデンシャルとは別の追加の検証情報(要素)を要求します。認証されると、ユーザーはリソースに接続されます。多要素認証は、デバイス・アプリケーションごとに次のように分類されます。
認証の仕組みを支える8つのアプローチ
| 認証要素 | 概要 |
|---|---|
| メールトークン認証 | ユーザーにメールでワンタイムパスワードを送信。SMSが使えない場合の代替手段。 |
| SMSトークン認証 | ユーザーにSMSでワンタイムパスワードを送信。メール版と同様の仕組み。 |
| ハードウェアトークン認証 | 専用デバイスでワンタイムパスワードを生成または挿入して認証。最も安全とされるが高コスト。 |
| ソフトウェアトークン認証 | スマートデバイスの認証アプリでトークンを生成・使用。MFA要素として利用。 |
| 生体認証 | 指紋・顔・声などで本人確認。なりすましが困難でユーザビリティも高い。 |
| セキュリティ質問 | 静的または動的な質問への回答で本人確認。動的質問は公開情報からリアルタイム生成。 |
| ソーシャルログイン認証 | ソーシャルメディアのログイン情報を利用。単独ではリスクが高く、他要素との併用が推奨。 |
| 時間ベースのワンタイムパスワード認証 | 一定時間のみ有効なワンタイムパスワードを生成し、SMSやメール経由で利用。期限切れで無効化される。 |
メール トークン認証
メール トークン認証では、ユーザーにワンタイム パスワード(OTP)が送信されます。このアプローチはテキスト メッセージを受信できる携帯電話がないユーザーに向け、SMSトークン認可の代替手段としてよく提供されます。
SMSトークン認証
SMSトークン認証はメール トークン認証と同じように機能しますが、テキスト メッセージが使用されます。
ハードウェア トークン認証
メール トークン認証やSMSトークン認証を使用するよりも高価ですが、ハードウェア トークンは最も安全な認証方法と見なされています。ハードウェア トークンは、ワンタイム パスワード生成機能を備えた画面付きキー ホルダーや、システムに挿入することで、ユーザーのIDを検証してアクセス権限を付与するために用いる小型デバイスです。
ソフトウェア トークン認証
認証アプリケーションをスマート デバイスにインストールすると、認証要素として使用できます。認証アプリケーションにより、認証サービスに関連付けて多要素認証を行うトークンとしてスマート デバイスを使用できます。
時間ベースのワンタイム パスワード認証
時間ベースのワンタイム パスワード(TOTP)は、ユーザーがログインを開始すると動的に生成されます。ユーザーは、スマートフォンやコンピューターなどの信頼できるデバイスに、SMSまたはメールで送信されたTOTPを入力するように求められます。TOTPは一定期間有効であるよう、設定されています。
生体認証
ID検証は、生体認証機能を備えたスマート デバイスやコンピューターで行うことができます。なりすましができないスムースなログイン手順をユーザーに提供するうえで、生体認証は多要素認証の一環としてますます使用されています。
セキュリティ質問
静的/動的なセキュリティ質問は、多要素認証に使用できます。セキュリティ質問はナレッジベース認証(KBA)の一種で、ユーザーはアカウント セットアップ時に質問へ回答し、ログイン プロセス中にそれらの質問と回答がランダムに提示され、ID検証が行われます。セキュリティ質問へのより高度なアプローチは動的な質問で、公開情報を使用してリアル タイムで生成されます。例として、次のような動的な質問があります。
- 出生都市はどこですか?
- これらの住所のいずれかに住んだことがありますか?
- ご自身の電話番号に当てはまる番号はありますか?
ソーシャル ログイン認証
ソーシャル ログイン(ソーシャルID検証)では、認証にソーシャル メディア プラットフォームを活用します。ユーザーが既にソーシャル メディア プラットフォームにログインしている場合は、そのプラットフォームを認証要素として使用できます。このアプローチは他の認証要素よりもリスクが高いものとして見なされていますが、他の認証要素と併用することで効果を発揮できます。
時間ベースのワンタイム パスワード認証
TOTPは、ユーザーがログインを試行するときに生成され、設定された時間が経過すると期限切れになります。ユーザーはTOTPを、スマートフォンまたはコンピューターにSMSまたはメールで受信します。
段階的なプロセス
多要素認証の具体的なセットアップ プロセスはソリューションによって異なりますが、基本的な手順は次のとおりです。
- 導入を促進するよう、ユーザーを教育・ユーザーに関与
- 多要素認証ポリシーの確立
- さまざまなニーズをサポートするよう、幅広い要素を含むプランを策定
- コンプライアンス要件の策定
- デバイス紛失時の対策を策定
- 段階的に導入を進める
- 継続的なレビューと最適化を計画
多要素認証手法の種類
多要素認証では、さまざまな種類の認証を組み合わせます。主な多要素認証手法は、ID検証に使用される4種類の情報(ナレッジベース、所有物ベース、生得ベース、アダプティブ)に基づいています。
| 手法の種類 | 概要 |
|---|---|
| ナレッジベース | パスワード、PIN、ワンタイムパスワード、セキュリティ質問の回答など、ユーザーが知っている情報を利用。 |
| 所有物ベース | スマホ、物理/ソフトトークン、スマートカード、USBキー、バッジなど、ユーザーが所持するものを利用。 |
| 生得ベース | 顔、指紋、声、虹彩・網膜、手の形、耳の形など、生体認証による本人確認。 |
| アダプティブMFA | リスクベース認証。AIや行動分析を用い、状況やユーザー行動に応じて最適な認証方法を動的に適用。 |
ナレッジベース(自分が知っていること)
ナレッジベースのID検証では、ユーザーはセキュリティ質問に答える必要があります。多要素認証におけるナレッジの例としては、セキュリティ質問への回答(出生地、好きな色、高校時代のマスコット、母親の旧姓など)、OTP、パスワード、個人識別番号(PIN)などが挙げられます。
所有物ベース(自分が所有しているもの)
所有物による認証では、他人が手に入れにくいユーザー自身の持ち物を使ってログインします。たとえば、多要素認証で使われる所有物には、社員証のようなバッジ、スマートフォン、USBキー、スマートカード、物理・ソフトウェアのトークンなどがあります。
生得ベース(自分の何か)
多要素認証では、ユーザーの生物学的特徴(生体認証)をID検証に使用できます。生得要素には、顔認証、指紋スキャン、音声認証、網膜・虹彩スキャン、手の形状、デジタル署名スキャナー、耳たぶの形状が含まれます。
アダプティブ多要素認証
アダプティブ多要素認証は、「リスクベース認証」とも呼ばれ、ユーザーの状況や行動に応じて判断する追加の認証ステップです。この仕組みでは、あらかじめ決められた固定ルールではなく、AIがユーザーの行動や特徴を分析し、その時々に最も適した認証方法を選んで使います。
アダプティブ多要素認証では、次のような要素が考慮されます。
- デバイス ユーザーは未認証のデバイスを使用してログインしようとしていますか?
- IPアドレス IPアドレスは、ユーザーがリソースにログインするときに通常使用するものと同じですか?
- 場所 ユーザーは、短時間に2か所の異なる場所からアカウントにログインを試みましたか?ログイン場所は通常とは異なる場所ですか?ユーザーは、企業ネットワークではなくパブリック ネットワークからログインしようとしていますか?
- 機密性ユーザーは 機密情報にアクセスしようとしていますか?
- ログイン時間 ログイン時間は、ユーザーの通常のログイン時間と相関関係がありますか?
また、AIはログインの状況をリアルタイムで分析し、リスクの高さをスコアとして計算するためにも使われます。このリスクスコアに応じて、そのときに最も適した認証方法を選ぶことができます。
- 低リスクの場合はパスワードのみが必要
- 中リスクの場合は多要素認証が必要
- 高リスクの場合は追加の認証プロセスが必要
たとえば、アダプティブ多要素認証では、夜更けのカフェからのログイン試行はユーザー本人の行動としては異常であるため、不審な可能性が高いと判断できます。アダプティブ多要素認証では、ログイン試行後にワンタイム パスワードの入力を求めるプロンプトが表示され、そのパスワードはユーザーの携帯電話にテキスト メッセージで送信されます。
多要素認証は万全か?メリットと課題は
多要素認証の主なメリットは、セキュリティの強化とサイバー脅威の軽減にあります。具体的な強みとしては、以下の点が挙げられます。
- 脅威の変化に応じ、さまざまなユース ケースに適応
- 防御システムの階層化により、ハードウェア、ソフトウェア、個人IDレベルでセキュリティを強化
- 時間帯や場所ごとにアクセスを制限するセキュリティ ポリシーを適用
- 簡単なセットアップと使用方法で、ユーザーのサポートを獲得
- 管理者にすべてのアクティビティを監視させるのではなく、IT/セキュリティ管理者が不審な動作としてフラグが立てられた動作の対処に集中できるようにする
- インターネットに接続できないユーザーに対し、オフライン アクセス時の認証制御を適用
- パスワードのみを使用する場合よりもセキュリティ侵害を大幅に軽減
多要素認証は広く採用されていますが、もちろん課題もあります。ユーザーとセキュリティ専門家は多くの課題を挙げています。そのほとんどは、大きな労力をかけずに克服できます。
通常、多要素認証が広く採用されない理由は、その導入方法に関係しています。多要素認証が推奨されているものの必須ではない場合、ほとんどのユーザーは最も手間のかからない方法を選ぶため、多要素認証の導入をスキップします。確実に多要素認証を普及させるには、その導入を必須にする必要があります。
多要素認証の導入には、技術的な課題が伴うことがあります。これらの課題は多くの場合、複雑すぎるソリューションや必要な統合機能が不足しているソリューションを組織が選択することで生じます。リソースと要件を評価する時間を事前に確保しておくことで、組織は導入・保守が容易な多要素認証ソリューションを導入できます。
通常、多要素認証にまつわるユーザーの苦労に関する苦情は、画一的なモデルに起因しています。アダプティブ多要素認証を使用することで不要な苦労がなくなり、特定のユーザー シナリオに認証の強化を限定できます。
