近年、テレワークやクラウドサービスを利用する企業が増えており、パソコンや各種サービスのログオン時のセキュリティ強化として、多要素認証(MFA:Multi-Factor Authentication)を利用する事例が増えています。
ここでは多要素認証の概要、二要素認証・二段階認証の違い、多要素認証の組み合わせ事例、各種ガイドラインにおける多要素認証の取り組みについて紹介します。

多要素認証とは

多要素認証とは、2つ以上の要素で認証を行う行為のことです。

認証の3要素

認証要素として、大きく3つに分けられます。

a)記憶(利用者だけが知っている情報)による認証
b)所持(利用者だけが持っているモノ)による認証
c)存在(利用者の身に備わっている特徴)による認証

a)「記憶認証」について

認証を行うユーザーのみが知っている「情報」による認証方式です。パソコンにログオンする際のIDとパスワード文字列による認証が一般的ですが、暗証番号やPINコードなどもこの方式に該当します。
Active Directoryが導入されている環境であれば、グループポリシーによりパスワードの文字数や使用文字種類の複雑さ、パスワードの有効期限などを設定することができますが、長い文字数や複雑な文字を必須要件にすると、パソコンの横にメモを残すなどの運用が行われてしまう危険があります。
また、ポリシーが適用されない環境であれば、非常に簡単なパスワードで運用されるケースもあり、パスワードを使用した記憶認証だけでは、安全とは言い切れない状況です。

b)「所持認証」について

認証を行うユーザーのみが持っている「モノ」による認証方式です。ICカードが一般的ですが、ワンタイムパスワード生成器やQRコードを印刷したカードによる認証などもこの方式に該当します。また最近では、スマホのSMSに通知されるワンタイムパスワード認証も所持認証と言えます。
管理者は利用者に対して、認証を行う「モノ」を提供するだけで良いため、認証機能を導入するまでの時間を抑えることが可能です。また、ICカード認証であれば、ドアの入退室や複合機の認証とも共用できる反面、ICカードの紛失時は、正規の利用者になりすましてパソコンやドアをパスできてしまう危険もあります。

c)「存在認証」について

認証を行うユーザーの身体的な特徴を用いる認証方式です。代表的な例として 指の指紋 / 手のひら、指などの静脈 / 顔 / 目の虹彩 / 声 などがあります。
生体情報は、各個人に備え持った固有の情報になるため、なりすましができない確実なセキュリティを必要とするシーンに適しています。また、「所持認証」と異なり、物理的なモノを持つ必要がないため、紛失によるリスクもありません。
一方で、残留指紋や顔写真などから生体情報そのものを復元し、復元情報を用いて他人になりすますケースも発生しています。

「二要素認証」と「二段階認証」との違い

多要素認証のうち、2つの要素を組み合わせた方式を「二要素認証」と言いますが、それに似た「二段階認証」という用語もあります。両者は混同されることも少なくないですが、その違いについて「存在認証」と「所持認証」の二つの要素で認証を行う例で説明します。

「二要素認証」とは

認証の3要素の中から、異なる要素の2つを組み合わせて本人を識別する認証方式です。1回目の指紋認証(存在認証)と、2回目のICカード認証(所持認証)の両方を必ず実行させ、両方とも正しくないと認証成功となりません。
仮に1回目で失敗となったとしても、1回目の認証の合否に関わらず2回目の認証に切り替わるため、どちらの認証要素に失敗しているか予測できない方式です。

「二段階認証」とは

2つの認証の「段階」を経て、本人を識別する認証方式です。1回目に指紋で認証(存在認証)を行い、認証成功となれば、2回目にICカードで認証(所持認証)が行われます。
1回目で失敗となれば1回目の認証を繰り返しますし、1回目で認証成功となった後、2回目で失敗となれば2回目の認証を繰り返す動作になるため、どちらの認証要素で失敗したかが予測できてしまう方式です。

二要素認証の方が、二段階認証に比べてより厳密に本人を識別することができます。

多要素認証の組み合わせ事例

多要素認証の考え方として、「認証の3要素」の中から異なる要素を2種類以上組み合わせる必要があります。例えば、「存在認証」などの同一要素の中から複数を組み合わせる方式は、「多要素認証」とは言えません。
簡単に手っ取り早く認証を行いたい場合は、「所持認証」と「記憶認証」を合わせた方式で、事例として「ICカードとパスワード」を組み合わせた二要素認証があります。
セキュリティを重視した方式として、「所持認証」と「存在認証」を組み合わせるケースもあります。
さらに、FIDO(参照URL:https://www.dds.co.jp/ja/topics/9736/)が利用できるアプリケーションであれば、スマホなどのユーザーデバイスに内蔵されている生体認証機器を利用(所持認証)し、スマホ内に登録されている生体情報と照合を行う(存在認証)二要素認証が可能です。

各種ガイドラインにおける多要素認証の取り組み

各種法令やガイドラインで、有効なセキュリティ対策として多要素認証の採用は必須もしくは推奨とされています。

・個人情報保護委員会 個人情報保護法
・総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン
・厚生労働省 医療情報システムの安全管理に関するガイドライン
・文部科学省 教育情報セキュリティポリシーに関するガイドライン
・経済産業省 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
・金融関係 PCIデータセキュリティ基準/FISC安全対策基準