多要素認証とは？ 二段階認証や二要素認証との違いなど

はじめに

多要素認証とは、知識情報・所持情報・生体情報のうち、異なる要素を2つ以上組み合わせて本人確認する方式です。IDとパスワードだけに依存する認証よりも、漏えい、使い回し、フィッシング詐欺の影響を受けにくくなります。

ただし、多要素認証を有効化しただけで十分とは限りません。選んだ方式が攻撃手口に合っていない、端末紛失時の復旧手順が曖昧、緊急解除が甘い、といった状態では、実際の安全性は下がります。確認すべきなのは、方式そのものよりも「どのアカウントに」「どの操作で」「どの例外を許すか」です。

以下では、多要素認証の定義、3要素の考え方、代表的な方式、二要素認証や二段階認証との違い、導入時に詰めておくべき運用条件まで整理します。

多要素認証とは

多要素認証は、認証に使う3要素のうち、異なる要素を2つ以上使って本人確認する方式です。英語ではMulti-Factor Authenticationと呼ばれ、MFAと略されます。

要点は、ログイン手順を増やすことではなく、異なる種類の根拠を組み合わせることにあります。たとえば、パスワードだけなら漏えい時の影響がそのままログイン成功につながりますが、別の要素を足すと、攻撃者は追加の条件まで満たさなければなりません。

そのため、多要素認証は「侵入を完全に防ぐ仕組み」というより、攻撃者が突破しなければならない条件を増やし、成功率を下げる仕組みとして理解した方が実態に合います。特に、管理者アカウント、重要設定、機密データへのアクセスでは、パスワード単独より明確な差が出ます。

二要素認証と二段階認証との違い

混同しやすい用語ですが、違いは明確です。まず見るべきなのは「要素が異なるか」です。

たとえば「IDとパスワードの後にワンタイムパスワードを入力する」なら、二段階認証であり、かつ二要素認証でもあります。一方、「パスワードの後に秘密の質問へ答える」なら2段階ではあっても、どちらも知識情報なので多要素認証には該当しません。

認証における3つの要素

多要素認証は、知識情報・所持情報・生体情報という3種類の要素を前提に設計されます。成立条件は、このうち異なる要素を組み合わせることです。

知識情報

知識情報は、その人が知っている情報です。代表例はパスワード、PIN、秘密の質問の答えです。

• パスワード：最も一般的だが、漏えい、使い回し、推測、入力誘導の影響を受けやすい
• PIN：端末ロック解除や追加承認の補助として使われることが多い
• 秘密の質問：設計によっては推測されやすく、単独での信頼性は高くない

知識情報の弱点は、利用者本人が入力するため、盗まれたり入力させられたりしやすい点です。パスワードを強くしても、偽サイトに入力してしまえば、その「正しい情報」が攻撃者に渡ります。知識情報だけで完結する認証は、クラウド利用が増えるほど破綻しやすくなります。

所持情報

所持情報は、その人が持っている物に基づく要素です。スマートフォン、OTPトークン、ICカード、セキュリティキーなどが該当します。

• 認証アプリ：スマートフォン上でコード表示や承認操作を行う
• ハードウェアトークン：専用デバイスでコードを表示する
• ICカード：入退室や端末ログインと組み合わせて使うことがある
• セキュリティキー：端末に接続して使う物理キーで、耐フィッシング性を重視する場面で選ばれやすい

所持情報を使うと、パスワードが漏れても即座に突破されにくくなります。一方で、紛失、故障、機種変更、回線不通は必ず起こるため、導入前に復旧手順を決めておかないと、緊急解除や例外運用が増えて弱点になります。

特に、スマートフォンを前提にした設計では、業務用端末の有無、私物端末の許容範囲、海外利用、電波不安定時の代替策まで見ておく必要があります。

生体情報

生体認証は、身体的特徴を使う要素です。代表例は指紋認証、顔認証、虹彩認証、静脈認証です。

• 指紋認証：端末ロック解除で広く普及している
• 顔認証：操作負担が小さく、日常利用に組み込みやすい
• 虹彩認証・静脈認証：専用機器や利用環境を前提にした導入が多い

生体情報は便利ですが、誤認識や読取失敗は起こり得ます。さらに、生体認証を使えない場面では別の手段へ切り替わるため、最終的にどの代替手段へ落ちるかまで設計しておかないと、弱い経路が残ります。

端末ロック解除で生体認証を使っていても、サービス側のログイン認証とは別に管理される場合があります。「端末を開けたこと」と「サービスへ本人確認したこと」が同じとは限りません。

多要素認証の代表的な方式

多要素認証は、どの要素をどう組み合わせるかで特性が変わります。比較では、フィッシング耐性、復旧のしやすさ、利用者負担、端末要件、サポート負荷を並べて見ると判断しやすくなります。

パスワード＋ワンタイムパスワード

もっとも普及している構成の一つです。IDとパスワードに、ワンタイムパスワードを追加します。コードは認証アプリや物理トークンで受け取る形が一般的です。

導入しやすい一方、偽サイトがリアルタイムでコード入力を促す攻撃では突破される余地があります。重要システムでは、導入しやすさだけで決めず、フィッシング耐性まで見た方が安全です。

パスワード＋SMS認証

SMS認証は手軽ですが、SIMスワップ、回線事情、番号変更、海外利用の影響を受けます。高い要件のシステムでは、認証アプリやセキュリティキーと比較した上で採否を決めるべき方式です。

特に、回線不通時の代替手段と番号変更時の本人確認を決めていないと、サポート窓口が最も弱い抜け道になりやすくなります。

パスワード＋承認型プッシュ通知

スマートフォンへ通知を送り、利用者が承認してログインする方式です。入力の手間は小さい一方で、通知を大量に送って誤承認を誘う多要素認証消耗攻撃への対策が要ります。

通知を見たら押すだけ、という使い方にすると危険です。番号照合やログイン位置の表示など、承認前に利用者が異常へ気付ける設計の方が扱いやすくなります。

端末の生体認証を使う方式

端末の生体認証を使って追加確認する方式は、利用者の抵抗感が小さく、社給端末と組み合わせやすい方法です。ただし、生体認証そのものより、代替手段のPINや復旧フローの管理が最終的な強度を左右します。

端末ロック、端末紛失時の遠隔対処、PINの強度、端末の管理状態をまとめて見ないと、想定より弱い運用になります。

電子証明書を使う方式

電子証明書を端末へ配布し、その証明書で端末や利用者を確認する方式です。管理端末だけへアクセスを許可したい場合や、端末条件まで制御したい場合と相性があります。

ただし、証明書の配布、更新、失効、端末入れ替え時の再配布まで含めて運用を組めなければ維持できません。採用前に、証明書のライフサイクルを担当する部門と手順を明確にしておく必要があります。

FIDO2やセキュリティキーを使う方式

FIDO2に対応したセキュリティキーやパスキー系の方式は、フィッシング耐性を重視する場面で有力です。認証情報を偽サイトへ入力させる従来型の方式より、重要アカウントで採用しやすい構成です。

一方で、登録手順、端末・ブラウザ要件、予備キーの持ち方、端末移行時の扱いを曖昧にすると、導入直後に問い合わせが増えます。安全性だけでなく、利用者が迷わない初期設定手順まで用意しておく必要があります。

二経路認証

二経路認証は、ログイン中の端末とは別の経路で追加確認する考え方です。PCでログイン操作をし、スマートフォン側で承認やコード受領を行う構成が典型です。

別経路を使うことで成立条件を増やしやすくなりますが、スマートフォン紛失時の復旧、ネットワーク不通時の代替策、本人確認手順まで整えないと維持しにくくなります。方式名というより、運用設計の考え方として捉えると整理しやすくなります。

多要素認証が必要になる背景

背景にあるのは、パスワード単独の前提が崩れていることです。攻撃者は総当たり、使い回しの悪用、マルウェア、フィッシングなど複数の経路で認証情報を狙います。クラウドサービスが増えたことで、1つの認証情報の漏えいが複数のサービスへ波及しやすくなりました。

さらに、利用者側も大量のIDとパスワードを管理しきれず、使い回しや弱いパスワードが起こりやすくなっています。多要素認証は、この現実を前提に「パスワードが漏れても、そのままではログインを成立させない」状態を作るために使われます。

多要素認証を優先して適用したい場面

優先順位を付けるなら、まず管理者アカウント、次に重要操作、最後に一般利用者へ広げる順が無難です。

• 管理者アカウント：設定変更、権限変更、監査ログへの影響が大きい
• 重要操作：データ出力、送金、設定変更、認証要素の変更
• 社外アクセス：在宅勤務、外出先、未管理端末からの利用
• 機密データへのアクセス：顧客情報、契約情報、設計情報など

最初から全員へ同じ強度を一律適用すると、問い合わせや例外が増えやすくなります。まず影響の大きいアカウントと操作から始めて、そこで出た復旧課題やサポート負荷を見ながら範囲を広げた方が失敗しにくくなります。

導入時に先に決めておくこと

多要素認証の成否は、認証画面よりも復旧と例外対応で決まります。最低限、次の項目は先に固めておくべきです。

復旧と例外対応

• 復旧コード：発行するか、保管場所をどうするか、再発行条件をどうするか
• 予備要素：予備端末や予備トークンを持たせるか
• 本人確認：紛失や機種変更時に、誰が何で本人確認するか
• 緊急解除：解除期限、記録、承認者、解除後の再設定手順

この設計が甘いと、現場では「一時的な回避」が常態化します。例外をゼロにするのではなく、例外が発生したときに統制できる形へしておく必要があります。

利用者負担の調整

認証頻度が高すぎる、通知内容が分かりにくい、復旧が面倒、といった状態では利用者が回避策を求めやすくなります。追加認証を求めるタイミングは、ログイン、権限昇格、重要操作などへ整理して、必要な場面へ寄せた方が定着しやすくなります。

方式ごとの弱点を前提にする

どの方式にも弱点はあります。OTPはリアルタイムの入力誘導、SMSはSIMスワップや回線依存、承認型は誤承認、端末依存型は紛失や端末侵害、といった課題が残ります。方式を比較するときは、長所だけでなく「どの事故が起きたときに崩れるか」を見た方が判断しやすくなります。

IDとパスワードだけの運用を見直す

IDとパスワードだけで十分と考えるのは、現在の運用環境ではかなり厳しくなっています。サービス数が増え、利用者も攻撃者も複数のログイン経路を前提に動いているからです。

まず確認したいのは、管理者アカウントで多要素認証が有効になっているか、重要操作に追加認証を求めているか、紛失時の復旧手順が決まっているか、方式ごとの弱点を把握しているか、の4点です。これだけでも、形だけの導入で終わる状態はかなり避けやすくなります。

• 管理者から先に有効化する
• 設定変更やデータ出力にも追加認証を使う
• 復旧コードと緊急解除の手順を先に決める
• OTP、SMS、承認型、FIDO2の弱点を分けて考える

まとめ

多要素認証は、異なる要素を2つ以上組み合わせて本人確認する方式です。二要素認証はその一種であり、二段階認証とは同じ意味ではありません。整理するときは「要素が異なるか」を先に見れば混乱しにくくなります。

導入で差が出るのは、方式選定そのものより、復旧、例外、重要操作への適用範囲まで含めて設計できているかです。管理者アカウントと重要操作から優先して適用し、弱点と例外を前提に運用を組んだ方が、実際の安全性は上がります。

FAQ