多要素認証(MFA)とは?

多要素認証(MFA)とは、ユーザーがサービスやアプリケーションにアクセスする際に、複数の認証形式を提供するよう求めるセキュリティ対策です。

多要素認証の定義

MFA の背後にある考え方は、ユーザが自分の身元を証明する上で追加の証拠を提供するよう要求することで、従来のユーザ名とパスワードを超える追加のセキュリティ層を提供することです。この追加の証明は、認証要素と呼ばれます。認証要素には、4つのタイプがあります:

  • 知識情報: これには、パスワード、PIN、秘密の質問に対する答えなどがあります。

  • 所持情報: これは、スマートカードや USB セキュリティキーのような物理的なトークンであったり、ユーザーのスマートフォン上の認証アプリによって生成された仮想トークンの場合があります。これらの仮想トークンは、ワンタイムパスワード(OTP)またはタイムベース・ワンタイムパスワード(TOTP)と呼ばれています。

  • 生体情報: 指紋、顔認証、虹彩スキャンなどの生体認証情報

  • 位置情報: 地理的な位置です。アプリやサービスの中には、特定の地理的な場所にいるユーザーにしかアクセスできないものがあります。この特定の認証要素は、ゼロトラストセキュリティ環境で頻繁に使用されています。

MFA システムでは、2 つの異なるカテゴリーから少なくとも 2 つの要素を提供するようユーザーに要求します。これは、以下の例によって最もよく説明されます:

  • パスワードと PIN の両方を入力しなければならないシステムは、MFA を搭載しているとは言えません。なぜなら、これらの要素はどちらも「知識情報」のカテゴリーであるからです。
  • ATM マシンは何十年も前から MFA を使用しています。ATM カード(所持情報)を挿入し、PIN(知識情報)を入力する必要があります。

ATM だけでなく、メールやオンラインバンキング、クラウドストレージなどのオンラインアカウントのセキュリティや、建物や安全な場所への物理的なアクセスにも、MFA は広く活用されています。

すべての認証要素が同様なわけではない

MFA システムの中には、電話、テキストメッセージ、電子メールで送信される TOTP を認証に使用するものがあります。これらの方法は、技術的には「有効な」MFA 要素ですが、多くのセキュリティ専門家は、簡単に侵害される可能性があるため、その使用を推奨していません。

したがって、他の方法がない場合を除き、電子メール、電話、テキストメッセージを MFA に使用しないことがベストセキュリティプラクティスとなります。より強力な方法としては、生体認証、物理的なセキュリティトークン、スタンドアロン認証アプリケーションなどがあります。

MFA と 2FA の違いとは?

2FA とは、二要素認証を表しています。2FA と MFA の違いは、2FA が 2 つの認証要素しか必要としない認証方式を指すのに対し、MFA は 2 つ以上の認証要素を必要とする方式を指す総称であることです。

したがって、先ほどの ATM の例は 2FA の例ですが、MFA と呼ぶことも間違っていません。逆に、カードやセキュリティキーを挿入し、暗証番号を入力し、指紋をスキャンする必要があるシステムは、MFA であり、2FA ではありません。

MFA が提供する保護機能とは?

漏洩したパスワードは、データ侵害やランサムウェア攻撃の最大の原因となっています。MFA は、攻撃者がアカウントを侵害することを飛躍的に困難とすることで、パスワードに関連するサイバー攻撃を防止します。仮に脅威者が有効なパスワードを入手できたとしても、追加の認証要素がなければ意味がありません。Microsoft の統計によると、MFA はアカウント侵害攻撃の 99.9%以上を阻止できることが明らかにされています。

このため、MFA は IT コンプライアンスにおいて大きな役割を担っています。多くの業界や規制のコンプライアンスフレームワークは、組織が内部システムを保護するために MFA を実装するよう求めています。また、ユーザーを明示的に認証することを要求するゼロトラスト・セキュリティフレームワークを導入する上でも MFA は不可欠なものです。

また、MFA を導入することで、組織がセキュリティに真剣に取り組んでおり、ユーザーの情報保護に尽力していることを示すことができるため、システムに対するユーザーの信頼を高めるのにも役立ちます。

多要素認証を導入するには?

個人ユーザー向け

サイバー脅威から個人アカウントを保護するには、2FA/MFA をサポートしているすべてのウェブサイトやアプリで有効にする必要があります。多くのサイトやアプリでは、アカウント設定時にこのプロセスを説明してくれます。そうでない場合は、サイトやアプリのヘルプドキュメントを参照することができます。

そのサイトやアプリが他のメソッドに対応していない場合を除き、電子メール、テキストメッセージ、電話を認証要素として使用するのは避けるようにしてください。

ビジネスユーザー向け

MFA を導入するための手順は、その組織特有のニーズやリソースによって異なります。どのように進めればよいかわからない場合は、セキュリティ専門家や IT 専門家の支援を受けることをお勧めします。しかし、ここでは、その手順の一般的な概要を説明します:

  1. 使用する認証因子のタイプを決定する: セキュリティのニーズと利用可能なリソースに基づいて、どの認証要素を使用するかを決定します。少なくとも 2 つの異なるカテゴリーから 2 つの要素を選択します。電話、電子メール、テキストメッセージは認証要素として使用するのは避けるようにしてください。

  2. MFA ソリューションを選択する: MFA を実装するためのソリューションは、商用およびオープンソースで数多く提供されています。選択した認証要素をサポートしていて、予算と技術的な能力の範囲内に収まるソリューションを選択します。

  3. MFA ソリューションをシステムに統合する: これには、MFA ソリューションを既存の認証システムに統合したり、既存の認証システムを MFA 対応ソリューションに置き換えたりすることが考えられます。また、アプリケーションのコードを変更したり、ネットワークインフラを変更する必要がある場合もあります。

  4. ユーザーを登録する: MFA ソリューションをシステムに組み込んだら、MFA ソリューションが要求する追加の認証要素をユーザーに提供してもらい、登録します。

  5. MFA ソリューションのモニタリングと保守を行う: MFA ソリューションのパフォーマンスとセキュリティを定期的にモニタリングし、必要に応じてアップデートすることで、その有効性を維持します。

close
ビジネス営業部
サポート
close言語を選択
日本語 (JP) お問い合わせ
App Store でダウンロード Google Play で入手