ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
不正ログインによる個人情報やクレジットカード情報の窃取は、情報セキュリティにおける脅威です。セキュリティ認証の強度を上げるために効果が高い方法が、多要素認証です。ID・パスワードに加え、指紋情報やICカードなどの複数の認証要素を使って認証することで、いずれかの要素が漏洩した場合でも、不正ログインされにくくなります。
この記事では多要素認証の3つの要素や、2段階認証との違い、導入メリットや導入時の注意点について解説します。
多要素認証とは?
多要素認証と2要素認証の違い
多要素認証のメリット
多要素認証の注意点
まとめ
多要素認証とは、異なる認証要素を2つ以上組み合わせて認証する方法です。システムや各種サービス、パソコンやスマートフォンなどのデバイスにも使われています。多要素認証に用いられる認証要素は、「知識情報」「生体情報」「所持情報」の3種類です。
知識情報とは、ユーザーだけが知っている情報です。事前にシステムに知識情報を記憶させ、入力した内容が一致した場合のみサービスやデバイスを使用できます。
知識情報の具体例は、下記の通りです。
知識情報の内容は、ユーザー自身で簡単に設定できます。使い勝手がよく導入コストも低いため、多くのシステムやサービスに使われていることが特徴です。パスワードや暗証番号さえ分かれば誰でもシステムやサービスを使えてしまうため、知識情報は管理を徹底する必要があります。
ただし、ユーザーが記憶可能な知識情報は多くなく、使いまわしが起きやすいのが欠点です。また、ユーザーが公開している情報(誕生日や家族の名前など)から知識情報を推測すると言った手段でも、知識情報を使った認証は破られてしまいます。
生体情報とは、ユーザーの身体的特徴を活用する認証要素です。固有の身体的情報をシステムに記憶させ、他人にシステムやサービスを使われることを防ぎます。
生体情報に使われる身体的情報の具体例は、下記の通りです。
生体情報は自分自身が認証情報となるため、知識情報を覚えておく必要がありません。知識情報による認証と比べると、利便性やセキュリティレベルが高いと言えます。
一方で、知識情報に比べて導入コストが高いことがデメリットです。認証精度が高いほど導入コストは高くなる傾向にあります。
所持情報とは、ユーザー本人のみが所有している情報です。所持情報の具体例は、下記の通りです。
認証方式は、所持情報の種類によって異なります。スマートフォンの場合は、アプリやSMS認証でユーザー本人であることを認証します。ICカードは、カード内の情報を読み取って認証する仕組みです。セキュリティキーには、ワンタイムパスワードなどが用いられます。
所持情報は紛失や盗難のリスクが伴うものの、知識情報に比べるとセキュリティ強度は高いと言えるでしょう。
2要素認証とは、異なる認証要素を2つ組み合わせた認証方法です。複数の認証要素を組み合わせるため、多要素認証の1つに含まれます。
知識情報・生体情報・所持情報のいずれか1つだけを利用した認証の場合、認証システムの欠点を突かれ、不正ログインされてしまうリスクがあります。2要素認証の場合は、2つの認証要素で認証されなければログインされないため、セキュリティ強度が高くなることが特徴です。
2要素認証とは?必要とされる理由や導入メリット・認証の種類を解説
多要素認証は、2段階認証と混同されることがあります。
2段階認証は、2段階で認証を行う方法です。知識情報を入力してログインした後、画面が遷移して再度認証を求められます。1度目はIDや暗証番号、2度目がSMS認証やワンタイムパスワードなど、2段階の認証をクリアできないとシステムやサービスを使うことができません。
多要素認証と2段階認証の違いは、組み合わせる要素の種類です。多要素認証は異なる認証要素を組み合わせるのに対して、2段階認証は同じ認証要素を2回使った認証方式も含んでいます。
同一の認証要素を組み合わせた場合、同じ手段でセキュリティが破られてしまうリスクが高まります。そのため、セキュリティ対策の強化には異なる認証要素を組み合わせたほうが効果的です。
金融庁では、サイバー攻撃によるリスクが高まっているとして、企業や団体の経営者に対してセキュリティ対策の強化を呼びかけています。セキュリティ対策への意識が向上したことで、複数の認証要素により本人確認ができる多要素認証が注目されるようになりました。
出典:金融庁「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います」
多要素認証の導入には、ユーザーの利便性を向上できる、企業の信頼性を高められるなどさまざまなメリットがあります。多要素認証を導入するメリットを具体的に解説します。
多要素認証のメリットの1つが、パスワードを記憶する手間がなくなることです。
パスワードなどの知識情報単体でセキュリティを強化するには、複雑なパスワードや、定期的に内容が変更されるパスワードが必要です。一方でユーザー側が複雑なパスワードを数多く覚えるのは困難です。パスワードを記憶するために、メモしてパソコンに貼ったり、複数のシステムやデバイスで使いまわしたりすると、不正アクセスのリスクが高まります。
生体情報と所持情報を組み合わせた多要素認証を導入すれば、パスワードを覚える必要はありません。ユーザーの利便性を向上しつつ、セキュリティを強固にできます。
情報セキュリティが強固になることも多要素認証のメリットです。
IPAの『情報セキュリティ10大脅威 2023』の第9位は「インターネット上のサービスへの不正ログイン」です。この中でIPAは、不正ログインが起こる手口として「何らかの不正な方法で入手したIDとパスワードのリスト」を利用したパスワードリスト攻撃を挙げています。ID・パスワードという知識情報だけを使った認証は、不正ログインの脅威にさらされていると言えます。
万が一、パスワードや暗証番号の流出が起こっても、セキュリティキーや指紋認証など他の認証要素と組み合わせていれば、不正ログインを回避できます。
コンプライアンスの向上につながることも、多要素認証を導入するメリットの1つです。
警察庁では、サイバー攻撃による被害を防ぐために、不正ログイン対策として多要素認証の導入を推奨しています。
出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
さらに、金融庁でも外部の決済サービス事業者などとの連携には、なりすまし対策として内部管理体制の徹底や多要素認証の導入などの評価基準を設けています。
マイナンバーカードやクラウドサービスの普及、決済サービス事業の拡大などにより、今後さまざまな分野で多要素認証の導入が求められる可能性は高いと言えるでしょう。コンプライアンスに抵触しないように、早期に導入を検討することがおすすめです。
多要素認証を導入するときに注意すべき点は、以下の2つです。
[blog_borderbox]
・多要素認証のキーを使いまわさない
セキュリティが強固な多要素認証でも、管理に問題があれば不正アクセスが起こるリスクは高まります。多要素認証のキーを他者が使える状態にあったり、他のシステムやサービスと同じパスワードを使ったりしている場合は注意が必要です。
・他のセキュリティ対策も組み合わせる
多要素認証を導入しても、セキュリティ対策には限界があります。情報セキュリティ対策に力を入れるには、内部不正対策やマルウェア対策など他のセキュリティ対策も組み合わせることが大切です。
[/blog_borderbox]
多要素認証の導入と併せて、システムやデバイスを使用・管理する従業員の情報セキュリティ意識を高める取り組みも徹底しましょう。
多要素認証とは、「知識情報」「生体情報」「所持情報」の3つの要素の中から2種類以上を組み合わせた認証方法です。2段階認証と違い、異なる認証要素を組み合わせてセキュリティ強度を高めているところが特徴です。
多要素認証を導入することで、情報セキュリティを強化でき、コンプライアンス向上につながります。また、知識情報以外の認証要素と組み合わせることでパスワードを覚える必要がなくなるのもメリットです。
多要素認証を導入するときには、キーの使いまわしを避け、他のセキュリティ対策と組み合わせましょう。組み合わせるセキュリティは、生産性を低下させずにランサムウェアなどの悪意のあるコンテンツから使用者を守る、メンロ・セキュリティのアイソレーションがおすすめです。
