解説

多要素認証とは? 二段階認証や二要素認証との違いなど

ソリトンシステムズ・マーケティングチーム
アイキャッチ
目次

クラウドサービスやWebサービスが普及してビジネスの利便性が高くなる一方で懸念されるのが、IDとパスワードの盗用です。パスワードが盗まれると不正アクセスや情報漏えいなどのセキュリティリスクは一気に深刻なものとなってしまいます。そこで近年、「多要素認証」という認証方法が注目されています。多要素認証とは何か、二段階認証や二要素認証との違いなども含めて、解説します。

多要素認証とは

多要素認証とは、ID・パスワードなどの「知識情報」だけではなく、「所持情報」と「生体情報」を加えた認証の3要素のうち、2つ以上を組み合わせた認証方法のことを指します。

多要素認証は、『IDとパスワードだけを用いた認証には限界があり、セキュリティが十分とはいえない』という危機認識から考え出されました。近年、多くのクラウドサービスやWebサービスで、この多要素認証が採用され、実装されています。

認証における3つの要素

上で述べた認証の3つの要素とはどのようなものなのでしょうか。それぞれ説明します。

知識情報

知識情報とはその人が記憶している情報です。SYK(Something You Know)と略されることもあります。IDやパスワードがその代表例です。また、PINコードや秘密の質問の答えも知識情報です。基本的に本人だけが知っている情報であり、セキュリティ強度は、本人の情報管理面での努力が頼りとなります。

所持情報

所持情報はその人のみが所持しているものから得られる情報です。SYH(Something You Have)と略されます。身分証明書、ICチップ搭載のキャッシュカード、ワンタイムパスワードトークンなどが該当します。物理的な「物」が関わるため、それらが盗まれるか複製されるというセキュリティリスクがあります。

生体情報

生体情報はその人の身体的特徴にもとづく情報です。SYA(Something You Are)とも呼ばれます。指紋認証、顔認証、網膜認証などが挙げられます。声紋や静脈を使った認証もあります。知識情報よりも利用者の運用負担は小さく所持情報よりも盗難・紛失のリスクが小さいのがメリットです。もちろん、個人によって特徴が異なるので信頼度が高いとされますが、複製が不可能というわけではありません。また、生体情報は成長したり年をとったりすることによって変化する場合があります。

多要素認証が注目される背景

多要素認証が注目され、利用されるようになってきた背景には、これまで一般的だったパスワード認証では、求めるセキュリティ強度に達せなくなったという事情があります。

パスワード認証は長い間使われ続けてきたため、悪意ある者によるパスワードの詐取の方法もまた熟達化・巧妙化しています。よく知られている方法としては、あらゆる文字列の組み合わせを総当りして試してパスワードを探り出すブルートフォース攻撃、よく使われる文字列をリストアップして試す辞書攻撃、デバイスのキー入力を監視するマルウェアを仕込んでパスワードを盗み出すキーロガー攻撃などが挙げられます。

また、パスワードは覚えられる数に限りがあります。パスワードを求められるサービスがこれほど多く存在している現在、何十というサービスにログインするためにそれぞれ別のパスワードを設定し、それらをすべて記憶しているという人はそう多くないはずです。そのためIDとパスワードをノートに書き留めたり、パソコンやスマートフォンのメモアプリに保存したりしている人もいます。あるいは、どうしても覚えやすいパスワードを設定しがちです。同じパスワードの使い回しも起こります。そのことでセキュリティリスクがよけいに増大する結果となります。

IDとパスワードがいったん流出してしまうと、その情報がたちまち拡散されてしまうという問題も無視できません。過去にハッキングされたIDとパスワードは、ダークウェブと呼ばれる匿名性の高いWebサイトで公開され、その数は数十億件規模にものぼると言われています。

いずれにしろ、パスワード認証は今ではそれほどセキュリティ強度の高い認証方法とはいえなくなっています。パスワードを使い続けるとしても、それ以外の認証方法と組み合わせてセキュリティを強化し、突破しづらいものにする必要があるというわけです。

もう一つ付け加えるなら、現在ではスマートフォンの普及により、(パスワード以外の)高度な認証を身近に感じるようになってきました。スマートフォンには指紋認証や顔認証などの生体情報を用いる認証機能が備わっています。スマートフォンアプリを利用することで、多要素認証を経験したユーザーが増えた結果、「未知な認証方式」としての抵抗感が薄らいできているのです。

多要素認証と「二要素認証」「二段階認証」の違い

多要素認証と似た言葉に二要素認証と二段階認証があります。それぞれの概要と、多要素認証との違いについて見てみましょう。

二要素認証

二要素認証は、認証のための3要素の中から2つの要素を組み合わせて行う認証のことです。すなわち、多要素認証の一種といえます。

最近のサービスで採用されることが多いのは、パスワードと所持情報、もしくは生体情報を組み合わせるケースです。

二段階認証

二段階認証は、2つの段階を経て行う認証のことです。2つの段階の組み合わせは異なる要素であるとは限りません。例えば、ID・パスワードを入力したあとに「秘密の質問」の答えの入力を求められるケースなどが該当します。しかし、この場合、ID・パスワードと秘密の質問の答えはいずれも知識情報です。そのため、多要素認証とは呼べません。2つの段階を経ていることにはなるため、(単一要素による)二段階認証となります。

その一方、ID・パスワードを入力したあとにワンタイムパスワードを求められる場合は、知識情報と所持情報を組み合わせることになるため、二段階認証であると同時に多要素認証・二要素認証でもあるということになります。

IDとパスワードの流出・漏えいが社会問題化している中、多要素認証は今後ますます一般的な認証方法として普及していくでしょう。セキュリティ強化のために多要素認証を取り入れてみませんか?

ソリトンシステムズ・マーケティングチーム