多要素認証とは

ユーザー認証情報が漏洩すると、攻撃者が容易に情報を入手できるようになるため、組織は情報侵害のリスクにさらされることになります。現代のIT環境には堅牢なセキュリティ手法が求められ、パスワードだけではもはや十分な保護ができません。

多要素認証（MFA）は、ユーザー認証に追加するセキュリティ層のベストプラクティスです。高い保証レベルの手法であるMFAは、ユーザーの認証情報が漏洩した場合にアクセスを保護します。また、ハッカーがIT環境にアクセスしようとする際に、突破しなければならない障壁を作り出します。

MFAは、簡単に言うとアプリケーションやデバイスなどのITリソースにアクセスするための、2つ以上のセキュリティメカニズムを組み合わせたアクセス管理ツールです。

ここでは、MFAとは何か、組織にどのようなメリットをもたらすか説明します。

仕組み

MFAは、機密情報や個人情報にアクセスできる社員や顧客の適切性を一段と保証するものです。デバイス、アプリケーション、ウェブサイトなどのアクセスにMFAを利用できます。

多要素認証は二要素認証（2FA）と似たような働きをします。通常、2FAではパスワードを使用し、モバイル端末の認証アプリ、指紋スキャン、セキュリティトークンなどの二次的なメカニズムを必要とします。

2FAとMFAの主な違いは、MFAは確実なセキュリティのためにユーザーの身元を確認する二次的なメカニズムを複数含めることができる点です。

認証の種類

認証の構成要素は、以下の3つのカテゴリーのいずれかに分類されます。

知識：「知っていること」、あるいはユーザーがログイン認証情報を要求するアプリケーションやアカウントと共有する記録された秘密。例：パスワード、パスフレーズ、PIN。

特性：「存在」のことで、通常は生体認証を含む。例：指紋、音声、 顔認証、虹彩パターン。

所有：物理的（ハードウェア）または論理的に「所有しているもの」。例：モバイル端末（物理的）やソフトウェア・トークン（ロジカル）。

その他の認証要素には、地理的位置、行動（ジェスチャーや一連の画像選択など）、時間枠があります。

多くの場合、MFAは2つ以上の認証レイヤーのうちの1つに記憶された秘密を使用しています。しかし、業界では脆弱性のため知識ベースの要因を排除するパスワードレス認証に向かっています。

MFAのメリット

弱い認証情報が、ハッキングなどのセキュリティ事故の主な原因となっています。不十分なパスワードの決め方やパスワードの状態が悪いと、企業は情報侵害の大きなリスクにさらされます。MFAはセキュリティを強化するだけではなく、法規制のコンプライアンスを向上させる予防措策でもあります。

さらに、MFAをアイデンティティ・アクセス管理（IAM）プラットフォームと連携させることで、シームレスで安全なアイデンティティ重視のインフラを構築し、アイデンティティ・ガバナンスのためのコントロールを強化できます。

MFAの例

MFAは、顧客と社員の両方のアクセスに適用できます。例として以下が挙げられます。

• アカウントにログインしようとするユーザーは、電子メールでリンクを受け取り、そのリンクをクリック後にログイン認証情報を入力します。この方法は顧客のアクセスシナリオで用いられています。
• ユーザーはログイン情報を入力した後、モバイル端末の認証アプリでプッシュ通知を受け取り、アクセス試行を確認するか表示されたコードを入力します（認証アプリにより異なります）。
• ユーザーがログインを要求すると、時間ベースのワンタイムパスワード（TOTP）が電子メール、テキストメール、電話などで送信されます。この手法は金融機関で一般的です。

終わりに

多要素認証は、今や重要なセキュリティプロトコルです。多くの顧客は、自分のアカウントにこの追加の保護レイヤーが利用できることを期待しています。MFAの導入を検討している場合、セキュリティのみならず利便性などの基準も考慮すべきです。